Geld-Bußen für Unternehmen, welche bei der Verarbeitung von Daten und der Kommunikation von Entscheidungen zweideutig oder intransparent agierten

[datensicherheit.de, 20.05.2022] Am 25. Mai 2022 ließe sie der vierte Jahrestag der Datenschutz-Grundverordnung (DSGVO) feiern. Diese wurde demnach in Kraft gesetzt, um EU-Bürgern mehr Kontrolle über ihre eigenen personenbezogenen Daten zu geben und ihre Sicherheit sowohl online als auch offline zu verbessern. Für Unternehmen ist Datenschutz dadurch offensichtlich zu einer der Top-Prioritäten geworden, denn ihre Kunden sind immer mehr darauf bedacht, ihre Daten zu schützen und die Kontrolle über sie zurückzuerhalten. Bernd Hennicke, „Vice President Product Marketing“ bei OpenText, kommentiert den diesjährigen DSGVO-Jahrestag:

Foto: OpenText

Bernd Hennicke rät, Vertrauen des Einzelnen zu gewinnen, um das „Sorgerecht“ für dessen personenbezogenen Daten behalten und sich auf dem Markt differenzieren zu können…

2021 deutlicher Anstieg der Bußgelder im Rahmen der DSGVO

Unternehmen sähen sich heute mehr denn je mit sachkundigeren, selbstbewussteren und einflussreicheren Verbrauchern konfrontiert, welche mehr Transparenz bei der Verwendung ihrer personenbezogenen Daten forderten – und erwarteten, dass Unternehmen für ihr Verhalten in die Verantwortung genommen würden.

Hennicke berichtet: „Im vergangenen Jahr konnten wir einen deutlichen Anstieg von Bußgeldern im Rahmen der DSGVO beobachten. Ein Großteil der Geldstrafen werden erlassen, um Unternehmen zu bestrafen, die bei der Verarbeitung von Daten und der Kommunikation von Entscheidungen mit ihren Kunden zweideutig oder intransparent agieren.“

DSGVO bescherte Betroffenen Recht auf Löschung oder Anforderung von Kopien

Das Reputationsmanagement – die Aufrechterhaltung eines zufriedenen Kundenstamms durch Überwachung und Beeinflussung des eigenen Rufs – treibe die Diskussionen in den Vorstandsetagen voran. Unternehmen seien im Zugzwang, eine neue Datenschutzstrategie zu entwickeln, „die über die verpflichtende Einhaltung von Vorschriften hinausgeht“:

Verbraucher verlangten Integrität und Glaubwürdigkeit bei der Verarbeitung und Nutzung personenbezogener Daten. „Außerdem bestehen sie auf Kontrolle und scheuen sich nicht davor, ihr Recht auf Löschung oder Anforderung von Kopien verarbeiteter personenbezogener Daten auszuüben“, betont Hennicke.

DSGVO als Herausforderung, Markenreputation und Kundenbindung langfristig zu stärken

Für viele Unternehmen seien solche Anfragen äußerst zeitaufwändig, da es sich dabei oft um manuelle Prozesse handele, bei denen, aufgrund verteilter Strukturen, schon das Auffinden aller verfügbaren Daten eine große Herausforderung sei. „Um ihre Markenreputation und Kundenbindung langfristig zu stärken, setzen Unternehmen daher auf Innovationen und Automatisierung. Ein gleichbleibend optimales Kundenerlebnis ist für Vertrauen von Seiten der Verbraucher von besonders großer Bedeutung“, unterstreicht Hennicke. Eine effektive Kommunikation der Richtlinien für personenbezogene Daten, der Praktiken und etwaiger Verstöße sowie ein rationalisierter Prozess zur Verwaltung von Anfragen nach Betroffenenrechten (Subject Rights Requests, SRR) müsse also an erster Stelle stehen.

„Unternehmen, die einen integrierten, datenzentrierten Ansatz für das Datenschutzmanagement verfolgen und dabei Datenerkennungs- und Klassifizierungstools, Risikokartierung und Datenverwaltungsplattformen mit starken Aufbewahrungsfunktionen einsetzen, sind am besten in der Lage, diese Prioritäten zu erfüllen“, so Hennicke abschließend. Auf diese Weise könnten sie das Vertrauen des Einzelnen gewinnen, das „Sorgerecht“ für die personenbezogenen Daten ihrer Kunden behalten und sich auf dem Markt differenzieren.

Weitere Informationen zum Thema:

datensicherheit.de, 18.10.2021
PSW GROUP: Mahnung zur Einhaltung der DSGVO / DSGVO-Bußgelder könnten schnell existenzbedrohend werden

datensicherheit.de, 31.05.2021
3 Jahre DSGVO – auch im Home-Office Datenschutz einhalten / Citrix nimmt Stellung zum Jahrestag der DSGVO

datensicherheit.de, 25.05.2021
Kleines DSGVO-Jubiläum: Cloud-Nutzung als Herausforderung für Unternehmen / Datenspeicherung au0erhalb der EU bereitet DSGVO-Probleme

[datensicherheit.de, 22.05.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht mit seiner aktuellen Stellungnahme auf ein Jubiläum ein: Im Kontext der nunmehr seit zwei Jahren endgültig in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) sind demnach Bußgelder in Gesamthöhe von rund 155.000 Euro verhängt worden. Die DSGVO war zum 25. Mai 2018 endgültig wirksam geworden, nachdem sie bereits 2016 in Kraft getreten war und die zweijährige Übergangszeit endete.

Kugelmann: Es bleibt noch viel zu tun

Zwei Jahre nach Wirksamwerden der DSGVO sieht der LfDI RLP, Professor Dieter Kugelmann, ein „wachsendes Bewusstsein für den Datenschutz“: Nach der intensiven Debatte vor zwei Jahren erfolge die Umsetzung mittlerweile zunehmend routiniert und in den allermeisten Fällen rechtskonform.

