Aktuelle Meldungen zeigen, dass lediglich 2 % aller Organisationen auf die kommenden Änderungen durch die Datenschutz-Grundverordnung (DSGVO) vorbereitet sind. Aus diesem Grund haben wir diese Blog-Serie ins Leben gerufen. Wir wollen Unternehmen schnellstmöglich in Sachen Datenschutz-Grundverordnung auf den neusten Stand bringen. Auf Grundlage der Ergebnisse aus unserer eigenen Studie werden wir hier die neuen Regularien vorstellen und aufzeigen, was es nun zu beachten gilt, was dies für Daten in der Cloud bedeutet und welche Verantwortung Unternehmen künftig tragen werden, insbesondere beim Einsatz von Drittanbietern bei der Datenverarbeitung. Zudem geben wir praktische Tipps für die Umsetzung einer erfolgreichen Compliance.

Was ist die DSGVO?

Nach jahrelangen Vorbereitungen durch die EU wird die Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft treten und vorrangig die privaten und sensiblen Daten aller EU-Bürger schützen. Die DSGVO wird die EU-Datenschutzrichtlinie von 1995 ersetzen und sieht sowohl höhere Geldbußen für Nichteinhaltung und Verletzungen als auch mehr Kontrolle für die Bürger über die Verwendung ihrer Daten durch Organisationen vor. Mit Einführung der DSGVO tritt gleichzeitig eine einheitliche Regelung für sämtliche Organisationen innerhalb — und außerhalb — der EU in Kraft, die personenbezogene Daten von EU-Bürgern verarbeiten und speichern.

Für wen gilt die DSGVO genau und wer ist nun gefragt?

Sämtliche Unternehmen und Organisationen, die personenbezogene Daten verwenden und verarbeiten, sind an die rechtlichen Vorschriften der DSGVO gebunden. Gemäß diesen Vorschriften gelten alle Organisationen, die personenbezogene Daten erheben und erzeugen, als sog. Data Controller bzw. „Verantwortliche“ und müssen einen internen Datenschutzbeauftragten einsetzen. Die Verantwortlichen haben außerdem Gründe und Art der Datenverarbeitung anzugeben. Die Datenverarbeitung selbst wird jedoch vom sogenannten Data Processor („Auftragsverarbeiter“) vorgenommen, beispielsweise von Cloud-Diensten oder Anbietern von Software-as-a-Service-Lösungen. Zusammenfassend werden alle Organisationen, die Kundendaten oder personenbezogene Daten erheben und speichern, als Verantwortliche definiert, wohingegen Drittparteien wie IT-Firmen oder Cloud-Dienstleister, die im Auftrag ihrer Kunden Daten speichern und verarbeiten, als Auftragsverarbeiter beziehungsweise Data Processor definiert sind.

Wer sorgt für die Compliance des Unternehmens mit der DSGVO?

Laut einer von eperi durchgeführten Umfrage gehen 40 % der Befragten davon aus, dass lediglich die IT-Sicherheit für die DSGVO-Compliance verantwortlich ist. Tatsächlich sind nun jedoch alle Abteilungen eines Unternehmens mit Zugang zu sensiblen Daten in der Pflicht. IT-Abteilungen können Datenschutzbeauftragte bei der Überwachung der Datenverarbeitung und -speicherung durch externe Dienstleister und Cloud-Anbieter unterstützen, damit ein angemessener Datenschutz gewährleistet ist. Die Verantwortlichen haben die Einhaltung sämtlicher gesetzlicher Datenschutzvorschriften durch die Auftragsverarbeiter sicherzustellen. Tritt in Verbindung mit einem Auftragsverarbeiter eine Verletzung des Datenschutzes ein, haben diese unter der neuen DSGVO eine noch höhere Verantwortung als unter der vorherigen Gesetzgebung. Die DSGVO gilt jedoch auch für Organisationen außerhalb der EU. Sobald sie Daten von EU-Bürgern verwenden, sind diese an die DSGVO gebunden. Zur Vermeidung von Verfehlungen sind bei der Datenverarbeitung strenge Protokolle zu befolgen. Ab Inkrafttreten der DSGVO im Mai 2018 wird die Erhebung und Verarbeitung von Daten streng gesetzeskonform, transparent und zweckgebunden zu erfolgen haben. Nicht mehr benötigte Daten sind zu löschen. Bei Nichtbeachtung drohen hohe Strafen.

Strafen

Gemäß DSGVO sind sämtliche Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls von der Organisation an die entsprechende Aufsichtsbehörde zu melden. Diese recht kurze Frist genügt unter Umständen nicht für die vollständige Aufklärung der Datenschutzverletzung durch die Organisation. Welche Daten und Personen genau betroffen sind, sollte vorrangig ermittelt werden. Die Nichteinhaltung der 72-stündigen Frist kann zu einer Strafe von bis zu 2 % des jährlichen Gesamtumsatzes oder 10 Mio. Euro führen. Verstöße gegen die festgelegten Grundsätze der Datenverarbeitung, wie beispielsweise die versäumte Einholung einer Genehmigung, die Missachtung der Rechte von Personen an ihren Daten oder die unrechtmäßige Verlagerung von Daten in andere Länder, können sogar noch schärfere Strafen nach sich ziehen. Geldbußen von bis zu 20 Mio. Euro oder 4 % des jährlichen Gesamtumsatzes des Unternehmens sind hier vorgesehen, je nachdem, welche der beiden Strafen am höchsten ausfällt.

Nächste Woche beschäftigen wir uns weiter mit dem aktuellen Stand der Cloud-Sicherheit und erläutern, wie Unternehmen IT-relevante Entscheidungen zugunsten geringerer Auswirkungen der DSGVO treffen können und dabei innerhalb der strengen Vorgaben der neuen Regularien bleiben.

Photo: “Stars and Stripes” von Jannis Blume. Lizenz: CC BY-SA 2.0