EU-Datenschutz-Grundverordnung
DSGVO-Stichtag verpasst: Was nun?
Dass die zweijährige Karenzzeit für die Umsetzung der neuen EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai ab-gelaufen ist, sollte inzwischen allgemein bekannt sein. Doch im Vorfeld hatten diverse Marktbeobachter vom Bitkom bis zum ZEW (Zentrum für Europäische Wirtschaftsforschung) eine viel zuzögerliche Vorbereitung auf die DSGVO bemängelt. Dieser Beitrag diskutiert mögliche Maßnahmen für Unternehmen, bei denen es in puncto Konformität mit der DSGVO und dem aktualisierten Bundesdatenschutzgesetz (BDSG neu) schon "fünf nach zwölf" ist.
Das verschärfte Datenschutz-Regelwerk der EU droht bei Verstößen mit Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist. Solche Drohungen lassen aufhorchen - und sollen aufhorchen lassen. "Zu allererst: keine Panik", beruhigt jedoch Christian Golz, Senior Consultant und Datenschutzbeauftragter beim IT-Dienstleister Trivadis: "Die DSGVO erlaubt auch weiterhin jede Verarbeitung von Daten."
Die EU-Verordnung regle zwar die Rechte der Verbraucher in der Europäischen Union neu, das bisher gültige Bundesdatenschutzgesetz (BDSG) habe die meisten Punkte aber bereits abgedeckt. Zu beachten seien vor allem zwei Neuerungen: das Recht auf Widerspruch bei automatisierter Fallentscheidung (Artikel 22) und die Datenportabilität (Artikel 20). "Es ist auch nicht zu erwarten, dass allen Unternehmen kurzfristig heftige Strafen drohen", so Golz. "Vieles an der neuen Richtlinie muss sich erst im Einsatz bewähren. Experten erwarten, dass es zuerst eine begrenzte Anzahl prominenter Unternehmen treffen wird, an denen sich Anwälte, Datenschutzexperten und schließlich Gerichte abarbeiten werden."
Dennoch wäre es leichtsinnig, die DSGVO zu ignorieren und einfach zu hoffen, dass es einen schon nicht treffen wird. Denn neben Kontrollen der zuständigen Datenschutz-Aufsichtsbehörden und Klagen von Verbrauchern besteht eine dritte Gefahrenquelle: eine Welle von Abmahnungen. "Eine der größten Kanzleien für Abmahnungen und Unterwerfungen aus dem süddeutschen Raum rechnet mit 30 Millionen Euro Einnahmen nur aus Gebühren für Abmahnungen und Unterwerfungen", berichtet Alexander Bugl, betrieblicher Datenschutzbeauftragter und Datenschutzauditor bei Bugl & Kollegen. "Hinzu kommt der eklatante Image-Verlust bei Kunden und Lieferanten."
Wie schon der Vorgänger, die Datenschutzrichtlinie 95/46/EG von 1995, so fasst auch die DSGVO den Begriff der "personenbezogenen Daten" sehr weit: Dies sind "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (?) beziehen" - also neben den üblichen Stammdaten auch IP-Adressen, Online-Kennungen oder Angaben zum Gesundheitszustand, wie sie etwa Fitness-Tracker erfassen. Die DSGVO fordert, dass personenbezogene Daten im Hinblick auf Vertraulichkeit und Integrität besonders zu schützen sind. Zudem dürfen sie nur mit Einwilligung der Betroffenen, zweckgebunden und "auf das nötige Maß beschränkt" Verwendung finden. Auf Anfrage ist den Betroffenen über gespeicherte Daten Auskunft zu erteilen. Zudem können Verbraucher ihre Daten von einem Service-Provider zu einem anderen mitnehmen oder aber die Löschung fordern (Recht auf Vergessenwerden). Im Fall von Datenverlusten besteht eine Meldepflicht "möglichst binnen 72 Stunden" nach Bekanntwerden.
Technisch-organisatorische Maßnahmen
Zur Durchsetzung dieser Vorschriften fordert die DSGVO geeignete "technisch-organisatorische Maßnahmen" (TOM), ohne diese aber im Detail vorzugeben. Erforderlich ist zudem die Etablierung eines (internen oder externen) Datenschutzbeauftragten, sofern im Unternehmen mehr als zehn Personen regelmäßig mit personenbezogenen Daten umgehen. "Eine regelmäßige personenrelevante Datenverarbeitung stellt dabei schon die tägliche Nutzung eines E-Mail-Programms wie Outlook dar", erläutert Trivadis-Fachmann Golz.