Prof. Kugelmann: „Das Bewusstsein für den Datenschutz durchdringt immer mehr Wirtschaft, Verwaltung und Gesellschaft. Es ist viel passiert, aber es bleibt noch viel zu tun. Unsere Aufgabe ist es, hier Triebfeder und zugleich Kontrollinstanz zu sein.“

Trotz „Corona-Pandemie“ kein Rabatt für den Datenschutz

Auch während der derzeitigen „Corona-Pandemie“ dürfe es für den Datenschutz keinen Rabatt geben, betont der der LfDI RLP: Gerade Gesundheits-Informationen seien sehr sensible Daten. „So lange die Maßnahmen der staatlichen Stellen, der Arbeitgeber und der Unternehmen verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Wege.“

Auch in dieser ungewöhnlichen Zeit, in der manche Grundrechte beschränkt seien, könne die DS-GVO angewandt werden und gleichzeitig der Gesundheitsschutz der Bürger im Vordergrund stehen, so Prof. Kugelmann.

Bei Verstößen Sanktionen wie Bußgelder und Verwarnungen möglich

Mit der DSGVO habe die unabhängige Datenschutzbehörde weitreichende Befugnisse erhalten: Bei Verstößen seien Sanktionen wie Bußgelder und Verwarnungen möglich. Der LfDI RLP hat nach eigenen Angaben seit Mai 2018 in neun Fällen Bußgelder in einer Gesamthöhe von rund 155.000 Euro verhängt. Die höchste Geldbuße in Höhe von 105.000 Euro sei „gegen die Mainzer Universitätsklinik wegen Defiziten beim Patientenmanagement“ ergangen.

Gegen ein Erotik-Etablissement in Mainz sei „eine Geldbuße in Höhe von 35.000 Euro verfügt“ worden. Gegen ein Unternehmen, das gegen seine Beschäftigten umfassend und rechtswidrig Video-Überwachung eingesetzt habe, „wurden 12.000 Euro verhängt“. Vor dem endgültigen Wirksamwerden der DSGVO seien gerichtliche Verfahren gegen den LfDI RLP sehr selten gewesen. Seit 2018 hätten Unternehmen oder staatliche Stellen gegen dessen Sanktionen in 30 Fällen Rechtsmittel eingelegt.

Seit 2018 hat der Umfang der Prüffälle stark zugenommen

Seit dem endgültigen Wirksamwerden der DSGVO habe die Zahl der Datenpannen-Meldungen zugenommen: 2018 sind beim LfDI nach eigenen Angaben „105 Meldungen von Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO) eingegangen“, 2019 seien es bereits 319 gewesen.

In den ersten Monaten 2020 seien 200 registriert worden. Aufgabe der Datenschutzbehörde sei es unter anderem, den Datenpannen auf den Grund zu gehen und zu prüfen, welche Versäumnisse vorlagen. Für den LfDI habe seit 2018 der Umfang der Prüffälle stark zugenommen.

Informationsbedarf der Bürger bezüglich ihrer Datenschutzrechte weiterhin hoch

Der LfDI habe staatliche Stellen, Behörden und Unternehmen durch Informationsveranstaltungen und durch die Bereitstellung von Informationsmaterial eng bei der Umstellung im Zuge der DSGVO begleitet. Anfangs sei der Beratungsbedarf in Bezug auf den Gesamtdatenschutz gerade bei kleinen und mittleren Unternehmen (KMU) sowie Vereinen sehr groß gewesen.

Mittlerweile konzentrierten sich die Anfragen auf einzelne konkrete Rechtsfragen. Aktuelle Problemfelder seien nach wie vor die Einordnung bestimmter Dienstleistungen als Auftragsverarbeitung und die Abgrenzung zur gemeinsamen Verantwortlichkeit. Der Informationsbedarf der Bürger bezüglich ihrer Datenschutzrechte sei weiterhin hoch.

Neue Vorgaben bezüglich der Weitergabe von Meldedaten

Im Bereich des Beschäftigtendatenschutzes mehrten sich seit 2018 Beschwerden zu Auskunftsansprüchen gegenüber dem ehemaligen Arbeitgeber. Noch wenig in der Bevölkerung bekannt sei, dass mit der DSGVO neue Vorgaben bezüglich der Weitergabe von Meldedaten, etwa an Adressbuchverlage oder öffentlich-rechtliche Religionsgemeinschaften, etabliert seien.

Im Gegensatz zum Bundesmeldegesetz sehe die DSGVO vor, dass eine „eindeutige bestätigende Handlung“ des Bürgers erforderlich sei, damit eine Weitergabe erfolgen darf. Da in vielen Ämtern entsprechende Bestätigungen noch nicht eingeholt würden, beschwerten sich zahlreiche Bürger beim LfDI RLP.

Verantwortliche in den Kommunen agieren in der Regel kooperativ

Bezüglich des Datenschutz-Agierens von Kommunen habe der LfDI RLP 2019 mit einer umfangreichen Prüfphase von Kommunalverwaltungen begonnen. Es seien zwei Verbandsgemeindeverwaltungen untersucht worden, weitere zehn Prüfungen (hierunter auch Kreisverwaltungen) stünden an. Die Verantwortlichen in den Kommunen agierten in der Regel kooperativ.

Allerdings bestehen laut LfDI RLP „noch große Schwierigkeiten in der Umsetzung der DS-GVO in den Bereichen des technisch-organisatorischen Datenschutzes und der Datenschutz-Folgenabschätzung“. Ergebnisse der Prüfungen und daraus gezogene Schlüsse werde der „Datenschutzbericht 2020“ enthalten.

