EU-DSGVO: Neue Anforderungen an Organisation und Technik

Datenschutz beginnt schon beim Design eines IT-Systems

Von unserem Gastautor Dr. Christopher Kunz, Geschäftsführer der Filoo GmbH

[datensicherheit.de, 12.01.2018] Noch rund ein halbes Jahr, dann müssen Unternehmen die Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO) erfüllen. Doch nach einer aktuellen Studie der European Business Awards (EBA) sind 28 Prozent der rund 400 befragten Unternehmen noch nicht mit der Richtlinie vertraut. Höchste Zeit also, die unternehmenseigenen IT-Systeme auf den Prüfstand zu stellen und den Datenschutz bei neuen IT-Projekten in den Fokus zu rücken.
Die EU-DSGVO legt deutlich strengere Regeln für den Umgang mit personenbezogenen Daten fest. Grundsätzlich gilt: Solche Daten dürfen nur für „festgelegte, eindeutige und legitime Zwecke erhoben werden“ und müssen „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sein. Organisationen, die personenbezogene Daten von EU-Bürgern erheben, sind daher aufgerufen, ihre Systeme unter die Lupe zu nehmen und in vielen Fällen neue transparente Regeln für die Erfassung, Speicherung, Löschung und Dokumentation personenbezogener Daten zu definieren. Wer neue IT Systeme aufsetzt, sollte zukünftig von Anfang an Technologien nutzen, die den Schutz personenbezogener Daten in den Vordergrund stellen.

Neu: Pflicht zur Vervollständigung

Mit dem Inkrafttreten der EU-DSGVO müssen Unternehmen personenbezogene Daten nicht nur berichtigen, sperren oder löschen, sondern zukünftig auch vervollständigen. Damit soll vermieden werden, dass Personen durch unvollständige Daten ein Nachteil entstehen könnte, zum Beispiel durch veraltete Informationen zur Bonität. Außerdem müssen Unternehmen bei einer Löschung von Daten – dazu gehören auch Kopien und Links – automatisch alle Stellen benachrichtigen, bei denen diese Daten gespeichert wurden.
Personen haben zukünftig nicht nur ein Recht zu erfahren, welche Informationen zu welchem Zweck verarbeitet werden, sondern auch nach welcher Logik. Das neue „Recht auf Datenportabilität“ besagt außerdem, dass alle Daten, die bei einem Dienstleister zu einer Person gespeichert wurden, in einer standardisierten Form – zum Beispiel als JSON- oder XML-Datei oder in einem anderen weit verbreiteten Format – auf Wunsch an diese Personen herausgegeben werden müssen. Die Anforderungen an dieses Format sind detailliert: Es muss strukturiert, gängig, maschinenlesbar und interoperabel sein, um den Umzug personenbezogener Daten zu einem neuen Anbieter zu erleichtern. Wenn technisch machbar, sollen personenbezogene Daten auf Wunsch des oder der Betroffenen sogar direkt zwischen den Anbietern ausgetauscht werden – ein automatisierter Umzug also. Die EU-Kommission will so die Abhängigkeit von einem Anbieter, beispielsweise in sozialen Netzwerken, beseitigen und mehr Transparenz forcieren.
Spätestens jetzt sollten Unternehmen genau analysieren, welchen Weg personenbezogene Daten in ihren Fachsystemen nehmen, wo sie sich befinden und was sie wann löschen oder an die Betroffenen herausgeben müssen. Der TÜV Süd stellt im Netz einen Fragebogen bereit, der Unternehmen zeigt, ob sie den aktuellen Anforderungen an den Datenschutz gewachsen sind.

Durch technische Gestaltung Daten schützen

Mit der EU-Datenschutzgrundverordnung werden die Aspekte „Data Protection by Design“ und „Data Protection by Default“ festgeschrieben. Die Idee, Daten durch die Gestaltung der Technik zu schützen, wurde bisher nur in Datenschutzrichtlinien erwähnt und nicht verbindlich in nationales Recht umgesetzt. Das neue Gesetz verhängt nun aber Sanktionen, die „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein sollen. Wer personenbezogen Daten verarbeitet oder solche Systeme bereitstellt, muss daher auf einen größtmöglichen Schutz achten – und zwar schon während der Konzeption der IT-Systeme. Auch bei der Gestaltung der Anwendung ist der Datenschutz oberste Maxime, zum Beispiel durch datenschutzgerechte Voreinstellungen für die Nutzer. Das bedeutet, dass Unternehmen in Ihren Online-Formularen auf die Abfrage von Daten verzichten sollten, die für das Geschäft mit dem Kunden nicht unbedingt nötig sind, etwa Telefonnummern oder Altersangaben.