Den Unternehmen, die den DSGVO-Stichtag "verschlafen" haben, rät der Datenschutzbeauftragte Bugl, zumindest die grundlegenden Maßnahmen in Angriff zu nehmen. "Denken wir an unsere Schulzeit zurück", so Bugl. "Wenn man gesagt hat, man habe die Hausaufgabe vergessen, gab?s einen Klassenbucheintrag. Wenn man eine begonnene Hausaufgabe abgegeben hat, hat?s vielleicht nicht gereicht, aber man hat das Bemühen gesehen."
Die drei wichtigsten TOMs in puncto Meldepflicht bei Datenverstößen liegen für den externen Datenschutzbeauftragten, der zum Beispiel für das Frankfurter Softwarehaus Matrix42 tätig ist, auf der Hand: "Datenschutzbeauftragter, Datenschutzbeauftragter, Datenschutzbeauftagter!" Er warnt dringend davor, persönliche Einlassungen bei der Aufsichtsbehörde zu tätigenen. In Bezug auf die Auskunftspflicht gegenüber EU-Bürgern rät er zu folgenden vier Schritten: 1. Validieren der Berechtigung einer Anfrage, 2. Bereitstellung der Daten in einem gut lesbaren Format (was vom Gesetzgeber gefordert ist), 3. kurze und knappe Antworten, 4. Herausgabe ausschließlich der personenbezogenen Daten (also keiner weiteren Daten, die von diesen abgeleitet sind).
Auf den letzten Drücker
Trivadis-Consultant Golz rät zu folgenden fünf "Last Minute"-Maßnahmen: 1. Awareness in der Geschäftsführung schaffen und einen Wandel in der Unternehmensstruktur einleiten, da man die Auflagen der DSGVO nicht "nebenher" erfüllen kann, 2. klären, ob man einen Datenschutzbeauftragten braucht, 3. Einrichtung eines Datenschutz-Management-Systems - als Beispiele für Anbieter solcher Lösungen nennt er Neupart, Crisam, OneTrust und Otris, 4. Fokus auf Datenverarbeitung mit Außenwirkung wie etwa Newsletter, Formulare und Kontakte mit Interessenten oder Bewerbern - insbesondere auch in der Personalabteilung, da hier kritische Daten etwa zum Gesundheitszustand von Mitarbeitern verarbeitet werden, 5. Absicherung externer Verarbeitungstätigkeiten (Auftragsdatenverarbeitung), wie etwa im Fall der Nutzung von CRM-Services.
Ein offensichtliches Risiko für Abmahnungen durch die erwähnte "Datenverarbeitung mit Außenwirkung" besteht zum Beispiel, wenn ein Unternehmen auf seiner Website Daten von Anwendern einsammelt, etwa per Newsletter-Anmeldung oder Kontaktformular, ohne aber die Auskunftspflichten zur Zweckgebundenheit der Datennutzung zu erfüllen. Stellt ein Unternehmen auf seiner Site ein solches Risiko fest, so rät der Datenschutzbeauftragte Alexander Bugl: "Diese Unternehmen sollten sich auf frühere Einwilligungen beziehen." Liege eine solche nicht vor, dann sei für die entsprechende Einwilligung zu sorgen. "Schon heute verlangt die nationale Gesetzgebung ein solches Verfahren", kommentiert Helko Kögel, Director Consulting bei Rohde & Schwarz Cybersecurity. "Ein Unternehmens-Newsletter oder Kundenforum ohne Double Opt-in wäre schon jetzt eine grobe Verletzung."
Eine wichtige Änderung ist das Verzeichnis der Verarbeitungstätigkeiten (VVT). Es löst das bisherige Verfahrensverzeichnis ab und enthält Angaben zu Verantwortlichen, Verarbeitungszweck, Kategorien betroffener Personen und Daten, Empfängern, Löschungsfristen, zugehörigen TOMs sowie Auftragsverarbeitern. Relevant wird das VVT spätestens dann, wenn ein Datendiebstahl oder eine Datenpanne eintritt. "Zunächst ist es wichtig, alle Mitarbeiter auf einen Incident-Response-Plan zu verpflichten", erklärt Benedikt Gasch, Direktor Produkt-Management bei DeskCenter. "Sollte es zu einem Vorfall kommen, kann das Verarbeitungsverzeichnis helfen, eine Schwachstelle schneller auszumachen." Das VVT sei aber nur hilfreich, wenn man es laufend aktuell hält und im Fall einer Prüfung schnell vorlegen kann. Deshalb sollte man seine Zusammenstellung so weit wie möglich automatisieren, empfiehlt Gasch.