Umfangreiches und praxisnahes „Rund-um-sorglos-Paket“

Den Schulen und Kindertagesstätten im Land sei der Übergang mit gemeinsam mit dem Bildungsministerium erstellten Informationen, Mustertexten und Handreichungen erleichtert worden. In kaum einem anderen Bundesland sei ein so umfangreiches und praxisnahes „Rund-um-sorglos-Paket“ von Seiten einer Datenschutz-Aufsichtsbehörde geschnürt worden. Zudem sei der Beratungsbedarf von Bildungseinrichtungen deutlich angestiegen: Zu nahezu jeder am Markt erhältlichen Software gingen Anfragen ein, ob gegen die Anschaffung Bedenken bestünden.

Einmal habe der LfDI RLP eine Anordnung zur Löschung von Videoaufnahmen treffen müssen: „Eine Kita hatte ohne die erforderliche Einwilligung der Eltern Fotos und Videoaufnahmen für die Bildungs- und Lerndokumentation der Kinder gemacht.“

Initiative „Mit Sicherheit gut behandelt“

Im Rahmen der Initiative „Mit Sicherheit gut behandelt“ habe der LfDI RLP zusammen mit der Kassenärztlichen Vereinigung Rheinland-Pfalz, der Landesärztekammer und der Landespsychotherapeutenkammer die Ärzte und Psychotherapeuten umfassend und in unterschiedlichen Formaten zu den aus der DSGVO resultierenden Vorgaben informiert:

Hervorzuheben seien dabei neben vier Fortbildungsveranstaltungen in Trier, Neustadt/W., Mainz und Koblenz insbesondere die auf der Website der Initiative bereitgestellten Informationen einschließlich konkreter Muster für den Einsatz im Praxisbetrieb.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Der Landesbeauftragte

Mit Sicherheit gut behandelt.
Wir sorgen für die Sicherheit der Gesundheitsdaten / Whitepaper „Datenschutz und Informationssicherheit in der Telematikinfrastruktur“

datensicherheit.de, 22.05.2020
Zwei Jahre EU-DSGVO

datensicherheit.de, 20.04.2020
DSGVO: Zunehmende Geldbußen rücken „Privacy by Design“ ins Interesse

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld

datensicherheit.de, 21.08.2019
Datenschutzbeauftragter: Pflicht für Kleinbetriebe umstritten

datensicherheit.de, 24.05.2019
Ein Jahr DSGVO: BfDI sieht Erfolg mit Steigerungspotenzial

[datensicherheit.de, 08.05.2018] Mit dem Ende der Übergangsphase tritt die Europäische Datenschutzgrundverordnung (EU-DSGVO) in der Europäischen Union (EU) endgültig am 25. Mai 2018 in Kraft. Beabsichtigt wird mit deren 99 Artikeln ein weitestgehend einheitliches Niveau des Datenschutzrechts innerhalb der EU. Wesentliche Elemente des bisherigen Bundesdatenschutzgesetzes (BDSG) bleiben zwar erhalten, dennoch wird es zukünftig einige wichtige Änderungen geben, welche die Aufmerksamkeit von Unternehmen und Vereinen, aber ggf. auch Privatpersonen dringend erfordern.

Die DSGVO und ihre Herausforderungen

Welche Herausforderungen auf Sie zukommen, möchte der Veranstalter, die GPB Consulting, am 29. Mai 2018 in ihren Räumlichkeiten in Berlin am Spittelmarkt vortragen lassen und zur Diskussion stellen:

TrendForum „Europäische Datenschutzgrundverordnung“

Dienstag, 29.05.2018, um 17.58 Uhr
GPB Consulting, Beuthstraße 8 in 10117 Berlin
ÖPNV: U2 Spittelmarkt
[P] in den umliegenden Straßen (kostenpflichtig)
Die Teilnahme ist kostenfrei – rechtzeitige Anmeldung per E-Mail wird erbeten an: Michael [dot] Taube [at] gpb-consulting [dot] de

3 Impulsreferate

Als Referenten eingeladen wurden die Datenschutzexperten Diplom-Wirtschaftsjurist Lars Kripko von Cornerstone OnDemand, Diplom-Ingenieur Carsten J. Pinnow als Herausgeber von „datensicherheit.de“ sowie der Datenschutzbeauftragte der KGK Roseneck e.V., Diplom-Kaufmann Michael Taube.

Weitere Informationen zum Thema:

GPB Consulting auf XING
TrendForum: Europäische Datenschutzverordnung

dsgvo-gesetz.de
Datenschutz-Grundverordnung DSGVO

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

[datensicherheit.de, 07.05.2018] Die neue Datenschutzgrundverordnung (DSGVO) wird am 25. Mai 2018 europaweit anwendbares Recht und bringt daher viele Änderungen für Unternehmen. So auch beim Auskunftsrecht für Kunden, Online-Nutzer und Patienten. Der TÜV SÜD weist darauf hin, dass für diese nun ein erweitertes Auskunftsrecht für ihre Daten gilt: Firmen müssen demnach über alle gespeicherten personenbezogenen Daten Auskünfte erteilen. Wenn gewünscht, sind Unternehmen sogar zur vollständigen Löschung von Daten verpflichtet.

Informationen über personenbezogene Daten

Das Auskunftsrecht untergliedert sich laut TÜV SÜD in zwei Stufen. Zunächst könnten betroffene Personen Informationen darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden. Wenn dies der Fall ist, bestehe grundsätzlich ein Recht auf Auskunft über diese Daten. Betroffene könnten dann beispielsweise Informationen über den Zweck der Verarbeitung oder die bisherigen und geplanten Empfänger dieser Daten erfragen.
Firmen müssten außerdem mitteilen, wie lange sie die personenbezogenen Daten speichern und welche Kriterien zur Festlegung dieser Zeitspanne führen. Auch die Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, könne erfragt werden.

