GDPR - DatenTag

Ein Jahr EU-DSGVO | DatenTag am 24. Mai 2019

Am 25. Mai 2018 ist die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft getreten und seitdem anwendbar. Vorausgegangen waren dieser die europäische Datenschutzrichtlinie (1995) sowie eine zweijährige Übergangsfrist und. Die EU-DSGVO gilt unmittelbar in allen Mitgliedsstaaten der Europäischen Union und hat Anwendungsvorrang nationalem Recht gegenüber.

Flankiert wird die EU-DSGVO zum Beispiel in Deutschland vom Bundesdatenschutzgesetz (BDSG); durch Öffnungsklauseln wurde entsprechend nationaler Gestaltungsspielraum gelassen. Am Beispiel Deutschlands: das Gebot der Zweckbindung oder der Grundsatz der Datensparsamkeit wurden beibehalten.

Privacy by Design vs. Privacy by Default

Ein neuer Ansatz der EU-DSGVO ist der einer „Datenschutz-Voreinstellung“ (Privacy by Default), die einen Schritt weiter geht als „Privacy by Design“, wonach Datenschutz bei der Entwicklung neuer technologischer Lösungen implementiert werden soll.

Der Schutz und die Verarbeitung personenbezogener Daten werden in Artikel 32 der EU-DSGVO geregelt: „Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und […] der Auftragverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Dieser teilt sich nun ein in drei Stufen

1. Bewährte Technologien (Konsens)

2. Innovative Technologien (Neuschöpfung)

3. Künftige Technologien (Entwicklung)

Des Weiteren bietet das IT-Grundschutz-Kompendium (IT-GS) des Bundesamts für Sicherheit in der Informationstechnik (BSI) Überblick über den aktuellen Stand der Technik von Anwendungen bis zu Sicherheitsmanagement. Unternehmen wie Behörden erhalten hierüber beispielsweise Überblick zu Mindeststandards zu kryptografischen Verfahren und generell zu IT-Sicherheit und EU-DSGVO. Denn während im Rahmen der EU-DSGVO die Persönlichkeitsrechte Betroffener gewährleistet werden sollen, hat das IT-GS den Schutz von anwendenden Organisationen wie Behörden und Unternehmen zum Ziel und bietet technisches Regelwerk wie Best Practices zur Konkretisierung rechtlicher Sorgfaltspflichten.

Denn dass moderne Geschäftsprozesse ohne IT-Nutzung kaum noch auskommen, dürfte klar sein. Wird Informationstechnologie in Behörden wie Unternehmen eingesetzt, steht diese daher unter besonderem Schutz und erfordert im Arbeitsalltag Maßnahmen, das Unternehmensrisiko durch EU-DSGVO-Compliance abzusichern.

Dies betrifft alle Branchen gleichermaßen, Betreiber kritischer Infrastrukturen, wie die Gesundheitsbranche, Kreditinstitute mit bargeldlosem Zahlungsverkehr, Behörden wie kleine und mittlere Unternehmen.

Die EU-DSGVO enthält nun, anders als bisher geltendes Recht auf nationaler Ebene, eine Reihe wesentlicher Anforderungen wie

  • Stärkere Rechte einzelner Personen- u.a. auf Auskunft/ Information, Berichtigung/ Löschung, das Recht auf „Vergessenwerden“, restriktivere Anforderungen an Einwilligungserklärungen
  • Strengere Meldepflichten - u.a. die Verpflichtung, binnen 72 Stunden die Datenschutzbehörde und betroffene Personen über eine Verletzung es Schutzes personenbezogener Daten zu informieren
  • Erhöhte Anforderungen an IT-Sicherheit
  • Strengere organisatorische Anforderungen- u.a. die Verpflichtung, ein Verfahrensverzeichnis interner Datenverarbeitungstätigkeiten zu erstellen und zu pflegen, „Privacy by Default“ (Datenschutz per Voreinstellung), Erstellung von Löschkonzepten

