6 elementare Änderungen im Datenschutz durch die DSGVO

6 elementare Änderungen im Datenschutz durch die DSGVO

In etwas weniger als einem Jahr tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Und bis dahin gibt es in vielen Unternehmen noch einiges zu tun.  Die Unternehmen reagieren allerdings nicht so schnell, wie sie sollten, und schieben das Thema Compliance auf die lange Bank. Wir sehen uns die sechs Bereiche genauer an, die Unternehmen, deren Ziel Compliance ist, auf ihrem Weg im Blick haben sollten.

Verpflichtung zum Aufbau eines Datenbestands sowie zur Protokollierung der Verarbeitung aller personenbezogenen Daten innerhalb der Europäischen Union

Der IDC-Analyst Duncan Brown merkt zu diesem Thema an, dass diese Vorgänge in solide geführten Unternehmen bereits gut etabliert seien, in vielen anderen Unternehmen bestünde hier aber durchaus noch Nachholbedarf.

Zu diesem Thema erklärt David Kemp, EMEA-Unternehmensberater bei Micro Focus, dass Unternehmen als Erstes daran arbeiten sollten, das Datenvolumen insgesamt zu reduzieren.  Unternehmen verfügen über viel zu viele Daten, einige davon sind schon viele Jahre alt und in unterschiedlichsten Systemen gespeichert.

Er vertritt folgende Meinung: „Unternehmen sollten das als Chance, als Vorteil sehen. Einige nehmen sich dies schon seit Jahren vor. Solche Datenvolumen verursachen Speicherkosten.“

Verpflichtende Meldungen zu Datenschutzverstößen an Aufsichtsbehörden und Einzelpersonen

Die Meldung zu Datenschutzverstößen ist die wohl drastischste Änderung, die im Rahmen der DSGVO Gültigkeit erlangt. Brown bemerkt hierzu, dass das Wichtige an dieser Meldung ist, dass Sie innerhalb von 72 Stunden erfolgen müsse, nachdem ein Datenschutzverstoß festgestellt wurde. Der Datenverantwortliche (d. h. das Unternehmen, das der Verpflichtung zur Meldung über Datenschutzverstöße unterliegt) muss einen Sicherheitsverstoß innerhalb dieses kurzen Zeitraums melden – das ist wirklich eine große Herausforderung.

„In der Wirtschaft beträgt die durchschnittliche Dauer bis zur Entdeckung eines Datenschutzverstoßes 200 Tage“, so Brown. „Das heißt acht Monate, während welcher sich jemand in Ihrem System befindet.“

Brown zufolge böte die DSGVO hier eine gute Orientierungshilfe. „Unternehmen sollten daher entsprechende Systeme implementieren, um Verstöße schneller entdecken zu können, und sie sollten außerdem einen Reaktionsplan für solche Verstöße aufstellen. Die zweite Anforderung ist die Benachrichtigung des Datensubjekts … Es ist wichtig, mit den Kunden zu sprechen, und vermutlich möchten Sie das tun, bevor Sie die Aufsichtsbehörde informieren.“

Diese Anforderungen bringen ein weiteres Problem ans Tageslicht: die Unzulänglichkeit von Sicherheitstools. Unternehmen haben umfassende Investitionen in die Sicherheit getätigt, aber trotzdem besteht ein großes Problem. „Die meisten Unternehmen haben die besten für sie erschwinglichen Lösungen erworben, aber sie sprechen nicht miteinander: Sie sind schlecht integriert“, sagt Brown.

Um den DSGVO-Anforderungen gerecht werden zu können, sollten Unternehmen an einer Integration der Sicherheitstools arbeiten. „Die Vielzahl der Produkte stellt gegenwärtig ein Risiko dar. Wir können bereits feststellen, dass Unternehmen nicht mehr gewillt sind, Sicherheitsprodukte zu erwerben, wenn diese nicht integriert werden können“, fügt Brown weiter hinzu.