Berichtigung oder Löschung ihrer Daten

Hinzu komme, dass Betroffene die Berichtigung oder Löschung ihrer Daten verlangen dürften. Auch könnten sie verfügen, dass diese Daten nur eingeschränkt verarbeitet werden dürfen.
Über dieses Widerspruchsrecht sowie ihr Beschwerderecht bei einer Aufsichtsbehörde müssten Betroffene ebenfalls informiert werden. Artikel 15 DSGVO erweitere somit die bisher bekannten Regelungen des § 34 BDSG bei den Auskunftsrechten.
Nach Artikel 15 Absatz 3 DSGVO müsse der Verantwortliche der betroffenen Person auch eine Kopie derjenigen personenbezogenen Daten zur Verfügung stellen, die Gegenstand der Verarbeitung sind. Für diese erste Kopie dürften dem Kunden keine Kosten entstehen. Falls der Antrag elektronisch gestellt wird, seien die notwendigen Informationen in einem gängigen elektronischen Format zu übermitteln.

Konkrete Datenlöschprozesse implementieren!

Durch das erweiterte Beschwerderecht für Betroffene sei damit zu rechnen, dass diese häufiger von ihrem Recht Gebrauch machten und beispielsweise auf Löschung ihrer Daten bestünden.
Der TÜV SÜD weist darauf hin, dass Verantwortliche – sofern noch nicht geschehen – konkrete Datenlöschprozesse implementieren müssten. Zudem sollten Verfahren eingebaut werden, die ein zeitnahes Reagieren auf weitergehende Rechte der Betroffenen möglich machen.

Ausnahmeregelungen

Allerdings gebe es auch Ausnahmen für die Erteilung von Auskünften an Betroffene. Kein Auskunftsrecht besteht laut TÜV SÜD, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund von Aufbewahrungsvorschriften nicht gelöscht werden dürfen. Beispielsweise müssten Patienten- oder Personalakten in der Regel meist zehn Jahre aufgehoben werden.
Unternehmen könnten außerdem verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor eine Auskunftserteilung erfolgen muss. Und wenn die Auskunftserteilung einen „unverhältnismäßigen Aufwand“ für die Verantwortlichen darstellen würde, bestehe kein Anrecht darauf.

Weitere Informationen zum Thema:

TÜV SÜD Akademie
White Paper: Die neue EU-DatenschutzGrundverordnung / Aus BDSG wird DSGVO

datensicherheit.de, 03.05.2018
WhatsApp-Nutzung durch Unternehmen im DSGVO-Kontext zumeist rechtswidrig

datensicherheit.de,  17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

datensicherheit.e, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

[datensicherheit.de, 17.03.2018] Eine vom CAST-Forum und Forum Privatheit organisierte Tagung am 15. März 2018 in Darmstadt mit Vertretern aus Politik, Wirtschaft, Wissenschaft und Aufsichtsbehörden widmete sich der Frage, wohin sich der Datenschutz entwickeln wird, wenn ab dem 25. Mai 2018 die europäische Datenschutz-Grundverordnung (EU-DSGVO) endgültig in Kraft tritt. „Das künftige Datenschutzrecht wird nicht nur von der Datenschutz-Grundverordnung, sondern durch eine Ko-Regulierung der europäischen und deutschen Gesetzgeber geprägt“, erläuterte Prof. Dr. Alexander Roßnagel, Jurist an der Universität Kassel und Sprecher des Forums Privatheit. Die EU-Mitgliedstaaten nutzten die 70 Öffnungsklauseln der DSGVO, um die bisherigen nationalen Datenschutzregelungen beizubehalten und nur sprachlich der DSGVO anzupassen.

EU-DSGVO: einheitliches Recht vs. 27 verschiedene nationale Auslegungen

Das derzeit im Bund vorbereitete „Omnibus-Gesetz“, das vermutlich im Sommer 2018 in den Gesetzgebungsprozess eingebracht werde, sehe in über 140 Gesetzen mit Datenschutzregelungen meist nur formale Anpassungen an den Sprachgebrauch der DSGVO vor.
Keines dieser Gesetze werde aber durch die DSGVO überflüssig oder gestrichen. Vielmehr blieben alle bestehenden nationalen Gesetze erhalten, ohne Innovationsimpulse der DSGVO – wie z.B. Privacy-by-Design und Privacy-by-Default – zu konkretisieren.
Zu einem ähnlichen Ergebnis kam demnach auch der Landesbeauftragte für Datenschutz und Informationsfreiheit in Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, der von den Anpassungsbemühungen auf Länderebene berichtete. Auch dort würden sehr viele Gesetze angepasst, ohne dass ein einziges entfiele. Sein Fazit: Es werde weniger modernisiert, es bleibe eher bei einer Beibehaltung des Alten.
Bernd Adams von T-Systems begrüßte grundsätzlich die Zielsetzung der Vereinheitlichung des Datenschutzes. Die Ausgestaltung bereite ihm allerdings Bauchschmerzen: „Haben wir ein EU-weit einheitliches Datenschutzrecht – oder haben wir 27 verschiedenen nationale Auslegungen?“

