Am 25. Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Das bedeutet, dass jedes Unternehmen in der Welt eine Antwort auf folgende Frage haben sollte: „Wie wirkt sich die Datenschutz-Grundverordnung auf uns aus?“ Die schlechtesten Antworten sind: „Ich weiß es nicht.“ oder „Es wirkt sich nicht auf uns aus, weil wir kein europäisches Unternehmen sind.“ sowie „Die Datenschutz-Grundverordnung ist für uns irrelevant, weil wir uns in Amerika / Australien / Indien / etc. befinden.“ – Diese Aussagen halte ich für gefährlich.
Wer sich nicht an die Regelungen der europäischen Datenschutz-Grundverordnung hält, muss beträchtliche Geldbußen befürchten. Es geht um eine Reihe von Regeln, welche die Privatsphäre und die Sicherheit der persönlichen Daten umfassen und von der Europäischen Kommission durchgesetzt werden. Die Regelungen betreffen aber auch einige Unternehmen außerhalb der Europäischen Union.
In diesem Artikel skizziere ich, warum Unternehmen ernsthafte Konsequenzen durch die Datenschutz-Grundverordnung befürchten müssen. Ich beginne mit einer Erklärung, welches weite Netz die Verordnung spannt – weit über die Grenzen der Europäischen Union hinaus. Abschließen werde ich mit ein paar Links zu weiterführenden Informationen zur Datenschutz-Grundverordnung und wie man sich jetzt am besten darauf vorbereitet.
Ein weiteres Chaos in das die EU die USA bringen?
Wer Zweifel hegt, sollte sich von seinem Justitiar beraten lassen. Antwortet er: „Datenschutz-Grundverordnung? - nie gehört!“, wird es Zeit für einen neuen.
Die Datenschutz-Grundverordnung gilt für jedes Unternehmen, das mit personenbezogenen Daten aus dem europäischen Markt arbeitet, unabhängig vom Firmensitz oder dem Land in dem es tätig ist.
Mit anderen Worten sind US-Unternehmen nur dann „aus dem Schneider“, wenn sie keine Waren und/oder Dienstleistung in der Europäischen Union anbieten, oder sonst keine Profile von europäischen Bürgern tracken oder anlegen.
Andernfalls muss die EU-Datenschutz-Grundverordnung eingehalten werden. Wer Zweifel hegt, sollte sich von seinem Justitiar beraten lassen. Antwortet er: „Datenschutz-Grundverordnung? - nie gehört!“, wird es Zeit für einen neuen.
Für mehr Klarheit möchte ich noch einmal verdeutlichen, wann genau ein Unternehmen mit der EU-Datenschutz-Grundverordnung einverstanden sein muss:
- Unternehmen tracken das Verhalten von Personen, die sich innerhalb der EU befinden, oder
- Außerhalb der EU ansässige Unternehmen bieten Dienstleistung (einschließlich kostenfreier) oder Waren in der EU an, oder
- Niederlassungen in der EU, unabhängig davon, wo personenbezogene Daten verarbeitet werden (z. B. cloudbasierte Verarbeitung außerhalb der EU für ein EU-Unternehmen), unterliegen der Datenschutz-Grundverordnung.
Das ist eine deutliche Ausweitung des Schutzumfangs im Vergleich zu den bisherigen europäischen Gesetzen. Außerdem umfasst es alle in der EU lebenden Menschen – nicht bloß EU-Bürger. Darüber hinaus erweitert die DSGVO die Haftung über die aktuellen Richtlinien hinaus, um Auftragsverarbeiter und Verantwortliche einzubeziehen.
Hier ein kleiner Auffrischungskurs zu den Fachtermini des Europäischen Datenschutzes. Es gibt drei Schlüsselbegriffe: Betroffene Personen / Datenschutzsubjekte (data subjects), (Daten-)Verantwortliche (data controllers) und Auftragsverarbeiter (data processors). Ein Unternehmen ist beispielsweise ein Verantwortlicher in Bezug auf die Kunden- oder Mitarbeiterdaten. In diesem Kontext sind Kunden und Mitarbeiter die betroffenen Personen bzw. Datenschutzsubjekte:= natürliche Personen, deren personenbezogene Daten vom Verantwortlichen verarbeitet werden. Ein Beispiel für einen Auftragsverarbeiter wäre ein Unternehmen, dessen Lohnabrechnung durch den Arbeitgeber in seiner Eigenschaft als Verantwortlicher ausgelagert wird.
