DSGVO: Effektive Technologien und userfreundliche Plug-ins sind ein Muss

CIOProjekte

In vielen Firmen laufen die Vorbereitung, um im Mai 2018 wie von der EU verlangt, die Anforderungen an die DSGVO zu erfüllen. Dabei sollte jedoch nicht vergessen werden, dass die eingesetzte Technik auch handhabbar bleiben muss.

Dr. Christopher Kunz (Bild: Filoo)
Dr. Christopher Kunz, der Autor dieses Gastbeitrags für silicon.de, ist Geschäftsführer der Filoo GmbH, einem Anbieter von Managed-Hosting-Lösungen und virtuellen Servern für mittelständische Unternehmen. (Bild: Filoo)

Mit der Datenschutz-Grundverordnung der EU (EU-DSGVO) müssen bestehende Systeme auf den Prüfstand: Genügen die aktuellen Lösungen den Vorgaben? Werden die Automatismen der Speicherung persönlicher Daten dem “Recht auf Vergessen” gerecht? Ist der Datenfluss zu jeder Zeit transparent? Die Datenschutzgrundverordnung schreibt auch vor, dass Unternehmen präzise dokumentieren können müssen, wo sich Daten befinden, wie sie erfasst und gespeichert werden und wer darauf zugreifen kann.

Schon beim Design eines IT-Systems müssen Datenschutzaspekte an erster Stelle stehen. Das betrifft nicht nur die Datensicherheit, sondern vor allem auch die Privatsphäre der Nutzer dieser Systeme. Datenschutzfördernde Technologien und datenschutzfreundliche Voreinstellungen sollten in Zukunft integraler Bestandteil des Designprozesses von IT-Systemen sein, besonders wenn es um die Verarbeitung personenbezogener Daten geht.

Diesbezüglich werden durch die EU-Richtlinie folgende Punkte EU-weit vereinheitlicht:

  • Das “Recht auf Vergessenwerden”
  • Datenschutz durch Technikgestaltung
  • Verpflichtung eines Datenschutzbeauftragten
  • Risikoanalyse für bestehende Daten
  • Datenübermittlung aus der EU in Drittstaaten
    • Das “Recht auf Vergessenwerden”

      Schon im Bundesdatenschutzgesetz (BDSG) ist festgeschrieben, dass Personen ein Recht darauf haben, dass unrichtige Daten über sie im Netz berichtigt werden, umstrittene Daten gesperrt und Daten gelöscht oder gesperrt werden müssen, wenn sie unzulässiger Weise gespeichert wurden. Die EU-Datenschutzgrundverordnung geht da noch einen Schritt weiter. Sie führt nicht nur die Berichtigungspflicht fort, sondern ergänzt noch eine Vervollständigungspflicht.

      Checkliste (Bild: Shutterstock/Karuka)

      Wurden unvollständige Daten – zum Beispiel veraltete und somit irreführende Kredit-Informationen – gespeichert, sind die Verantwortlichen nun verpflichtet, diese zu vervollständigen. Zudem fordert die EU-DSGVO, dass im Falle der Löschung automatisch alle Stellen verständigt werden, denen die zu löschenden Daten zur Speicherung weitergegeben wurden – wenn dies nicht „unverhältnismäßigen Aufwand“ erfordert und den “schutzwürdigen Interessen des Betroffenen” entgegensteht. Die Löschpflicht umfasst zudem Links auf die Daten sowie Kopien der Daten.

      Laut Aussage des TÜV Süd scheinen die Löschkonzepte vieler Unternehmen diese Anforderungen aber zum aktuellen Zeitpunkt nicht zu erfüllen. Der TÜV Süd bietet im Netz eine Checkliste an: den Datenschutzindikator (DSI). Der zeige, dass etwa die Hälfte der Unternehmen, die das Tool benutzt haben, keine klare Regelung für die Sperrung oder Löschung von nicht länger benötigten Daten haben.

      Tipp der Redaktion

      EU-Datenschutzgrundverordnung (DSGVO)

      Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

      Das Auskunftsrecht beinhaltet nicht nur Auskünfte über Art und Zweck der verarbeiteten Daten, sondern auch – zum Beispiel bei Kredit-Scores – Informationen über die verwendete Logik beim Profiling. Damit nicht genug: Das neue “Recht auf Datenportabilität” besagt, dass alle Daten, die bei einem Dienstleister zu einer Person gespeichert wurden, in einer standardisierten Form – zum Beispiel als JSON- oder XML-Datei oder in einem anderen weit verbreiteten Format – auf Wunsch an diese Personen herausgegeben werden können müssen.