Innovation der DSGVO in den Regelungen zum Vollzug…

Laut Prof. Dr. Johannes Caspar, dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, gibt es „kaum einen Bereich, in dem Sein und Sollen so weit auseinander liegen wie bei im Datenschutz.“ Daher sehe er die wirkliche Innovation in der DSGVO in den Regelungen zum Vollzug. Erstmals würde die Vollzugsbehörden mit wirksamen Vollzugs- und Sanktionsinstrumenten ausgestattet. So hätten die Aufsichtsbehörden nun auch die Möglichkeit, signifikante Bußgelder zu verhängen: Hätten sie noch beim BDSG bei max. 300.000 Euro gelegen, könnten nun bis zu 20.000.000 Millionen Euro verhängt werden – oder vier Prozent des jährlichen Umsatzes eines Unternehmens. Caspar: „Früher war ein Verstoß gegen Datenschutzauflagen ein Kavaliersdelikt. Das ist künftig anders.“
Die DSGVO bringe für die Aufsichtsbehörden viele neue Aufgaben. Diese entspreche allerdings nicht ihrer personellen Ausstattung. In einem Gutachten zum notwendigen Personalbedarf der Aufsichtsbehörden habe Professor Roßnagel festgestellt, dass aufgrund dieser neuen Aufgaben im Durchschnitt jede Landesdatenschutzbehörde um 20 Stellen aufgestockt werden müsste; dies sei in den Ländern allerdings nicht erfolgt. „Die Aufsichtsbehörden sind eigentlich die Garanten des Rechtsvollzugs – werden aber damit allein gelassen“, warnte Caspar.
Für wichtig hält er nach eigenen Angaben auch die Regelungen, nach denen die Aufsichtsbehörden unionsweit koordiniert würden. Dabei komme dem Europäischen Datenschutz-Ausschuss eine besondere Rolle zu. Mit ihm sei „Datenschutz keine Sache mehr des einzelnen Behördenleiters, der tapfer allein in die Sonne reitet.“ Die Themen könnten nur auf europäischer Ebene einheitlich entschieden und in der gesamten Union umgesetzt werden. Datenschutz sei nicht nur ein Garant für die Datenschutzrechte der Betroffenen in Europa, sondern auch für einen fairen Wettbewerb von Unternehmen im EU-Binnenmarkt. „Wir brauchen einen fairen Wettbewerb – und den bekommen wir nur über den europäischen Datenschutz-Ausschuss. Denn: Nichts ist so europäisch wie der Datenschutz“, betonte Caspar.

Innovation und Datenschutz müssen kein Gegensatz sein

Einen hoffnungsvollen Ausblick gab Dr. Michael Friedewald, Projektkoordinator des Forums Privatheit vom Fraunhofer-Institut für System- und Innovationsforschung (ISI): „Wir befinden uns vor einer Zeitenwende. Hier kann der Datenschutz vom Umweltschutz lernen. Es hat hier auch eine Weile gedauert, bis sich gezeigt hat, dass Regulierungen in diesem Bereich nicht nur für die Gesellschaft nützlich sind, sondern, dass sie auch zu Innovationen und wirtschaftlicher Profitabilität führen.“
Wie so etwas aussehen könnte, zeige die künftige E-Privacy-Verordnung. Diese regele den Datenschutz für die elektronische Kommunikation nicht abstrakt und technikneutral wie die DSGVO, sondern bereichs- und risikobezogen. Auch wende sie sich an die richtigen Adressaten, nämlich auch an Hersteller von IT und nicht nur an ihre Anwender.
Die E-Privacy-Verordnung sollte ursprünglich mit der DSGVO am 25. Mai 2018 Geltung erlangen. Rolf Bender, Vertreter des Bundesministeriums für Wirtschaft und Energie (BMWi), rechnet jedoch damit, dass diese „nicht vor Ende 2018“ verabschiedet wird.
Ihr Kernanliegen sei der Schutz der Vertraulichkeit der Kommunikation. Doch auch hierbei gebe es noch viele offene Fragen. Unklar sei zum Beispiel: Wann gilt die DSGVO und wann die E-Privacy-Verordnung? Als Innovationshemmnis für Unternehmen sollte sich aber für Bender keine ihrer Regelungen erweisen: „Wir wollen ein hohes Datenschutzniveau – aber wir wollen auch, dass innovative Geschäftsmodelle nicht kaputt gemacht werden.“

Weitere Informationen zum Thema:

datensicherheit.de, 16.03.2018
Unternehmen hinken bei EU-DSGVO-Anpassung hinterher

datensicherheit.de, 12.01.2018
EU-DSGVO: Neue Anforderungen an Organisation und Technik

[datensicherheit.de, 13.08.2017] Das endgültige Wirksamwerden der EU-Datenschutz-Grundverordnung (EU-DSGVO) rückt mit großen Schritten näher. Diese wird erhebliche Auswirkungen auf den Betriebsalltag haben und auch sicherheitstechnische Herausforderungen vor allem für Unternehmen mit sich bringen. Tenable Inc. meldet sich mit einer Serie von Stellungnahmen zu Wort – nachfolgend werde im ersten Teil 1 drei essentielle Schritte vorgestellt, um die Herausforderungen erfolgreich zu meistern:

1. Informationssicherheits-Framework verwenden!
   Artikel 32 der Verordnung schreibt vor, dass Verantwortliche und Auftragsverarbeiter „geeignete technische und organisatorische Maßnahmen [treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Informationssicherheits-Frameworks beinhalten eine Sammlung bewährter Verfahren, die im Laufe der Zeit von Fachleuten verschiedener Industrien zusammengetragen wurden. Sie stellen als solche die ideale Grundlage für die Entwicklung geeigneter Maßnahmen dar. Frameworks wie das NIST Cybersecurity Framework (2014)6 und ISO/IEC 27017/27018 bieten akzeptierte Industriestandards für den Datenschutz. Zwar schreibt die EU kein Framework vor, doch lässt sich mit den Standards einfacher nachweisen, dass die Anforderungen des Artikels 32 erfüllt wurden.
2. Personenbezogene Daten, einschließlich „besonderer“ Daten erkennen!
   Neben den personenbezogenen Daten müssen auch die sogenannten „besonderen“ Daten geschützt werden. Deren Definition umfasst in der Verordnung genetische, biometrische und klinische Daten. Biometrische Daten gelten beispielsweise als „besondere“ Daten, da sie auch für logische und physische Zugangskontrollen genutzt werden. Überraschender ist vielleicht die Tatsache, dass auch folgende Daten zu dieser Kategorie gehören:* Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
   * Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.Um diese Anforderungen umzusetzen, empfehlen sich Discovery-Technologien. Am besten eignet sich zur Suche nach unverschlüsselten sensiblen Daten im Informationsökosystem eines Unternehmens eine Kombination aus aktiven System-Scans und passiver Netzwerküberwachung. Anschließend können die Mitarbeiter des Discovery-Teams bestimmen, ob diese Daten entfernt oder Kontrollen dafür eingerichtet werden sollen.
3. Unbekannte Bestände und Schatten-IT in die Suche einbeziehen!
   Zwei Phänomene – unbekannte Bestände und Schatten-IT – können die Aufsichtsbehörden unter Umständen zu einer besonders genauen Untersuchung veranlassen, falls personenbezogene Daten verletzt oder missbraucht werden. Mitarbeiter oder Auftragnehmer, die ohne Genehmigung personenbezogene Daten anderer Personen auf mobilen Geräten oder auf den Servern von Cloud-Diensten speichern, bieten eine enorme Angriffsfläche für Eindringlinge. Diese mobilen Geräte oder Dienste sind häufig nicht geschützt, können Sicherheitslücken aufweisen oder sind nicht geeignet, um solche Daten zu speichern. Darum ist ein kompletter Überblick zu allen Geräten im Netzwerk entscheidend. Nur dann können sie auf Sicherheitslücken überprüft und gesichert werden.