Verteilte Datenhaltung birgt Risiko
Ein großes Risiko für Verstößte gegen die DSGVO-Compliance liegt laut Fachleuten darin, dass personenbezogene Daten in den Unternehmen nicht nur in zentral verwalteten Datenbanken vorliegen, sondern in unterschiedlichsten Formaten auf eine Vielzahl von Endgeräten der Anwender verteilt sind. "Um abzuklären, welche personenbezogenen Daten auf - auch mobilen - Endgeräten von Mitarbeitern gespeichert sind, sollten Unternehmen ein Assessment durchführen", rät Helko Kögel von Rohde & Schwarz Cybersecurity. Bei mobilen Endgeräten sei zudem genau auf eine Trennung von privaten und dienstlichen Daten zu achten. "Wir empfehlen dringend, eine Datenschutz-Policy für das Unternehmen zu formulieren," so Kögel, "zumindest ein Merkblatt und eine Verpflichtungserklärung inklusive Belehrung."
Auch Auditor Bugl rät hier zum kurzfristigen Schließen einer Betriebsvereinbarung, zudem zur Installation einer geeigneten Applikation für die Identifikation aller personenbezogenen Daten. "Sich einen Überblick zu verschaffen, ist leichter, als man gemeinhin denkt", tröstet Benedikt Gasch von Leipziger Softwareanbieter DeskCenter. "Denn es gibt heute leistungsstarke Lösungen, die zuverlässig alle Geräte inklusive Hard- und Software detailliert erkennen und erfassen." Dies sei manuell nicht mehr zu bewerkstelligen. "Nur wenn Unternehmen kontinuierlich ihre Geräte inventarisieren, inklusive sämtlicher darauf befindlicher Applikationen, Datenbanken und Hilfsprogramme, erhalten sie ein aussagekräftiges Bild", betont Gasch.
"Überall, wo personenbezogene Daten involviert sind, benötigt ein Unternehmen Mechanismen, um diese Informationen verwalten und falls nötig unbrauchbar machen zu können", so Michael Heuer, Vice President EMEA bei Mimecast. "Dabei brauchen Organisationen nachhaltige Ansätze, die auch bei wechselndem Personal und bei Innovationen die Umsetzung der DSGVO erlauben." Heuer mahnt, dabei besonders das Thema E-Mail zu bedenken. Denn die E-Mail stehe im Zentrum vieler Unternehmensprozesse. "Gleichzeitig werden hier massenhaft persönliche Informationen verarbeitet und an unterschiedlichsten Orten gespeichert", so Heuer weiter. "Beispielsweise befinden sich Daten auf dem lokalen Endgerät, auf dem E-Mail-Server und als Backup in einem getrennten System." Je nach Unternehmen könne sich dies über die eigene Infrastruktur und mehrere Cloud-Anbieter verteilen.
Bei der Inventarisierung verteilter Bestände personenbezogener Daten sollte man auch die allseits beliebten USB-Datenträger nicht vergessen. Konstantin Fröse, EMEA Account Executive bei DataLocker, rät im Hinblick auf die DSGVO zur Verschlüsselung von USB-Sticks ebenso wie von Festplatten. Denn mittels verschlüsselter Datenträger könne man die Anforderung an geeignete TOMs gemäß DSGVO Art. 32 erfüllen. "Wichtig ist jedoch", so Fröse, "dass es sich um eine echte Hardwareverschlüsselung handelt." Diese biete gegenüber anderen Verschlüsselungsmethoden unterschiedliche Vorteile in Bezug auf Leistung, Benutzerfreundlichkeit und Schutz vor Kompromittierung.
Checkliste des BMWi zur DSGVO-Umsetzung: www.bmwi.de/Redaktion/DE/Publikationen/Digitale-Welt/datenschutzgrundverordnung.html
Hilfestellung der Gesellschaft für Datenschutz und Datensicherheit: www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo
Infoblätter des Bayerischen Landesamtes für Datenschutzaufsicht: www.lda.bayern.de/de/infoblaetter.html
Papiere zur DSGVO bei "Datenschutz Praxis": www.datenschutz-praxis.de/praxishilfen/filter/dsgvo-papiere/
Als weitere wichtige "Baustellen" für DSGVO-Konformität nennt man beim IT-Management-Spezialisten Kaseya das Patch-Management, die Beseitigung von Schatten-IT und gegebenenfalls das Stilllegen von Geräten: Verlorene oder gestohlene Geräte müsse man auf jeden Fall außer Betrieb nehmen können. Das gelte auch, wenn ein Mitarbeiter das Unternehmen verlässt oder ein Gerät aus der IT-Umgebung entfernt wird.
Dauerhaftes Bestreben
Michael Heuer befürchtet, dass die Bemühungen um DSGVO-Konformität wieder abebben, sobald sich der "Medienrummel" um den DSGVO-Stichtag gelegt hat. "Daher ist es wichtig, Planung und Umsetzung der DSGVO weiter voranzutreiben und sie in die Unternehmensprozesse zu integrieren", betont der Mimecast-Manager. "Schließlich erfordert die DSGVO eine kontinuierliche Ermittlung des Schutzbedarfs und Anpassung der erforderlichen Maßnahmen."
Lesen Sie mehr zum Thema