      Worüber sich Unternehmen sorgen, sollte ein Verstoß gegen die EU-Datenschutzgrundverordnung bekannt werden: (Bild: Veritas)
      Worüber sich Unternehmen sorgen, sollte ein Verstoß gegen die EU-Datenschutzgrundverordnung bekannt werden: (Bild: Veritas)

      Die Anforderungen an dieses Format sind detailliert: Es muss strukturiert, gängig, maschinenlesbar und interoperabel sein, um den Umzug personenbezogener Daten zu einem neuen Anbieter (etwa einem sozialen Netzwerk, IoT-Plattform oder Telekommunikationsanbieter) zu erleichtern. Wenn technisch machbar, sollen personenbezogene Daten auf Wunsch des oder der Betroffenen sogar direkt zwischen den Anbietern ausgetauscht werden – ein automatisierter Umzug also.

      Hier kommt einiges an Arbeit auf Anbieter zu, die im großen Umfang personenbezogene Daten erheben und verarbeiten; die EU-Kommission will mit dieser weit gefassten Regelung mögliche „Vendor Lock-Ins” gerade bei sozialen Netzwerken beseitigen und mehr Transparenz forcieren.

      Spätestens jetzt sollten Unternehmen genau analysieren, welchen Weg personenbezogene Daten in ihren Fachsystemen nehmen – die Checkliste vom TÜV Süd kann da hilfreiche Hinweise geben.

      Datenschutz durch Technikgestaltung

      code-monitor (Bild: Shutterstock)

      Das Konzept des Datenschutzes durch Technikgestaltung (Privacy by Design) ist ebenfalls eigentlich nichts Neues. Diesen Grundsatz findet man bereits in der Datenschutzrichtlinie RL 1995/46/EG von 1995. In Verbindung mit dem Konzept datenschutzfreundlicher Voreinstellungen (Privacy by Default) in der Datenschutzrichtlinie für elektronische Kommunikation RL 2002/58/EG findet der Grundsatz eine Erweiterung. Aber es waren bisher eben nur Richtlinien. Rechtswirksam waren diese Leitlinien bisher nicht, auch fehlte eine verbindliche Umsetzung in nationales Recht.

      Das ändert sich nun durch die EU-Datenschutz-Grundverordnung. Sie schreibt entsprechende Konzepte als “Data Protection by Design” und “Data Protection by Default” in Artikel 25 vor. Zudem – und das kann im Falle eines Verstoßes für Unternehmen sehr schmerzlich werden – verhängt sie Sanktionen, die “in jedem Einzelfall wirksam, verhältnismäßig und abschreckend” sein sollen.

      Deshalb ist es für Unternehmen, die personenbezogene Daten verarbeiten oder Anwendungen entwickeln, die für die Verarbeitung solcher Daten genutzt werden, von großer Bedeutung, dass bereits in der Entstehungs- und Entwicklungsphase

      • alle datenschutzrelevanten Vorgaben ins Konzept eingearbeitet werden,
      • die Anwendung datenschutzgerecht gestaltet wird und
      • datenschutzfreundliche Voreinstellungen für die Nutzer bedacht werden.

      Das bedeutet, dass ein höchstmögliches Schutzniveau standardmäßig implementiert werden muss.

      Ein konkretes Beispiel: Fragt ein Online-Shop Daten seiner Kunden mittels eines Onlineformulars ab, sollten in Zukunft alle nicht businessrelevante Angaben (das können Telefonnummern oder ähnliches sein) entfallen. Produktmanager und Entwickler sollten sich also im Vorhinein Gedanken machen, was unbedingt benötigt wird und was bisher lediglich aus „Freude am Datensammeln“ abgefragt wurde. Dazu eignet sich am besten eine Checkliste, die man konsequent abarbeitet.

      Verpflichtung eines Datenschutzbeauftragten

      Wenn die Datenschutz-Grundverordnung im Mai 2018 in Kraft getreten ist, wird es für bestimmte Unternehmen erstmals eine europaweit geltende Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten geben (Art. 37 DSGVO). Für definierte Unternehmen war das in Deutschland auch zuvor schon Pflicht, allerdings macht die europaweit geltende Richtlinie die Aufgaben komplexer.

      Ausgewähltes Whitepaper

      EU-Datenschutzgrundverordnung: Warum Insellösungen keine Lösung sind

      Ende Mai 2018 endet die Übergangsfrist für die EU-Datenschutzgrundverordnung (EU-DSGVO). Dann greifen in Europa die neuen, strengen Datenschutzregelungen. Firmen, die dagegen verstoßen, drohen Strafen bis zu 20 Millionen Euro oder 4 Prozent ihres Jahresumsatzes. Vor dem Hintergrund ist eine umfassende Gesamtstrategie gefragt.