Auswirkungen für jedes Unternehmen

Die EU-DSGVO ziele darauf ab, den Datenschutz innerhalb der EU zu stärken und auch den Transfer von Daten über die EU hinaus zu regeln. Wenn sie am 18. Mai 2018 in Kraft tritt und von den Behörden durchgesetzt werden kann, habe sie Auswirkungen für jedes Unternehmen, das Daten in irgendeiner Weise in der EU verarbeitet.

[datensicherheit.de, 13.06.2017] Hinsichtlich der neuen Datenschutz-Grundverordnung der EU müssen Unternehmen in weniger als einem Jahr ihre IT-Sicherheit auf Vordermann gebracht haben, um empfindliche Strafen zu vermeiden. Nach Ansicht vieler Experten sind längst nicht alle Unternehmen auf die Vorgaben adäquat vorbereitet.

Höchste Zeit, sich mit dem Thema intensiv zu beschäftigen!

Nach einer aktuellen Erhebung von CyberArk soll nahezu die Hälfte der europäischen Kunden dieses Sicherheitssoftware-Anbieters die konkreten Auswirkungen der EU-Datenschutz-Grundverordnung nicht kennen. Viele Unternehmen täten sich schon schwer mit der exakten Definition des elementaren Begriffs „personenbezogene Daten“.
„Ab Mai 2018 gilt in allen EU-Mitgliedsstaaten die neue Datenschutz-Grundverordnung. Es ist also höchste Zeit, sich mit dem Thema intensiv zu beschäftigen und – soweit noch nicht geschehen – entsprechende Sicherheitsprojekte zu starten“, betont Michael Kleist, „Regional Director DACH“ bei CyberArk in Düsseldorf. Nur die wenigsten Unternehmen seien ihrer Erfahrung nach bereits heute optimal aufgestellt, um alle Anforderungen abzudecken. Bei den drohenden hohen Strafen könne ein weiteres Ignorieren der Vorgaben schnell zu existenzgefährdenden Konsequenzen führen.

Umsetzung der Datenschutzgrundsätze durch geeignete technische und organisatorische Maßnahmen!

Die Datenschutz-Grundverordnung bringt zahlreiche Neuerungen mit sich, die auf den Schutz personenbezogener Daten abzielen. Darunter versteht die Verordnung „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen“.
Gefordert wird explizit, dass geeignete technische und organisatorische Maßnahmen getroffen werden, die eine Umsetzung der Datenschutzgrundsätze sicherstellen; genannt werden etwa Datenminimierung, Pseudonymisierung oder auch Begrenzung von Zugriffsberechtigungen. Konkret heißt es dazu in Artikel 25: „Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht (…) einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“
Bei Sicherheitsvorfällen, die auf eine Nichtbeachtung der Vorgaben zurückzuführen sind, drohen Strafen in Höhe von bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Gesamtumsatzes. Sanktionen können unter Umständen verhängt werden bei einer Kompromittierung personenbezogener Daten, der Nichtbenennung eines Datenschutzbeauftragten oder einer nicht autorisierten Datenverarbeitung.

Remote-Zugriff und privilegierte Accounts als Schwachstellen

Eine generelle Analyse der aktuellen Bedrohungslandschaft und eine IT-Bestandsaufnahme zeigten Unternehmen laut CyberArk in der Regel schnell auf, in welchen Bereichen sofortige Maßnahmen zu ergreifen sind. Zwei Aspekte seien dabei von entscheidender Bedeutung:
Erstens erlaubten immer mehr Unternehmen externen Dienstleistern oder im aufkommenden Internet der Dinge auch externen Maschinen einen Remote-Zugriff auf das interne Netzwerk. Dieser Punkt sei vor allem deshalb relevant, weil nach Schätzungen 40 bis 60 Prozent der Cyber-Sicherheitsvorfälle auf Schwachstellen in der Verantwortung Dritter zurückzuführen seien.
Zweitens müsse vor allem immer die Sicherung der privilegierten Accounts im Blickfeld bleiben, über die ein Zugriff auf alle unternehmenskritischen Systeme, Applikationen und Daten erfolgen kann. Bei nahezu 100 Prozent aller aktuellen Attacken spiele schließlich die missbräuchliche Nutzung von privilegierten Accounts die entscheidende Rolle.
„Mit der ,Privileged Account Security Suite‘ bieten wir eine Lösung an, mit der privilegierte Benutzerkonten und Aktivitäten durchgängig verwaltet, gesichert und überwacht werden können“, so Kleist. Auch Remote-Zugriffe von externen Dienstleistern auf Applikationen und Daten ließen sich so steuern und detailliert nachweisen, und zwar ganz im Sinne der kommenden Datenschutz-Grundverordnung.

