Ziel der neuen Datenschutzgrundverordnung (DSGVO) ist es, einen europaweit gültigen, einheitlichen Rahmen für die Verarbeitung und Speicherung personenbezogener Daten zu schaffen. Doch wen betrifft sie, welche Maßnahmen sind zu treffen und welche Konsequenzen drohen bei Nichteinhaltung der Regularien?
Wenn die neue EU-Datenschutzgrundverordnung am 25. Mai 2018 zur Vereinheitlichung des europäischen Datenschutzrechtes in Kraft tritt, sind Unternehmen verpflichtet, personenbezogene Daten mit adäquaten technischen und organisatorischen Maßnahmen zu schützen. Sie müssen jederzeit in der Lage sein, die Rechtmäßigkeit der Datenverarbeitung gegenüber Aufsichtsbehörden nachzuweisen. Wer die ordnungsgemäße Verarbeitung dieser Daten nicht nachweisen kann oder wichtige Belege verliert, riskiert empfindliche Bußgelder. Doch die erhöhte Dokumentationspflicht stellt Unternehmen vor große Herausforderungen. Dazu stehen immer noch einige ungeklärte Fragen in Raum.
Die neue EU-Datenschutzgrundverordnung unterscheidet prinzipiell nicht nach Unternehmensgröße. Der Mythos, dass kleine Unternehmen oder Einzelunternehmer nicht von den Auswirkungen betroffen sind, hält sich dennoch hartnäckig – was immense Risiken birgt. Denn für Verletzungen des Datenschutzes werden, insofern nicht mit entsprechenden Maßnahmen vorgebeugt wurde, Geldbußen von bis zu 4 Prozent des (konzernweiten) Jahresumsatzes oder bis zu 20 Millionen Euro verhängt.
Laut Artikel 37 der DSGVO brauchen alle Unternehmen, in denen personenbezogene Daten automatisiert verarbeitet werden, einen Datenschutzbeauftragten. Darunter fallen etwa Namen, E-Mail-Adressen, Kontonummern und Standort des Kunden. Unternehmen unter 10 Mitarbeitern müssen keinen Datenschutzbeauftragten einstellen.
Es ist richtig, dass Deutschland europaweit teilweise über die strengsten Datenschutzgesetze verfügt. Doch die neue DSGVO soll nicht nur den Datenschutz der EU-Ländern verbessern, sondern insbesondere vereinheitlichen. Das bedeutet für hierzulande ansässige Unternehmen, dass Regelungen teilweise nicht mehr so streng gehandhabt werden, manche aber auch strenger oder ganz neu sind. Dazu gehören:
Rechte der Betroffenen
Anfragen von Betroffenen, etwa dazu, welche Daten im Unternehmen hinterlegt sind, müssen innerhalb von 4 Wochen beantwortet werden. Bei Nichteinhaltung droht eine Anzeige beim Landesdatenschutzbeauftragten. Diese Regelung wurde früher weitaus weniger restriktiv gehandhabt.
Portabilität der Daten
Personenbezogene Daten müssen auf Wunsch binnen 4 Wochen zu einem anderen Anbieter oder Wettbewerber übertragen werden können. Sie müssen in auslesbarer Form vorhanden sein, sodass sie dem Kunden oder dem Inhaber der Daten zur Verfügung gestellt werden können. Hier ist die größte Herausforderung für Unternehmen, relevante Daten auf einer einheitlichen Plattform oder in einem einheitlichen System zu bündeln, um Daten auf Anfrage im dafür vorgesehenen Zeitraum exportieren zu können.
Zweckbindung
Daten dürfen nur zweckgebunden erhoben und verarbeitet werden. Dazu müssen diese Zwecke im Vorfeld formuliert und die künftige Verwendung der Daten dokumentiert werden. Werden Daten beispielsweise nur zu Vertragszwecken erhoben, dürfen sie nicht zu Werbezwecken verwendet werden.
Datenminimierung
So wenig wie möglich, so viel wie nötig: Datenerhebung auf Vorrat ist verboten.
Kopplungsverbot
Das Kopplungsverbot betrifft hauptsächlich Webseitenbetreiber. Demnach dürfen potenzielle Kunden nicht zur Abgabe von Daten verpflichtet werden, die für Leistung und Service nicht nötig sind. So darf etwa die Newsletter-Anmeldung für das Zustandekommen eines Vertragsverhältnisses nicht bindend sein.
Transparenz
Dieses Prinzip betrifft nicht nur die erwähnte Auskunft auf Anfrage, sondern auch die Nachvollziehbarkeit der Datenerhebung. Dazu braucht es verständliche Datenschutzerklärungen.
Vertraulichkeit
Unternehmen sind verpflichtet, die personenbezogenen Daten ihrer Kunden technisch und organisatorisch vor Missbrauch, Verlust und Vernichtung zu schützen. Allerdings sind die nötigen Maßnahmen in der DSGVO nicht präzise formuliert – bieten also allen Unternehmen einen gewissen Spielraum. Am Ende kommt es im Schadensfall darauf an, zu entscheiden, ob die technischen und organisatorischen Schutzmaßnahmen dem drohenden Risiko angemessen waren.
Wie bereits erwähnt, sieht die DSGVO keine speziellen Maßnahmen vor, deren Umsetzung bindend ist. Dennoch sollten Sie die nötigen Vorkehrungen treffen, um auf der sicheren Seite zu sein. Im Folgenden haben wir die wichtigsten Punkte für Sie zusammengestellt:
Ein, gerade im Rahmen der neuen DSGVO, unterschätztes Risiko bergen USB-Sticks. Beachten Sie: Um den ultimativen Datengau zu vermeiden, muss analysiert werden, auf welchen Datenträgern sensible Informationen liegen. USB-Sticks befinden sich überall im Unternehmen und teilweise sogar bei den Mitarbeitern zuhause. Schlimmer noch: Studienergebnissen zufolge gehen in rund 75 Prozent der Unternehmen hin und wieder USB-Sticks verloren; 80 Prozent der verwendeten Datenspeicher verfügen über keine hardwarebasierte Verschlüsselung. Ein Verlust kann nicht nur empfindliche Strafen hinsichtlich der DSGVO nach sich ziehen, sondern auch dem Kundenverhältnis und der Reputation des Unternehmens schaden. Setzen Sie daher nur verschlüsselte USB-Sticks ein: Ein gutes Qualitätsmerkmal für Verschlüsselung sind freiwillige Herstellerzertifizierungen wie beispielsweise FIPS 197 oder 140-Level3. Sind personenbezogene Daten sicher verschlüsselt – die 256-Bit-AES-Verschlüsselung entspricht dem neuesten Stand der Technik – sind die Informationen selbst bei einem Datendiebstahl oder einer Datenpanne unbrauchbar. In diesem Fall entfällt die Informationspflicht an Betroffene, da keine Gefahr besteht.
Ein Beispiel hierfür ist die Produktserie DataTraveler DTVP3.0 von Kingston Technology. Hier finden Sie weitere USB-Sticks
