Ein Jahr EU-DSGVO | DatenTag am 24. Mai 2019
Am 25. Mai 2018 ist die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft getreten und seitdem anwendbar. Vorausgegangen waren dieser die europäische Datenschutzrichtlinie (1995) sowie eine zweijährige Übergangsfrist und. Die EU-DSGVO gilt unmittelbar in allen Mitgliedsstaaten der Europäischen Union und hat Anwendungsvorrang nationalem Recht gegenüber.
Flankiert wird die EU-DSGVO zum Beispiel in Deutschland vom Bundesdatenschutzgesetz (BDSG); durch Öffnungsklauseln wurde entsprechend nationaler Gestaltungsspielraum gelassen. Am Beispiel Deutschlands: das Gebot der Zweckbindung oder der Grundsatz der Datensparsamkeit wurden beibehalten.
Privacy by Design vs. Privacy by Default
Ein neuer Ansatz der EU-DSGVO ist der einer „Datenschutz-Voreinstellung“ (Privacy by Default), die einen Schritt weiter geht als „Privacy by Design“, wonach Datenschutz bei der Entwicklung neuer technologischer Lösungen implementiert werden soll.
Der Schutz und die Verarbeitung personenbezogener Daten werden in Artikel 32 der EU-DSGVO geregelt: „Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und […] der Auftragverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Dieser teilt sich nun ein in drei Stufen
1. Bewährte Technologien (Konsens)
2. Innovative Technologien (Neuschöpfung)
3. Künftige Technologien (Entwicklung)
Des Weiteren bietet das IT-Grundschutz-Kompendium (IT-GS) des Bundesamts für Sicherheit in der Informationstechnik (BSI) Überblick über den aktuellen Stand der Technik von Anwendungen bis zu Sicherheitsmanagement. Unternehmen wie Behörden erhalten hierüber beispielsweise Überblick zu Mindeststandards zu kryptografischen Verfahren und . Denn während im Rahmen der EU-DSGVO die Persönlichkeitsrechte Betroffener gewährleistet werden sollen, hat das IT-GS den Schutz von anwendenden Organisationen wie Behörden und Unternehmen zum Ziel und bietet technisches Regelwerk wie Best Practices zur Konkretisierung rechtlicher Sorgfaltspflichten.
Denn dass moderne Geschäftsprozesse ohne IT-Nutzung kaum noch auskommen, dürfte klar sein. Wird Informationstechnologie in Behörden wie Unternehmen eingesetzt, steht diese daher unter besonderem Schutz und erfordert im Arbeitsalltag Maßnahmen, das Unternehmensrisiko durch EU-DSGVO-Compliance abzusichern.
Dies betrifft alle Branchen gleichermaßen, Betreiber kritischer Infrastrukturen, wie die Gesundheitsbranche, Kreditinstitute mit bargeldlosem Zahlungsverkehr, Behörden wie kleine und mittlere Unternehmen.
Die EU-DSGVO enthält nun, anders als bisher geltendes Recht auf nationaler Ebene, eine Reihe wesentlicher Anforderungen wie
- Stärkere Rechte einzelner Personen- u.a. auf Auskunft/ Information, Berichtigung/ Löschung, das Recht auf „Vergessenwerden“, restriktivere Anforderungen an Einwilligungserklärungen
- Strengere Meldepflichten - u.a. die Verpflichtung, binnen 72 Stunden die Datenschutzbehörde und betroffene Personen über eine Verletzung es Schutzes personenbezogener Daten zu informieren
- Erhöhte Anforderungen an IT-Sicherheit
- Strengere organisatorische Anforderungen- u.a. die Verpflichtung, ein Verfahrensverzeichnis interner Datenverarbeitungstätigkeiten zu erstellen und zu pflegen, „Privacy by Default“ (Datenschutz per Voreinstellung), Erstellung von Löschkonzepten
Ein Jahr nach Inkrafttreten kann nun festgestellt werden, dass die Zahl geschlossener Websites wie die der Abmahnungen nicht so hoch sind, wie angekündigt – vermutlich auch, weil viele der Vorgaben der EU-DSGVO denen des Bundesdatenschutzgesetzes entsprechen. Auf dem #DatenTag der Stiftung Datenschutz am 24. Mai 2019 in Berlin diskutierten nun Datenschutzbeauftragte aus Bund, Ländern und Unternehmen mit Datenschutzexperten und Wissenschaftlern zu Zukunftsfähigkeit, Compliance und Ziel der EU-DSGVO wie zur Freiheit des Datenschutzes.
Deutlich wurde: Die Debatte ist lebendig, die Positionen widerstreitend („die Idee des Datenschutzes“ durch ihre Übersteigerung in der EU-DSGVO sei „gut gemeint“). Datenminimierung und Transparenz boten in der Auslegung des „dem Zweck angemessen und erheblich“ Interpretationsspielraum. Datenspeicherung in Cloud-Lösungen sollten in EU-Ländern erfolgen.
Bei aller Diversität dürfte klar sein: Es gelten besondere Schutzrichtlinien bei der Verarbeitung sensibler, geschäftskritischer Daten. Es gilt, eine ganzheitliche Sicherheitsarchitektur zu etablieren, die die verschiedenen Sicherheitsfaktoren in bestehende Plattformen und Netzwerke integrieren lässt. Kollaborationen, Versionierungen von Dateien und Dokumenten, Verknüpfungen mit Anwendungen müssen standortübergreifend gesichert werden, wobei anwendungsspezifische Lösungsszenarien Standardmaßnahmen ablösen.
Anwendungen, die Datenschutz gleich „mitliefern“ (Privacy by Default und Privacy by Design), haben hier auch in Zukunft entscheidenden Vorteil.
Haben Sie Informationsbedarf zur Datenschutz-Grundverordnung, zur Richtlinie über die Netzinformationssicherheit (NIS), der Zahlungsdiensterichtlinie (PSD2), dem Basel-III-Regelwerk, ISO- oder NIST-Normen? Wenden Sie sich gern an uns.
[IMG ©StiftungDatenschutz.org]