Was die IT 2018 bewegt
EU-DSGVO wirkt sich auf alle Bereiche der IT aus
Ab Mai 2018 ist der Datenschutz in der EU zentral geregelt. Doch das ist nicht der einzige Grund für die Omnipräsenz: Nahezu alle sensiblen IT-Themen werden 2018 in irgendeiner Weise von der EU-DSGVO betroffen sein. Einen kleinen Überblick liefert die jährliche Trendanalyse der Experten des BISG.
Die EU-DSGVO kommt nicht überraschend. Veröffentlicht wurde sie bereits am 04. Mai 2016. Anzuwenden ist sie ab dem 25. Mai 2018 – ungefähr zwei Jahre später. Die EU-Mitgliedstaaten hatten zwei Jahre Zeit, die Regelung in nationales Recht umzuwandeln. Je näher der Stichtag rückt, desto mehr Experten beschäftigen sich mit dem Thema und stellen fest, wie weitreichend die Änderungen tatsächlich sind. Unter anderem wird der alte § 9 Bundesdatenschutzgesetz (BDSG) durch Artikel 32 DSGVO ersetzt. Er regelt die „Sicherheit der Verarbeitung“ personenbezogener Daten.
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten […]. (Art. 32 Abs. 1 EU-DSGVO)
Um den Text als Laie zu verstehen, muss man sich zunächst klarmachen, was „personenbezogene Daten“ sind.
„Das sind laut Art. 4 Abs. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person, also einen Menschen, beziehen. Personenbezogene Daten sind also Angaben, die einer bestimmten Person zugeordnet werden können: Name, Adresse, Geburtsdatum, aber auch E-Mail-Adresse, Interessen, Aufenthaltsorte, Social Media Accounts usw.“, erklärt Dr. Ralf W. Schadowski, BISG-Fachbereichsleiter (FBL) Datenschutz.
Zum Schutz dieser Daten fordert die EU-DSGVO also, unter Berücksichtigung des Stands der Technik und des Risikos geeignete technische und organisatorische Maßnahmen zu treffen, um diese Daten zu pseudonymisieren und zu verschlüsseln. Für den Bereich E-Mail-Kommunikation bedeutet das, dass kaum mehr unverschlüsselte E-Mails ein Unternehmen verlassen dürften. Was auf den ersten Blick nach einem ungeheuren Aufwand aussieht, ist genaugenommen nur eine kleinere Umstellung für Unternehmen. Denn für eine benutzerfreundliche E-Mail-Verschlüsselung gibt es längst geeignete Software-Lösungen und Appliances auf dem Markt. „Dennoch erleben wir eine enorme Unsicherheit bei Unternehmen bezüglich der EU-DSGVO“, sagt Dr. Schadowski. „Das liegt meiner Meinung nach auch daran, dass die neue Regelung eben nicht nur einen gesonderten Bereich betrifft, sondern sich durch nahezu die gesamte IT-Welt zieht. Es kommt ja nicht nur so ein kleines Projekt auf die Unternehmen zu, sondern die Umsetzung eines komplexen Regelwerks mit zahlreichen Teilprojekten dieser Größenordnung unternehmensweit.“ Es lohnt sich also ein Blick auf die wichtigsten IT-Themen des Jahres 2018 und ihren Zusammenhang mit den neuen Datenschutzregeln. Bleiben wir zunächst beim Thema Datenschutz.
Auswirkungen des EU-DSGVO unterschätzt?
„Im Beratungsalltag stellen wir immer wieder fest, dass viele Unternehmen noch nicht richtig informiert sind“, sagt Dr. Schadowski. „Manche Verantwortliche reden sich noch ein, dass ihre Organisation nicht betroffen sei, bzw. es ergäben sich keinerlei Änderungen daraus, oder dass es nur selten zu Überprüfungen kommen werde.“ Michael Haak, SAP- und ERP-Spezialist sowie Mitglied im BISG: „Viele unserer Kunden wissen nicht, worum es sich bei der EU-DSGVO handelt. Das scheint sogar auch auf manche Fachberater zuzutreffen.“ Die neue Datenschutzregelung lässt allerdings keinen Zweifel aufkommen. Sie ist so umfassend formuliert, dass jede Organisation jeglicher Größe in irgendeiner Weise betroffen ist. Es leuchtet hingegen ein, dass viele Unternehmen nicht mit einer Überprüfung oder anderen Auflagen durch die Aufsichtsbehörden rechnen. So ergab die bereits zum Beschluss der EU-DSGVO-Einführung in 2012 durchgeführte Studie Daten schützen des Beratungsunternehmens PricewaterhouseCoopers (PwC), dass bis dahin nur bei 3 Prozent der registrierten Datenschutzverstöße Bußgelder durch die Aufsichtsbehörden auferlegt worden waren. Nur bei 14 Prozent kam es zu einer Untersuchung der Behörde vor Ort. 2012 gingen immerhin 39 Prozent der befragten Datenschutzbeauftragten von einer vermehrten Aktivität der Aufsichtsbehörden aus.
Laut EU-DSGVO hat jede betroffene Person ausdrücklich das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde und sogar das Recht auf einen gerichtlichen Rechtsbehelf. „Wir beobachten seit mehreren Jahren einen stetigen Anstieg dieser Eingaben bei uns als zuständiger Aufsichtsbehörde für das Land Rheinland-Pfalz“, sagt dazu Helmut Eiermann, Stellvertreter des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Neben der Gefahr einer routinemäßigen oder stichprobenartigen Kontrolle kommt für Unternehmen also die steigende Gefahr hinzu, bei der zuständigen Behörde gemeldet zu werden.
- EU-DSGVO wirkt sich auf alle Bereiche der IT aus
- EU-DSGVO als Chance
- Cybersecurity
Lesen Sie mehr zum Thema