Weitere Informationen zum Thema:

datensicherheit.de, 30.05.2017
Höhere Anforderungen an Datenschutz: Im Mai 2018 tritt die EU-DSGVO in Kraft

datensicherheit.de, 30.05.2017
EU-DSGVO-Studie: Vier von fünf deutschen Unternehmen liegen noch zurück

[datensicherheit.de, 01.06.2017] In einer Stellungnahme weist der Landesbeauftragte für den Datenschutz Niedersachsen darauf hin, dass der Bundestag in der Nacht vom 1. auf den 2. Juni 2017 „bedeutende Änderungen“ im Bereich des Steuer- und Sozialdatenschutzes beschließen möchte. Dabei hätten die zuständigen Landesbeauftragten zu keiner Zeit des kurzfristigen Gesetzgebungsverfahrens Gelegenheit erhalten, sich zu diesem Änderungsvorschlag qualifiziert zu äußern.

Bisheriger Zuständigkeitsgrundsatz konterkariert

In der Abgabenordnung sei eine Konzentration der Datenschutzaufsicht über die Steuerverwaltung bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vorgesehen. Damit werde den Landesdatenschutzbehörden die Zuständigkeit für die Steuerverwaltung entzogen. Der bisherige Zuständigkeitsgrundsatz, wonach die Bundesbeauftragte die Aufsicht über Bundesbehörden ausübe und die Aufsicht über Landesbehörden den 16 Datenschutzaufsichtsbehörden der Länder obliege, werde ohne stichhaltige Begründung konterkariert.
Sollte der Bundestag wie angekündigt diese Gesetzesänderung beschließen, so müsse diese „handstreichartig durchgeführte Beschneidung der Kompetenzen der unabhängigen und von den Länderparlamenten gewählten Landesbeauftragten für den Datenschutz“ im Bundesrat gestoppt werden. Die Länderkammer dürfe dieser Kompetenzverschiebung zugunsten des Bundes und zu Lasten der Länder nicht zustimmen.

Gesetzgeber hat rechtlichen Vorgaben der EU-DSGVO zu akzeptieren!

Daneben beinhalte dieser Gesetzentwurf auch die Änderung der Vorschriften zum Sozialgeheimnis und zum -datenschutz in den Sozialgesetzbüchern I und X. Damit verbunden sei eine erhebliche Verschlechterung des Sozialdatenschutzes und eine „nicht hinnehmbare Einschränkung der Betroffenenrechte“.
Besonders kritisch zu sehen seien auch die Regelungen zur Datenerhebung aufgrund der Erteilung von freiwilligen Einwilligungserklärungen und die unverhältnismäßige Ausweitung der Forschungsregelungen. Damit würden zum Teil Regelungen im SGB X vorgenommen, welche nicht mit den Vorgaben der Datenschutz-Grundverordnung in Einklang stünden. Dies führe zu einer „erheblichen Rechtsunsicherheit bei allen Beteiligten“.
Der Gesetzgeber habe die rechtlichen Vorgaben der EU-DSGVO zu akzeptieren. Eine übermäßige Einschränkung der Rechte der Betroffenen dürfe nicht erfolgen, hätten die unabhängigen Datenschutzbehörden des Bundes und der Länder bereits nach der
kürzlich verabschiedeten Änderung des Bundesdatenschutzgesetzes betont.

[datensicherheit.de, 30.05.2017] In knapp einem Jahr – Stichtag ist der 25. Mai 2018 – tritt die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft und löst das bisherige Bundesdatenschutzgesetz (BDSG) ab. Die Einführung soll einheitliche Datenschutzregeln in Europa schaffen und generiert neue Anforderungen, insbesondere für Unternehmen, welche Kundendaten elektronisch verarbeiten. Der DEKRA e.V. rät Unternehmen, jetzt schon damit zu beginnen, das Datenschutzniveau den neuen EU-Anforderungen anzupassen.

„Marktortprinzip“ berührt auch US-Unternehmen

Die EU-DSGVO (EU-Verordnung Nr. 2016/679) soll europaweit einheitliche Anforderungen für die Erhebung, Verarbeitung, Nutzung und Speicherung von personenbezogenen Daten schaffen.
Dazu wurden neue Grundsätze, wie z.B. das „Marktortprinzip“, verankert. Diese sollen dazu führen, dass beispielsweise auch US-amerikanische Unternehmen den neuen Regeln unterliegen. Außerdem soll zukünftig die Datenschutzbehörde am Sitz der Unternehmenszentrale federführend für alle Niederlassungen in der EU sein.

Datenschutzfreundliche Voreinstellungen

Darüber hinaus gibt es laut DEKRA zahlreiche neue Anforderungen an den Datenschutz: Beispielsweise werde dieser durch datenschutzfreundliche Voreinstellungen gestärkt.
Auch für die Auftragsdatenverarbeitung gälten strengere Vorgaben. Dass ein Auftragnehmer die Vorschriften einhält, müsse künftig über einen Code-of-Conduct oder eine Zertifizierung nachgewiesen werden. Die neue Verordnung enthalte auch höhere Bußgelder, die Spanne reiche zukünftig bis 20 Millionen Euro.

Notwendige Änderungen noch vor Inkrafttreten der Verordnung umsetzen!

Die Datenschutzexperten von DEKRA empfehlen daher, jetzt schon zu prüfen, ob die Datenverarbeitungsprozesse des Unternehmens den neuen Anforderungen genügen. Dies sollte so rechtzeitig erfolgen, damit notwendige Änderungen noch vor Inkrafttreten der Verordnung umgesetzt werden können.

Weitere Informationen zum Thema:

datensicherheit.de, 06.12.2017
EU-DSGVO: Größere Unternehmen in Deutschland bereiten sich vor

[datensicherheit.de, 03.04.2017] Sowohl Bundestag und als auch Bundesrat beraten derzeit über ein neues Bundesdatenschutzgesetz, das an die EU-Datenschutz-Grundverordnung angepasst und Anfang April 2017 verabschiedet werden soll. Um den Gesetzgeber zu unterstützen, haben Experten vom „Forum Privatheit“ konkrete Vorschläge zur Verbesserung des Gesetzentwurfs erarbeitet, die bei der Umsetzung der europäischen Datenschutz-Grundverordnung in Deutschland helfen sollen. Diese Vorschläge sollen in der Mai-Ausgabe 2017 der Fachzeitschrift „Datenschutz und Datensicherheit“ (DuD) erscheinen.