      Selbstverständlich kann jedes andere Unternehmen freiwillig einen Datenschutzbeauftragten bestellen. Das kann sowohl ein interner als auch ein externer Datenschutzbeauftragter sein. Nun handelt es sich bei der Bestellung eines Datenschutzbeauftragten ja nicht um eine technische Maßnahme. Wir erwähnen diesen Bereich hier trotzdem, weil sich die Anforderungen an die Stelle erhöhen. Das heißt: Das technische Verständnis desjenigen, der diese Funktion in einem oder für ein Unternehmen übernimmt, muss ebenso umfassend sein wie seine juristischen Kenntnisse bezüglich des Datenschutzes.

      Die Besetzung dieser Stelle sollte auf keinen Fall unterschätzt werden, auch wenn grundsätzlich „jedermann“ benannt werden kann. Unternehmen sollten sich der Komplexität ihrer technologischen Anwendungen ebenso bewusst sein wie der Dynamik, mit der sich in der Regel IT-Projekte entwickeln.

      Risikoanalyse für bestehende Daten

      Durch die nahende Einführung der EU-DSGVO ist vielen Unternehmen die Relevanz bewusst geworden, die ein effektives System zum Datenschutzmanagement hat. In Anbetracht der Fülle an Vorschriften, Empfehlungen und technischen Möglichkeiten ist dies aber gar nicht so einfach. Da macht zum Projektstart die Durchführung einer Risikoanalyse Sinn.

      Bei der Datensicherheit, also der IT-Security, gibt die EU-DSGVO ein angemessenes Schutzniveau unter Berücksichtigung des Standes der Technik als Minimalkriterium für die Datensicherheit vor – unter Anderem schließt dieses Schutzniveau Sicherheits-Audits und Verschlüsselung sensitiver Daten ein. Höchste Zeit also für regelmäßige Audits und eine umfassende Sicherheitsanalyse!

      Datenübermittlung aus der EU in Drittstaaten

      Die Übermittlung personenbezogener Daten aus der EU in Drittstaaten ist eines der schwierigsten Themen des Datenschutzrechts. Im Fokus steht wie bisher, ob der Datenverarbeiter im Drittland ein “angemessenes Datenschutzniveau2 einhält. Allerdings wurden die Anforderungen an die Feststellung des angemessenen Niveaus in Artikel 45 der EU-DSGVO im Vergleich zur bisherigen Rechtslage verschärft. Das Unternehmen, das personenbezogene Daten europäischer Bürger in Drittländer vermittelt, muss sich seiner Verantwortung bezüglich der gesamten Datenverarbeitungskette bewusst sein. Besonders bei der Nutzung vieler Cloud-Angebote ist das von Bedeutung.

      Das bedeutet, dass Unternehmen genau wissen sollten,

      • welche Daten erhoben werden,
      • wie die Daten gespeichert werden
      • und wie die Daten (und eventuell vorhandene Backups) wirksam gelöscht werden
        können.

      Die Vorschriften gelten übrigens nicht nur für die erstmalige Übermittlung personenbezogener Daten an einen Dienstleister im Drittland. Auch bei der Weiterübermittlung durch den Dienstleister im Drittland selbst, muss immer sichergestellt sein, dass die Anforderungen an die internationale Datenübermittlung und die sonstigen Bestimmungen des EU-DSGVO eingehalten werden. So soll verhindert werden, dass das Datenschutzniveau der EU-DSGVO untergraben wird.

      Ausgewähltes Whitepaper

      Digitalisierung des Vertragsmanagements

      Verträge und vor allem Vertragsinhalte sind wesentliche Faktoren für den Erfolg oder Misserfolg eines Unternehmens. Dieses Whitepaper behandelt die Aspekte, die für eine Digitalisierung der Vertragsverwaltung sowie damit verbundener Prozesse sprechen und erläutert die Vorteile.

      Neu im Vergleich zur bisherigen Rechtslage ist auch der territoriale Anwendungsbereich. Der folgt ab Mai 2018 dem sogenannten Marktortprinzip. Das heißt: Sogar, wenn ein Unternehmen keinen Sitz und keine Niederlassung in einem EU-Land hat, es aber Personen aus der Europäischen Union Waren oder Dienstleistungen anbietet oder deren Daten verarbeitet, gilt die EU-DSGVO.

      Der Datenschutzbeauftragte des Landes Nordrhein-Westfalen empfiehlt daher, „für Übermittlungen von personenbezogenen Daten in Drittstaaten möglichst umfassende Verschlüsselung einzusetzen.” Die Schlüsselverwaltung sollte zudem möglichst beim Datenexporteur aus dem EU-Land liegen.

      Über den Autor

      Dr. Christopher Kunz (Bild: Filoo)

      Dr. Christopher Kunz ist Geschäftsführer der Filoo GmbH. Das GütersloherUnternehmen ist spezialisiert in Aufbau und Betrieb von Managed-Hosting-Lösungen sowie virtuellen Servern für mittelständische Unternehmen. Dr. Kunz ist Co-Autor eines Standardwerks zu Web Security, Autor verschiedener Fachartikel und hat auf Konferenzen im In- und Ausland gesprochen.