Datenschutzbeauftragter wird Pflicht

Die umfangreichen Vorgaben der EU-DSGVO werden sich in vielen Fällen nur durch ein eigenes Datenschutzmanagement nach- und einhalten lassen. Unternehmen sollten daher zum Start eines Projektes die möglichen Risiken aus Sicht des Datenschutzes analysieren. Auch im Hinblick auf die IT-Security fordert die Verordnung ein angemessenes Schutzniveau. Dazu gehören unter anderem Sicherheits-Audits und die Verschlüsselung sensitiver Daten.
Auch wenn für verschiedene Unternehmen in Deutschland Datenschutzbeauftragte bereits Pflicht sind, gilt diese Regelung nun auch europaweit für bestimmte Unternehmen – mit umfassenderen Aufgaben als bisher. Unternehmen können dazu einen internen oder externen Datenschutzbeauftragten einsetzen. Die Funktion erfordert jedoch sowohl ein umfassendes technisches Verständnis als auch juristische Kenntnisse im Hinblick auf den Datenschutz.
Die Besetzung dieser Stelle ist nicht zu unterschätzen, auch wenn grundsätzlich jeder als Datenschutzbeauftragter fungieren kann. Unternehmen sollten sich der Komplexität ihrer technologischen Anwendungen ebenso bewusst sein wie der Dynamik, mit der sich IT-Projekte in der Regel entwickeln.

Höhere Anforderungen an Datenverarbeiter in Drittstaaten

Viele Unternehmen nutzen Cloud-Lösungen von Drittanbietern. Dabei werden Daten häufig in einem Nicht-EU-Land gespeichert. Für die Datenverarbeitung in einem Drittland verlangt der Gesetzgeber jedoch auch ein angemessenes Datenschutzniveau. Dabei hat er mit der EU-DSGVO die Anforderungen an ein „angemessenes Datenschutzniveau“ noch einmal verschärft. Unternehmen sind nun für den Schutz der Daten über die gesamte Datenverarbeitungskette hinweg verantwortlich. Sie müssen also auch in solchen Fällen nachvollziehen können, welche Daten erhoben, wo sie gespeichert und wie sie wirksam gelöscht werden können.
Auch bei der Weiterübermittlung durch den Dienstleister im Drittland selbst muss immer sichergestellt sein, dass die Anforderungen an die internationale Datenübermittlung und die sonstigen Bestimmungen der EU-DSGVO eingehalten werden. So soll verhindert werden, dass das Datenschutzniveau der Verordnung untergraben wird. Die Vorschriften gelten nicht nur für die erstmalige Übermittlung personenbezogener Daten an einen Dienstleister im Drittland, sondern auch darüber hinaus. Für Übermittlungen personenbezogener Daten in Drittstaaten sollten Unternehmen deshalb möglichst umfassende Verschlüsselung einsetzen. Im Idealfall liegt darüber hinaus die Schlüsselverwaltung beim Datenexporteur aus dem EU-Land.
Die EU-Datenschutzgrundverordnung gilt übrigens auch für Unternehmen, die keinen Sitz und keine Niederlassung in einem EU-Land besitzen, aber Personen aus der Europäischen Union Waren oder Dienstleistungen anbieten oder deren Daten verarbeiten. Unwissen schützt bekanntlich nicht vor Strafe: Unternehmen sollten daher genau prüfen, ob nicht doch irgendein Kriterium auf sie zutrifft und sie der EU-DSGVO unterwirft.

Über den Autor

Bild: filoo GmbH

Dr. Christopher Kunz ist Geschäftsführer der Filoo GmbH. Das Gütersloher Unternehmen ist spezialisiert in Aufbau und Betrieb von Managed-Hosting-Lösungen sowie virtuellen Servern für mittelständische Unternehmen. Dr. Kunz ist Co-Autor eines Standardwerks zu Web Security, Autor verschiedener Fachartikel und hat auf Konferenzen im In- und Ausland gesprochen.

Weitere Informationen zum Thema:

datensicherheit.de, 08.12.2017
EU-DSGVO ante portas: Über Herausforderungen und Chancen für Unternehmen

datensicherheit.de, 07.12.2017
Mittelstand befürchtet Benachteiligung durch EU-DSGVO

datensicherheit.de, 06.12.2017
EU-DSGVO: Größere Unternehmen in Deutschland bereiten sich vor