Auswirkungen der Datenschutz Grundverordnung (EU-DSGVO) 2018

Nach so vielen Jahren der Vorbereitung wird die Europäische Datenschutz Grundverordnung (DSGVO) am 25. Mai 2018 pünktlich zum Brexit in Kraft treten.
Im Gegensatz zum derzeitigen Stand des Datenschutzes ist es eine Verordnung und keine Richtlinie. Der Unterschied zwischen den beiden besteht darin, dass alle Länder, die in der EU ansässig sind oder Geschäfte mit EU-Unternehmen und Bürgern tätigen, rechtliche Schritte einleiten müssen. Richtlinien sind eher wie: „Ähm…du solltest das tun. Aber wenn du es nicht tust, wird nichts Weiteres passieren.“ Daher ist dieses Thema jetzt viel wichtiger geworden. Verstöße können mit Geldstrafen von bis zu 4% des jährlichen Umsatzes (global) oder bis zu 20 Millionen Euro geahndet werden. Daher ist die konsequente Umsetzung und Einhaltung des Datenschutzes nicht mehr nur ein „nice to have“.

Ein kleines Stück Geschichte

Im Wesentlichen und gemäß eugdpr.org, (EU General Data Protection Regulation = EU Datenschutz Grundverordnung) ersetzt der DSGVO die Datenschutzrichtlinie 95/46 / EG und sollte die Datenschutzgesetze in Europa harmonisieren, um die Privatsphäre für alle EU-Bürger zu schützen und zu stärken. Zudem soll der Datenschutz auch grenzüberschreitend sichergestellt sein.
Aber was bedeutet das wirklich und was bedeutet das für dich und deine Daten? Bist du davon betroffen, wenn dein Unternehmen nicht in Europa ist? Wir fassen kurz zusammen:

Wer ist betroffen?

Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von in der Europäischen Union ansässigen Personen verarbeiten oder kontrollieren, unabhängig vom Standort des Unternehmens.

Also, ein paar Dinge zu klären:

Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person oder ein „Datensubjekt“ beziehen, die zur direkten oder indirekten Identifizierung der Person verwendet werden können. Dabei kann es sich um einen Namen, ein Foto, eine E-Mail-Adresse, Bankdaten, Posts auf sozialen Netzwerken, medizinische Informationen oder eine Computer-IP-Adresse handeln.

Der für die Verarbeitung Verantwortliche bestimmt die Zwecke, Bedingungen und Mittel für die Verarbeitung personenbezogener Daten, während der Auftragsverarbeiter eine Person ist, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Nur Bahnhof verstanden? Versuchen wir es etwas zu verdeutlichen:

Eine Bank (Verantwortlicher) sammelt die Daten ihrer Clients, wenn sie ein Konto eröffnen, verwendet jedoch Microsoft Azure (Verarbeiter) zum Speichern der Daten.
Ein E-Mail-Automatisierungs- / Marketingdienst (Verarbeiter) sendet deinen Kunden Marketingangebote aus der E-Mail- / Kundenliste deines Unternehmens (deines Verantwortlichen).
Wenn du ClicData verwendest, um persönliche Daten über deine Clients zu speichern, bist du der Verantwortliche und ClicData ist der Verarbeiter.

Klingt logisch, oder?

Die Europäische Union umfasst über 500 Millionen Menschen, die in den 28 Ländern leben (440 Millionen und 27 Länder, wenn das Vereinigte Königreich die Gemeinschaft verlässt).
Unternehmensstandort bedeutet, jedes Unternehmen in der EU und außerhalb der EU! Dies ist eine der größten Veränderungen, die sich besonders für Unternehmen wie Amazon, Microsoft, Apple und Hunderten von anderen in den USA, dem zentralen Knotenpunkt für Cloud und SaaS, auswirkt.
Jetzt werden die Dinge für die meisten US-amerikanischen Technologieunternehmen, die in der Regel das Safe-Harbor-Zertifikat oder eine Art vergleichenden Datenschutz wie ISO 27001 wuchten konnten, interessant und noch wichtiger, weil die Datenschutzbestimmungen in den USA nur auf Unternehmensebene erfüllt sind, statt auf Bundesebene.

Was wird reguliert?

