Häufig gestellte Fragen zur Datenschutz-Grundverordnung (DSGVO): Was Sicherheitsteams wissen müssen

Häufig gestellte Fragen zur Datenschutz-Grundverordnung (DSGVO): Was Sicherheitsteams wissen müssen

Was ist die DSGVO und wann ist die Frist für die Compliance?

Die Datenschutz-Grundverordnung (DSGVO) ist das neue EU-weite Datenschutzgesetz, das die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und das Wirrwarr der einzelnen Landesgesetze ersetzt, die die Richtlinie in jedem EU-Mitgliedsstaat implementiert haben.

Sie ist das Ergebnis mehrjähriger Verhandlungen: Der Gesetzesvorschlag wurde 2012 veröffentlicht und schließlich im April 2016 vom Europarat und dem Europäischen Parlament angenommen. Das Gesetz wurde im Mai 2016 mit einer zweijährigen Übergangsfrist verabschiedet, sodass das Gesetz im Mai 2018 voll in Kraft treten kann.

Die DSGVO gilt ab 25. Mai 2018 in allen EU-Mitgliedsstaaten, auch in Großbritannien. Insbesondere und trotz des Brexits ist die Verordnung für britische Unternehmen von großer Bedeutung und das Land muss die Verordnung einhalten, weil es zum Zeitpunkt des Inkrafttretens immer noch Mitglied der EU ist.

Da die Verordnung in etwas weniger als einem Jahr in Kraft tritt, wird es Zeit, einen Blick auf die großen Sicherheitsfragen rund um die DSGVO zu werfen:

Was passiert, wenn keine Compliance erreicht wird? Wie hoch sind die Strafen?

Die potenziellen Strafen im Rahmen der DSGVO sind sehr viel höher als unter den aktuellen Datenschutzgesetzen in den EU-Mitgliedsstaaten.

So muss ein gegen die Compliance verstoßendes Unternehmen gemäß dem Datenschutzgesetz in Großbritannien heute eine maximale Strafe von 500.000 GBP bezahlen, in der Praxis sind die Strafen jedoch geringer. Die höchste Strafe, die der britische Information Commissioner (ICO) je verhängt hat, traf den Telekomanbieter TalkTalk, der im Oktober 2016 zu einer Strafe von 400.000 GBP verurteilt wurde, nachdem sich bei der Untersuchung herausgestellt hatte, dass Talk Talk keine „grundlegenden Vorsichtsmaßnahmen“ zum Schutz von Kundendaten ergriffen hat.

All das ändert sich im Rahmen der DSGVO: Die maximale Strafe liegt ab Mai 2018 bei 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, was höher ist.

Mit den neuen Strafen steigen die Risiken eines Unternehmens und damit die Auswirkungen auf die Risikomanagementstrategien erheblich.

Welche großen Änderungen sind zu erwarten?

Die neue Datenschutz-Grundverordnung sieht zahlreiche wichtige Anforderungen vor. Zu den wichtigsten Änderungen gehören der erweiterte geografische Anwendungsbereich, eine höhere Gewichtung der Transparenz und weitreichendere Rechte für Einzelpersonen.

Eine der wichtigsten Änderungen der DSGVO ist der große geografische Anwendungsbereich des Gesetzes, das wahrscheinlich für jedes Unternehmen gelten wird, das personenbezogene EU-Daten verarbeitet, ganz egal, ob sich das Unternehmen in der EU, in Silicon Fen (GB) oder im Silicon Valley befindet. Kurz gesagt, wenn Ihre Mitarbeiter, Auftragnehmer, Kunden oder Lieferanten EU-Bürger oder -Einwohner sind und Sie ihre Daten verarbeiten, ist es so gut wie sicher, dass Sie die DSGVO einhalten oder die Konsequenzen tragen müssen.

Transparenz bedeutet, dass Unternehmen klar und deutlich erläutern müssen, wie sie die gesammelten personenbezogenen Daten verwenden möchten, d. h. es darf keine unverständlichen Seiten im Juristenjargon mehr geben. Wenn Sie eine Einverständniserklärung zur Verarbeitung der Daten einer Person zur Verfügung stellen, muss die Person verstehen, worin sie einwilligt, damit die Einwilligungserklärung gültig ist.

Judith Vieberink, eine niederländische Anwältin bei Attorney First, sagt: „Das bedeutet, dass ein Nichteinverständnis („Opt-out“) nicht mehr ausreichend ist: Die DSGVO setzt höhere Maßstäbe.“

Tim Turner, Experte für die DSGVO und Schulungsleiter bei Consultancy 2040 Training, weist darauf hin, dass in Großbritannien im Rahmen des bestehenden Datenschutzgesetzes sehr viel im Ermessen der Organisationen und des Information Commissioner liegt. Die DSGVO ist jedoch sehr viel eindeutiger mit „einer präziseren Sprache“. Er fügt hinzu: „Im Moment hat der Information Commissioner weitreichende Vollmachten, die jedoch schwer zu fassen sind.“

Dies wirkt sich auf die weitreichenderen Rechte für Einzelpersonen aus. Turner sagt: „Die gestärkten Rechte für Personen sind ein klarer Hinweis der DSGVO: Personen und Organisationen sollen in puncto Befugnisse näher zusammengebracht werden.“

Die DSGVO beinhaltet unter anderem das „Recht auf Vergessenwerden“, d. h. eine Person kann eine Organisation fragen, welche Daten sie gespeichert hat, und unter bestimmten Umständen darum bitten, die Daten zu löschen.