Das Recht auf Vergessenwerden (das es Einzelpersonen ermöglicht, das Löschen ihrer personenbezogenen Daten zu verlangen)

Im Jahr 2014 forderte der Europäische Gerichtshof im Rahmen des so genannten „Rechts auf Vergessenwerden“ Google dazu auf, bestimmte Verweise auf einen EU-Bürger zu löschen. Ein spanischer Bürger, Mario Costeja Gonzalez, hatte argumentiert, dass der Weltmarktführer unter den Suchmaschinen Informationen über ihn gespeichert hatte, die sich negativ auf seine Geschäftstätigkeit auswirkten. Google wies diesen Vorwurf mit dem Argument zurück, dass das Unternehmen nicht Datenverantwortlicher sei (der negative Artikel war auf der Webseite eines Publizisten veröffentlicht) und die Informationen (ein Auktionshinweis) bereits öffentlich verfügbar waren. Diesen Fall verlor Google und sah sich im Ergebnis tausenden Anfragen in Bezug auf das Recht auf Vergessenwerden gegenüber.

Dieses Recht (das auch als das „Recht auf Löschung“ bezeichnet wird) bestünde bereits im Rahmen der gültigen EU-Datenschutzgesetze und sei nun ein elementarer Bestandteil der DSGVO, sagt Judith Vieberink, Rechtsanwältin der Kanzlei First Lawyers mit Sitz in den Niederlanden.

„Diese Vorgänge sollten zentral verwaltet werden, um einen automatisierten Prozess zur Datenlöschung sicherzustellen.“

Das macht die Zusammenarbeit unterschiedlicher Abteilungen erforderlich. Weiter fügt sie hinzu: „Dies sollte im Bereich des IT-Helpdesks integriert werden, so wird eine Automatisierung des Prozesses erleichtert.“ Andere Experten hingegen argumentieren, dieser Ansatz solle Hand in Hand mit der Anfrage von Unternehmen nach Rechtsberatung gehen, um sicherzustellen, dass die Anwendung des Rechts auf Vergessenwerden ordnungsgemäß erfolge.

Datenschutz-Folgenabschätzung als Routinemaßnahme

Im Rahmen der DSGVO ist es empfehlenswert, Datenschutz-Folgeabschätzungen durchzuführen, insbesondere in Fällen, in denen die Verarbeitung von Daten ein gesteigertes Risiko für die Rechte und Freiheit einer Einzelperson darstellt. Manche betrachten diese Form von Compliance einfach als leidiges Abhaken von Punkten, andere hingegen argumentieren, dass hierdurch neue Geschäftsmöglichkeiten geschaffen werden.

Dane Warren, Verantwortlicher für die IT-Sicherheit der Intertek Group, spricht sich für Datenschutz-Folgeabschätzungen aus, da Unternehmen so ermitteln könnten, welche Daten wo gespeichert sind.

Ihm zufolge ergeben sich aus einer solchen Abschätzung Vorteile: „Organisationen führen eine Datenermittlung durch und können so ihre Anwendungen besser verstehen.“

Brown von IDC erläutert weiter, dass Unternehmen dabei nicht nur auf ihre eigenen Geräte angewiesen seien. „Es gibt Tools, die Sie für eine Datenschutz-Folgebewertung nutzen können. Und außerdem gibt es Richtlinien des internationalen Datenschutzverbandes IAPP (International Association of Privacy Professionals), eine solche Bewertung ist also keine reine Spekulation.“

Brown hebt allerdings auch hervor, dass dieser Bereich nicht vernachlässigt werden sollte, da die DSGVO nicht nur Datenschutzverstöße beträfe.

„Sie können gegen die DSGVO verstoßen, ohne einen Datenschutzverstoß zu begehen.“  Es ist wirklich wichtig, dass die Führungsetage von Unternehmen Datenschutz-Folgebewertungen ernst nimmt und sie als elementaren Bestandteil einer Risikobewertung implementiert. „Die Aufsichtsbehörde erhält kein klares Bild, wenn die Gespräche nur noch kurz zum Ende von Vorstandssitzungen eingeschoben werden,“ fügt er noch hinzu.