Ein Jahr nach Inkrafttreten kann nun festgestellt werden, dass die Zahl geschlossener Websites wie die der Abmahnungen nicht so hoch sind, wie angekündigt – vermutlich auch, weil viele der Vorgaben der EU-DSGVO denen des Bundesdatenschutzgesetzes entsprechen. Auf dem #DatenTag der Stiftung Datenschutz am 24. Mai 2019 in Berlin diskutierten nun Datenschutzbeauftragte aus Bund, Ländern und Unternehmen mit Datenschutzexperten und Wissenschaftlern zu Zukunftsfähigkeit, Compliance und Ziel der EU-DSGVO wie zur Freiheit des Datenschutzes.

Deutlich wurde: Die Debatte ist lebendig, die Positionen widerstreitend („die Idee des Datenschutzes“ durch ihre Übersteigerung in der EU-DSGVO sei „gut gemeint“). Datenminimierung und Transparenz boten in der Auslegung des „dem Zweck angemessen und erheblich“ Interpretationsspielraum. Datenspeicherung in Cloud-Lösungen sollten in EU-Ländern erfolgen.

Bei aller Diversität dürfte klar sein: Es gelten besondere Schutzrichtlinien bei der Verarbeitung sensibler, geschäftskritischer Daten. Es gilt, eine ganzheitliche Sicherheitsarchitektur zu etablieren, die die verschiedenen Sicherheitsfaktoren in bestehende Plattformen und Netzwerke integrieren lässt. Kollaborationen, Versionierungen von Dateien und Dokumenten, Verknüpfungen mit Anwendungen müssen standortübergreifend gesichert werden, wobei anwendungsspezifische Lösungsszenarien Standardmaßnahmen ablösen.

Anwendungen, die Datenschutz gleich „mitliefern“ (Privacy by Default und Privacy by Design), haben hier auch in Zukunft entscheidenden Vorteil.

Haben Sie Informationsbedarf zur Datenschutz-Grundverordnung, zur Richtlinie über die Netzinformationssicherheit (NIS), der Zahlungsdiensterichtlinie (PSD2), dem Basel-III-Regelwerk, ISO- oder NIST-Normen? Wenden Sie sich gern an uns.

[IMG ©StiftungDatenschutz.org]

Informationen anfordern

Sie haben Fragen oder benötigen weitere Informationen? Nutzen Sie hierzu einfach unser Kontaktformular und wir setzen uns umgehend mit Ihnen in Verbindung.

Marketing-Einverständniserklärung

Ich möchte Informationen von Rohde & Schwarz erhalten per

Was bedeutet das im Einzelnen?

Ich bin damit einverstanden, dass die ROHDE & SCHWARZ GmbH & Co. KG und die im Impressum dieser Website genannte, ROHDE & SCHWARZ zugehörige Gesellschaft oder Niederlassung, mich über den gewählten Kommunikationskanal (E-Mail oder Post) zu Marketing- und Werbezwecken kontaktiert (z.B. zur Übersendung von Informationen über Sonderangebote und Rabattaktionen), die in Zusammenhang mit Produkten und Lösungen aus den Bereichen Messtechnik, sichere Kommunikation, Monitoring and Network Testing, Rundfunk- und Medientechnik sowie Cybersicherheit stehen, aber nicht auf diese beschränkt sind.

Ihre Rechte

Diese Einverständniserklärung kann jederzeit durch Senden einer E-Mail, in deren Betreffzeile "Unsubscribe" steht, an news@rohde-schwarz.com, widerrufen werden. Darüber hinaus enthält jede von uns versandte E-Mail einen Link, durch den das Abbestellen zukünftiger Werbung per E-Mail möglich ist. Weitere Einzelheiten zur Verarbeitung personenbezogener Daten und zum Widerrufsverfahren finden sich in unserer Datenschutzerklärung..

Vielen Dank!

Ihr Rohde & Schwarz-Team

Leider ist bei der Übermittlung der Daten ein Fehler aufgetreten. Bitte versuchen Sie es zu einem späteren Zeitpunkt erneut.