11 Auswirkungen der Datenschutz-Grundverordnung
- Die Erwartungen von Einzelpersonen an die Privatsphäre steigen genauso, wie die Verpflichtungen der Unternehmen zunehmen, Cyber Security Praktiken umzusetzen.
- In der Datenschutz-Grundverordnung sind Geldbußen für die Nichteinhaltung festgelegt. Grobe Verletzungen der DSGVO, wie schlechte Datensicherheit, welche zur Veröffentlichung von personenbezogener Daten führt, kann mit einer Strafzahlung geahndet werden. Es gibt zwei Schweregrade von Sicherheitsverletzungen. Bei schweren Verstößen sind bis zu 20 Millionen Euro bzw. 4% des Unternehmenseinkommens an Strafe zu zahlen.
- Die DSGVO schlägt detaillierte und anspruchsvolle Verletzungsbenachrichtigungsanforderungen vor. Sowohl die Behörden als auch die betroffenen Kunden müssen benachrichtigt werden und zwar „ohne unnötige Verzögerung und, soweit möglich, spätestens 72 Stunden nach Kenntnis [der Verletzung]“.
- Viele Unternehmen sollten nun einen Datenschutzbeauftragten (DSB) ernennen. Insbesondere dann, wenn man für Daten verantwortlich ist oder Daten im großen Maßstab verarbeitet. Unternehmen, in denen bereits ein Chief Privacy Officer (CPO) tätig ist, können diesen sinnvollerweise auch zum DSB ernennen. Firmen ohne CPO müssen den Posten des DSB komplett neu erstellen.
- Die DSGVO verschärft die Definitionen über die Einwilligung zur Datenverarbeitung. Die Betroffenen müssen ihre Einwilligung zur Nutzung ihrer personenbezogenen Daten durch eine spezifische, informative und eindeutige Erklärung oder eine eindeutige bejahende Handlung bestätigen. Mit anderen Worten: Stillschweigen, bereits angehakte Boxen oder Inaktivität berechtigen nicht zur Datenverarbeitung.
- Verschafft einen breiten Überblick über das, was in personenbezogenen Daten inbegriffen ist. Es umfasst Cookies, IP-Adressen und andere Tracking-Daten.
- In der Verordnung wird erstmals das „Recht auf Vergessen“ festgehalten. Einzelpersonen können Unternehmen dazu auffordern, persönliche Daten zu löschen. Deshalb sollten Unternehmen jetzt Prozesse definieren, wie solche Anfragen zukünftig bearbeitet werden sollen.
- Festgelegt wurde auch, dass Datenschutzsubjekte eine Übersicht der über sie gespeicherten Daten in einem gängigen Format beziehen dürfen. Außerdem sollen Einzelpersonen Unternehmen dazu auffordern können, relevante Daten an Dritte weiterzugeben. Haben Unternehmen den Prozess der Weitergabe noch nicht implementiert, ist die Zeit dafür nun reif.
- Die Verordnung verdeutlicht, dass Verantwortliche für die Handlungen der ausgewählten Auftragsverarbeiter zur Rechenschaft gezogen werden können.
- Die erforderliche Zustimmung der Eltern zur Datenverarbeitung für Kinder unter 16 Jahren wurde verschärft.
- Die Datenschutz-Grundverordnung stellt das Konzept der „privacy-by-design“ als erforderliche Standardpraxis für alle Aktivitäten mit geschützten personenbezogenen Daten vor. Im Bereich der App-Entwicklung bedeutet das beispielsweise, dass "Sicherheits- und Privatsphäre-Experten mit dem Marketing-Team zusammen sitzen sollten, um die Geschäftsanforderungen und den Entwicklungsplan für jede neue App zu erstellen, um sicherzustellen, dass sie mit der neuen Regelung übereinstimmt".
Timing und Kosten der Datenschutz-Grundverordnung
Wie erwartet, sind einige Unternehmen in Vorbereitung auf die DSGVO weiter als andere. Im Januar dieses Jahres befragte PwC 200 US-Unternehmen mit mehr als 500 Mitarbeiter und stellte fest, dass 92% die Einhaltung der DSGVO für ihre Datenschutz- und Sicherheitsagenda im Jahr 2017 als oberstes Gebot empfanden. Mehr als die Hälfte gab an, dass die Einhaltung oberste Priorität hatte. Noch 38% sagten, dass es zu den obersten Prioritäten gehöre. Natürlich ist die Einhaltung der DSGVO nicht billig. In diesem Zusammenhang gaben 77% der Umfrageteilnehmenden der PwC-Studie an, dass ihr Unternehmen für die Umsetzung der Datenschutz-Grundverordnung etwa eine Millionen US-Dollar oder mehr Ausgaben einplane.