Pflicht zur Bestellung eines Datenschutzbeauftragten

Eine der größten Änderungen, die mit der DSGVO einher geht, ist die neue Bedeutung der Position des Datenschutzbeauftragten.  Für den öffentlichen Bereich gilt hier eine Verpflichtung zur Bestellung.

Woher sollen diese Personen aber kommen? Man kann durchaus sagen, dass die Organisationen sich bei der Besetzung dieser wirklich wichtigen Rolle nicht gerade überschlagen. Laut Kemp von Micro Focus bestünden EU-weit 28.000 offene Stellen für Datenschutzbeauftragte.

Die Schwierigkeit besteht darin, dass es nur wenige Personen gibt, die alle mit der Rolle verbundenen Anforderungen erfüllen. Kemp ist der Meinung, dass ein Schulungsprogramm erforderlich sei, da es nur so wenige Datenschutzbeauftragte gäbe.

„Viele Kandidaten werden aus dem betriebsinternen Audit stammen,“ so sagt er. „Denn im Audit geht es genau darum: die Einhaltung von Regeln erzwingen. Ich beobachte aber auch, dass immer mehr Rechtsanwaltskanzleien diese Rolle als Dienstleistung für Unternehmen erbringen. Den Mandanten wird ein Rechtsanwalt zur Verfügung gestellt, der im Kundenunternehmen die Rolle des Datenschutzbeauftragten übernimmt.“

Vieberink merkt hierzu an, dass Kanzleien als Schulungsorganisationen fungieren könnten. „Ein Datenschutzbeauftragter muss ein bisschen von allem wissen, daher bieten wir Kurse mit 30 unterschiedlichen Modulen an. Dabei werden die großen Themenbereiche Rechnungswesen, Rechnungsprüfung, Recht und Technik behandelt.  Diese Position sei ihr zufolge nicht für neue Absolventen bzw. Berufseinsteiger geeignet.

„Eine solche Position ist eigentlich für Mitarbeiter um die 45 [Jahre] geeignet, die ihre berufliche Ausrichtung ändern möchten und auf der Suche nach einer neuen Herausforderung sind.“ Die Rolle des Datenschutzbeauftragten ist jedoch kein optionales Extra, daher sollten Unternehmen die Stellen schnellstmöglich besetzen.

Datenübertragbarkeit und Löschung

Dieses Element der DSGVO sei Brown (IDC) zufolge eine umstrittene Regelung. „Die Aufsichtsbehörden haben die technische Komplexität dieses Aspekts nicht wirklich erfasst, denn hier bestehen aus technischer Perspektive betrachtet erhebliche Herausforderungen.“ So erklärt er beispielsweise, dass im Falle von archivierten Daten ein Stromausfall Schwierigkeiten für die Wiederherstellung der Daten aus dem Archiv mit sich brächte.  Ihm zufolge müssten außerdem Prozesse implementiert werden, um sicherzustellen, dass die zu löschenden Daten auch wirklich gelöscht werden.

Dies ist jedoch nicht die einzige Schwierigkeit. Ein weiteres Problem bestünde laut Brown darin, was Unternehmen unter personenbezogene Daten verstehen. Er stellt die Frage: „Was genau meinen wir mit Daten?“

Es ist wirklich schwierig, hier eine gute Antwort zu finden. „Die Verordnung enthält eine etwa halbseitige Regelung zu diesem Thema, aber die technische Umsetzung ist wirklich komplex“, sagt er. Dies ist einer der Bereiche, in denen die Theorie der DSGVO von der Realität abweicht. „Allerdings“, so fügt Brown hinzu, „ergibt sich natürlich auch ein Wettbewerbsvorteil für all jene, die demonstrieren, dass sie die geltenden Gesetze respektieren und entsprechend handeln.“

CISO Compliance-Beauftragter Datenschutzbeauftragter Datenschutzverstoß Recht

Teilen Sie uns in der Diskussion bei LinkedIn Ihre Meinung mit!

ABONNIEREN

Melden Sie sich an und erhalten Sie aktuelle Informationen zu DSGVO & Beyond