„Eine Organisation hat heute viele Möglichkeiten, Sie zu verwirren“, sagt Turner. „Der Einzelne hat in Zukunft mehr Befugnisse [dank DSGVO].“

Wer wird die Auswirkungen von DSGVO am meisten spüren?

Vermutlich sind die Datensubjekte am meisten betroffen, da sie sehr viel mehr Informationen und weitreichendere Rechte in puncto Verwendung ihrer Daten und Schadenersatz von Organisationen haben, die das Gesetz nicht einhalten.

Die DSGVO hat jedoch auch in und außerhalb der EU Auswirkungen auf Unternehmen, die die Verordnung einhalten müssen. Darüber hinaus sind Führungsteams in Unternehmen betroffen: „Privacy by Design“ ist ein wichtiger Stützpfeiler der DSGVO, d. h., dass Datenrichtlinien und Strategien von der obersten Hierarchie-Ebene festgelegt und durchgesetzt werden müssen, sodass sie Teil des gesamten Prozesses sind – von den anfänglichen Rahmenbedingungen eines Projekts bis hin zur Lieferung und Ausführung. Diese Aufgabe kann nicht an das IT-Team abgeschoben werden.

Darüber hinaus benötigen Unternehmen möglicherweise einen Datenschutzbeauftragten (DPO), der die Compliance überwacht und mit den Datenschutzbehörden vor Ort zusammenarbeitet.

Vieberink sagt, dass „der Datenschutzbeauftragte vom Vorstand (DSGVO Artikel 38 Satz 3) und internen und externen Auditoren unabhängig sein sollte, um ein ausgewogenes Verhältnis zwischen den wirtschaftlichen Interessen des Unternehmens und dem Recht auf Privatsphäre des Datensubjekts herzustellen“. Sie fügt hinzu: „Sie können einen DPO in Ihrem Unternehmen haben, müssen aber dann die Frage stellen: Wie sorgen wir für seine/ihre Unabhängigkeit?“

Welche Auswirkungen auf mein Informationssicherheitsteam sind zu erwarten und wie erreiche ich Compliance?

Informationssicherheitsteams haben eine sehr große Aufgabe vor sich. Viele Umfragen zeigen jedoch, dass die wenigsten europäischen Unternehmen mit den Vorbereitungen auf die DSGVO begonnen haben.

Turner sagt, dass der Ausgangspunkt „das Sammeln von Informationen ist. Sehen Sie sich den Informationsfluss in und aus Ihrer Organisation an. Sehen Sie sich an, wer Daten gespeichert hat, wer dafür verantwortlich ist. Wenn Sie kein strategisches Verständnis dafür haben, wenn Sie nicht wissen, welche Informationsgüter Sie haben, können Sie keine Compliance erreichen.“

„Compliance ist keine Kleinigkeit“, fügt Vieberink hinzu.

Welche Auswirkungen hat die DSGVO auf die Daten, die ich von meinen Kunden sammle?

Wie bereits erwähnt, müssen Organisationen, die personenbezogene Daten aufgrund einer Einwilligungserklärung verarbeiten, sicher sein, dass sie eine gültige Einwilligung von den Personen haben, deren Daten sie speichern und aufbewahren (es sollte jedoch erwähnt werden, dass es im Rahmen der DSGVO andere gesetzliche Grundlagen gibt, nach denen keine Einwilligung erforderlich ist – Hg). Darüber hinaus müssen Organisationen das Recht auf Vergessenwerden einhalten. Turner sagt: „Organisationen bewahren viele Daten auf, die sie nicht wirklich brauchen“. Er weist darauf hin, dass Organisationen in der Lage sein müssen, die Daten eines Nutzers aufzufinden und dauerhaft zu löschen.

Was passiert, wenn meine Daten in der Cloud gespeichert sind?

Auch bei einer Speicherung in der Cloud muss Ihr Unternehmen wissen, wo sich die Daten befinden. Ihre Organisation muss nachweisen, dass die Daten DSGVO-konform gespeichert und übertragen werden. Das beginnt damit „zu verstehen, wohin diese Informationsflüsse gehen und was Sie überhaupt in der Cloud speichern“, sagt Tim Turner.

Anderen Privatsphäre-Experten zufolge ist es für Unternehmen möglicherweise sinnvoll, mit Cloud-Anbietern zu arbeiten, die Zusicherungen zu Privatsphäre und DSGVO-Compliance geben können, insbesondere da einige Cloud-Anbieter immer noch Probleme haben, die DSGVO-Compliance von Mai 2018 zu erreichen.

Vieberink fügt hinzu, dass Unternehmen folgende Frage beantworten sollten: „Mit wem tausche ich außerhalb meines Unternehmens Daten aus? Welche Regeln sollte ich anwenden?“

Die DSGVO ist ein Paradigmenwechsel für Unternehmen, der eine strategische Führung von Anfang bis Ende der Vorbereitung und Implementierung von Datenrichtlinien erfordert. Wenn Sie sich bisher noch nicht mit der Thematik beschäftigt haben, ist es jetzt an der Zeit, mit den Vorbereitungen zu beginnen.

CISO Datenschutzverstoß Recht Verschlüsselung

Teilen Sie uns in der Diskussion bei LinkedIn Ihre Meinung mit!

ABONNIEREN

Melden Sie sich an und erhalten Sie aktuelle Informationen zu DSGVO & Beyond