Man könnte annehmen, dass europäische Unternehmen an der Spitze in Bezug auf die Vorbereitung der DSGVO stehen. Eine neulich von ESET in Auftrag gegebene Studie der IDC ergab aber, dass rund 25% der 700 in Europa ansässigen Unternehmen sich der Datenschutz-Grundverordnung gar nicht bewusst sind. Weiterhin sind etwas mehr als die Hälfte (52%) davon nicht sicher, welche Auswirkungen die DSGVO auf ihren Geschäftsbetrieb hat.
Sicherheit und Bekanntmachungen unter der Datenschutz-Grundverordnung
Im Folgenden möchte ich noch genauer auf die Konsequenzen für den Schutz von personenbezogenen Daten durch die DSGVO blicken. Dafür halte ich es für notwendig, passende Passagen in voller Länge zu zitieren. Tatsächlich schafft die Verordnung eine Basis, auf der Unternehmen, die mit personenbezogenen Daten arbeiten, argumentieren und sich bei Vertragsverletzungsverfahren oder potentiellen Strafzahlungen verteidigen können.
In Abschnitt 83 lesen wir, dass: „… der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau — auch hinsichtlich der Vertraulichkeit — gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.“
Mit anderen Worten gibt es nur sehr wenig Details darüber, wie die Sicherung von Daten – mit Ausnahme der erwähnten Verschlüsselung – aussehen soll. Allerdings gibt es eine klare Aussage dazu, dass eine Risikobewertung in jedem Fall stattfinden muss. (Ich hoffe, dass mittlerweile jede Organisation schon einmal eine Cyber Security Risikobewertung durchgeführt hat und diese aktuell hält. Allerdings höre ich auch immer wieder von Geldstrafen, die durch die HIPAA wegen der Verletzung sensibler personenbezogener Daten verhängt werden.
Abschnitt 83 beschäftigt sich mit einem Risiko, dass auch berücksichtigt werden muss: „Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.“
Abschnitt 84 fährt fort, die Sicherheit von Hochrisiko-Daten zu diskutieren. Den Unterschied spreche ich lieber in einem separaten Artikel an (es gibt laufende Diskussionen darüber, wie diese Unterscheidung gemacht werden soll).
Nichts verdeutlicht die Haltung zu organisatorischer Cyber Security in einem Unternehmen so gut wie das Thema Sicherheitsverstöße. Damit beschäftigt sich Abschnitt 85 der Datenschutz-Grundverordnung. Dieser besagt, dass wenn dem Verantwortlichen „eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, […]“.
Interessanterweise erlaubt die Datenschutz-Grundverordnung auch Ausnahmen, sodass der Verantwortliche die Aufsichtsbehörden nicht informieren muss: „[…] der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt.“
Die DSGVO spezifiziert die Bedingungen einer Benachrichtigung über einer Datenverletzung in Abschnitt 86, der besagt, dass „Der für die Verarbeitung Verantwortliche sollte die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten benachrichtigen, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt, damit diese die erforderlichen Vorkehrungen treffen können.“
Einige Besonderheiten der Benachrichtigungen sind sehr ausführlich dargelegt, wie beispielsweise: „Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene natürliche Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten.“
Mehr Informationsquellen über die Datenschutz-Grundverordnung
Sicherlich gibt es bis zum 25. Mai 2018 noch viel vorzubereiten. Das gilt vor allem für die Unternehmen, für welche die Europäische Datenschutz-Grundverordnung neu ist. Aus diesem Grund listen wir hier mehrere Informationsquellen:
- ESET Guide zur Datenschutz-Grundverordnung
- Zunehmende Anzahl von Artikeln auf WeLiveSecurity
- Datenschutz- und Sicherheits-Puristen (wie ich) finden hier die finale Version der EU-DSGVO
Zu guter Letzt sollte ich noch erwähnen, dass ich kein Anwalt bin. Meine Worte stellen in keinerlei Hinsicht eine juristische Beratung dar. Wir empfehlen, einen qualifizierten Rechtsbeistand in Fragen der Datenschutz-Grundverordnung zu konsultieren. Einen rechtmäßigen Tipp habe ich dann aber doch: Wenn der Unternehmens-Justiziar nichts mit der DSGVO anfangen kann, ist dieser möglicherweise nicht qualifiziert genug.
Für weitere Informationen zur Datenschutz-Grundverordnung sollte die ESET-Seite zur DSGVO aufgesucht werden. Dort wird auch erläutert, wie ESET bei der Umsetzung der DSGVO – zum Beispiel durch Verschlüsselung – helfen kann.