Es reguliert bzw. regelt alle möglichen Dinge – einige sind sehr wichtig für die Sicherheit aller, andere sind nur dazu da, dass wir nicht vergessen, auf dem neuesten Stand zu bleiben. Hier sind die Highlights:

Privacy by Design: Bedeutet, dass alle Systeme, Infrastrukturen und Programme in erster Linie davon ausgehen müssen, dass alle persönlichen Daten privat sind.
Auskunftsrecht: Unabhängig von der Sicherheit der Datenspeicherung kann das Subjekt zu jeder Zeit die Löschung der Datenfreigabe durch den Controller verlangen und eine Kopie der Daten in einem elektronischen Format kostenlos anfordern. Dieser Punkt ist enorm relevant für z. B. Facebook, Xing und LinkedIn!
Recht auf „Vergessenwerden“: Grundsätzlich kann jeder in der EU beantragen, dass seine persönlichen Daten gelöscht werden und dass alle Dritten die Verarbeitung ihrer Daten einstellen. Dabei gibt es Bedingungen für die Relevanz der Daten selbst und der Öffentlichkeit bzw. Zugänglichkeit.
Meldung von Verstößen: Wenn die Verletzung der Daten zu einer Verletzung der Rechte und Freiheiten von Subjekten / Personen führt oder dies möglicherweise zu einer Verletzung führen kann, müssen zwingende Maßnahmen ergriffen werden, die innerhalb von 72 Stunden nach Bekanntwerden der Verletzung ergriffen werden müssen. Datenverarbeiter müssen die Betroffenen unverzüglich informieren.

Wie und wer setzt die DSGVO durch?

Um einen möglichen Verstoß zu untersuchen, kann die Datenschutzbehörde (Data Protection Agency, DPA) jedes Landes den Verantwortlichen und den Datenverarbeiter anweisen, alle Informationen zur Verfügung zu stellen, die für die Erfüllung seiner Aufgaben erforderlich sind. Die Datenschutzbehörde kann ferner den Zugang zu allen personenbezogenen Daten und allen Informationen verlangen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Eine Untersuchung selbst kann aus Datenschutz-Audits bestehen, und bei Bedarf kann die Datenschutzbehörde Zugang zu allen Räumlichkeiten des für die Verarbeitung Verantwortlichen und des Verarbeitenden erhalten, einschließlich aller Datenverarbeitungsgeräte und -mittel. Wenn absehbar ist, dass eine Verarbeitung nicht der DSGVO entspricht, kann die Datenschutzbehörde einen Verantwortlichen oder einen Datenverarbeiter verwarnen.
Interessanterweise liegt der größte Teil der neuen Verordnung und der Durchsetzung der DSGVO weiterhin in der Verantwortung jedes einzelnen Landes, so dass der Ansatz in Abhängigkeit von ihrer Leistung und dem Ansatz der Verordnung noch weit davon entfernt ist, allgemein akzeptiert zu werden. Wenn man bedenkt, dass jedes Land unterschiedliche Budgets für diese Behörde hat, kann die Durchsetzung chaotisch sein.
Als Beispiel haben wir alle Webseiten der DPA-Behörden der 28 Länder besucht, von denen nur zehn das obligatorische Popup hatten, das die Verwendung von Cookies auf ihrer Website ankündigte (und alle verwendeten Tracking-Cookies). Dazu gehört die deutsche Datenschutzbehörde (BFDI Bund), eine der größten Befürworter der DSGVO.

Wer sorgt für den Datenschutz?

Es ist ratsam, aber nicht verpflichtend einen Datenschutzbeauftragten im Unternehmen zu haben.
Dieser wird ernannt und entsprechend seiner Qualifikationen über Fachwissen zu den Datenschutzgesetzen und -praktiken dafür geeignet sein. Der Datenschutzbeauftragte kann ein Mitarbeiter oder ein externer Dienstleister sein.

Die beauftragte Person darf nur an die oberste Management Ebene berichten. Ebenso darf diese Person keine anderen Aufgaben ausführen, die zu einem Interessenkonflikt führen könnten. Die Kontaktdaten zur beauftragten Person müssen der Datenschutzbehörde mitgeteilt werden. Der beauftragten Person müssen die notwendigen Ressourcen und Räumlichkeiten zur Verfügung gestellt werden, um die Aufgaben erfüllen und gesammelte Informationen bzw. Fachwissen geschützt bewahren zu können.