Unterstützende nationalstaatliche Regelungen erforderlich!

„Damit die europäische Datenschutzreform gelingt und die Datenschutz-Grundverordnung erfolgreich in Wirtschaft und Verwaltung umgesetzt werden kann, sind unterstützende nationalstaatliche Regelungen erforderlich. Dem wird der Entwurf des neuen Bundesdatenschutzgesetzes nicht gerecht“, so Prof. Alexander Roßnagel von der Universität Kassel, zugleich Sprecher des Forschungsverbundes „Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“.

Vertragsverletzungsverfahren drohen

Die Regelungen zur erweiterten Videoüberwachung durch private Unternehmen und die Einschränkungen der Rechte der Betroffenen zugunsten privater Datenverarbeiter sollten aus dem Gesetzesentwurf gestrichen werden, fordert das „Forum Privatheit“. Diese verstießen gegen die Datenschutz-Grundverordnung und riskierten Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof.
Ferner sollte wie bisher im Gesetz geregelt sein, wie der Verantwortliche seine Datenverarbeitungsprozesse zu organisieren hat, um Betroffenenrechten entsprechen zu können. Der vorgelegte Regierungsentwurf hingegen stelle die Rechte der Betroffenen (z.B. auf Auskunft oder auf Datenlöschung) unter den Vorbehalt, dass sie keinen „unverhältnismäßigen Aufwand“ verursachen und die „Geschäftszwecke nicht erheblich gefährden“. Damit läge es in der Hand des Datenverarbeiters, durch die Wahl seiner Geschäftszwecke und die Organisation seiner Datenverarbeitung Betroffenenrechte auszuschließen.

Software datenschutzgerecht gestalten!

Im Datenschutzrecht sollten Regelungen für Hersteller von IT-Anwendungen aufgenommen werden. „Nur wenn die Software es zulässt, kann der Datenverarbeiter seine datenschutzrechtlichen Pflichten erfüllen. Daher sind Anforderungen an Hersteller notwendig, ihre Software datenschutzgerecht zu gestalten“, erläutert Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Mitglied im Forum Privatheit.
Weiterhin schlägt das Forum Privatheit auch Konkretisierungen der neuen Verarbeiterpflichten zur datenschutzfreundlichen Gestaltung der Verarbeitungsprozesse und datensparsamer Voreinstellungen vor: Der „vielversprechende Ansatz der europäischen Datenschutz-Grundverordnung“ könne ohne diese Konkretisierungen nie Wirklichkeit werden, betont Hansen.

Ergänzende Anforderungen der Nichtverkettbarkeit und Intervenierbarkeit

Die Anforderungen an die Datensicherheit und an den technischen Datenschutz seien um die Anforderungen der Nichtverkettbarkeit und der Intervenierbarkeit zu ergänzen:

• Nichtverkettbarkeit solle sicherstellen, dass die von Internetnutzern hinterlassenen Datenspuren nicht zu einem Profil verknüpft werden können.
• Intervenierbarkeit solle gewährleisten, dass der Datenverarbeiter jederzeit in der Lage ist, die Rechte des Betroffenen auf Auskunft, Korrektur und Löschung seiner Daten umzusetzen.

Außerdem wären Schnittstellen zu Selbstdatenschutz-Tools zu schaffen.

Auch sollte das Gesetz die neuen, in der Verordnung nur unzureichend geregelten Vorgaben zur Datenschutz-Folgenabschätzung, zu Verhaltensregeln und zur Zertifizierung von Verarbeitungsvorgängen so präzisieren, dass sie in Deutschland rechtssicher umgesetzt werden können. So fehlten z.B. Regelungen, die die Rechtsfolgen dieser neuen Datenschutzinstrumente beschreiben.

Auf nicht gerechtfertigte Sonderregelungen verzichten!

Auf die nicht gerechtfertigten Sonderregelungen für die vollautomatisierte Bearbeitung von Vorgängen durch private Krankenversicherungen und für Big-Data-Anwendungen zur Markt- und Meinungsforschung in Form privater Statistiken sollte verzichtet werden, um die Akzeptanz des Gesetzes nicht zu gefährden.
Die bisherige Aufsicht der Datenschutzbehörden, die zu besonderer Verschwiegenheit verpflichtet seien, sollte beibehalten werden. Keinesfalls sollten aufsichtsfreie Datenverarbeitungen möglich sein, die es Arztpraxen, Krankenhäusern, Anwaltskanzleien, Steuerberatungsbüros und ähnlichen Berufsgeheimnisträgern erlauben würden, sich vollständig der Aufsicht durch die Datenschutzbehörden zu entziehen.

Foto: Sonja Rohde

Prof. Dr. Alexander Roßnagel: Datenschutz in Deutschland droht unter das Niveau des bisherigen Bundesdatenschutzgesetzes zu sinken!

Gesetzgebung in Deutschland mit Vorbildfunktion

„Ohne diese Nachbesserungen droht der künftige Datenschutz in Deutschland unter das Niveau des bisherigen Bundesdatenschutzgesetzes und der Datenschutz-Grundverordnung zu sinken“, warnt Roßnagel. Vielleicht könnten nicht alle Vorschläge in der verbleibenden kurzen Zeit bis zur Bundestagswahl umgesetzt werden. Sie müssten dann aber auf der Agenda für die neue Legislaturperiode stehen.
„Die Gesetzgebung in Deutschland hat Vorbildfunktion für viele andere Mitgliedstaaten in der Union“, ergänzt Hansen. Eine Absenkung des Datenschutzes in Deutschland drohe den Reformimpuls in ganz Europa zunichte zu machen.

Weitere Informationen zum Thema:

datensicherheit.de, 03.04.2017
Neue Studie: Einfache Wege zu mehr Privatheit