Zwischenbilanz zur EU-DSGVO
Erst der Anfang
Fortsetzung des Artikels von Teil 1
EU-DSGVO wird unterlaufen
Eine weitere Lücke in der EU-DSGVO sehen Kritiker darin, dass Hersteller nicht in die Pflicht genommen wurden, Produkte zu entwickeln, die den Datenschutz fördern. Privacy by Design – das Berücksichtigen des Datenschutzes bei der Produktion eines Gerätes – ist ein wichtiger Baustein für den sicheren Umgang mit Daten. Einige Unternehmen haben bereits begonnen, die Barriere zwischen DevOps und IT-Sicherheit einzureißen, und neuartige Methoden im Sinne von „DevSecOps“ zu etablieren. Der Gesetzgeber muss diese Entwicklung unterstützen,
damit datenschutzkonforme Produkte auf dem Markt erhältlich sind.
Ähnliches gilt für das Speichern von Daten in der Cloud. Die marktbeherrschenden Cloud-Anbieter sitzen im Ausland. Die EU-DSGVO wird von dort geltenden Regelungen nicht selten ausgehebelt. Beispielsweise verpflichtet der „Clarifying Lawful Overseas Use of Data Act“ amerikanische Cloud-Provider, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO. Dies bedroht zudem die Wettbewerbsfähigkeit der deutschen Unternehmen, weil aufgrund der dafür notwendigen technischen Vorkehrungen auch das Risiko steigt, dass Cyberkriminelle und Drittstaaten Zugriff auf das technische Know-how der Unternehmen erhalten.
Neue IT-Sicherheitstechnologien
Ausländische Cloud-Provider bieten ihren Kunden zwar zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Auf diese Weise wollen sie europäischem Recht genügen. Das löst jedoch das Problem nicht wirklich: Die Cloud-Anbieter selbst können noch immer auf die Daten zugreifen und aufgrund gesetzlicher Gegebenheiten in ihren Herkunftsländern verpflichtet werden, Dritten Zugang zu gewähren. Um wirklich der EU-DSGVO zu genügen, braucht es stattdessen neue IT-Sicherheitstechnologien, die von Anbietern bereitgestellt werden, welche vollumfänglich europäischer Jurisdiktion unterliegen. Es sollte zudem ein datenzentrischer Ansatz gewählt werden, bei dem alle Daten verschlüsselt werden, der Kunde selbst entscheiden kann, wo seine Daten gespeichert werden und die Schlüssel ausschließlich im Besitz des Kunden sind.
Letztlich bleibt noch die Frage, wie es mit der europaweiten Harmonisierung des Datenschutzes klappt. Grundsätzlich gilt die EU-DSGVO in allen Mitgliedsstaaten und besitzt Anwendungsvorrang vor nationalen Regelungen. Zahlreiche sogenannte „Öffnungsklauseln“ geben den Gesetzgebern der Mitgliedsstaaten aber die Möglichkeit, die EU-DSGVO durch die eigene Gesetzgebung zu konkretisieren und zu ergänzen. Beim Umgang mit Arbeitnehmerdaten sieht die EU-Datenschutzgrundverordnung zum Beispiel vor, dass spezifischere Vorschriften erlassen werden können. Für Unternehmen mit europäischen Standorten bedeutet dies eine zusätzliche Herausforderung.
Richtungsweisend
Die EU-DSGVO ist ein Meilenstein auf dem Weg zu mehr Schutz personenbezogener Daten. Nach zwei Jahren zeigt sich: Vieles wurde bereits erreicht und die Umsetzung läuft. Doch die Regelung ist erst ein Anfang. Weitere Vorgaben sind notwendig, um eine vollumfängliche digitale Souveränität zu erreichen. Die EU-DSGVO gibt dafür die grundlegende Richtung vor – Unternehmen, Gesellschaft und Politik müssen diesen Weg jetzt konsequent weitergehen.
Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity
-----
Auf einen Blick: Bußgelder und Verstöße
Mehr Transparenz in Sachen Datenschutzgrundverordnung will der „GDPR Enforcement Tracker“ bieten. Die Webseite der Berliner Wirtschaftskanzlei CMS Hasche Sigle, eine Partnerschaft von Rechtsanwälten und Steuerberatern, enthält eine Liste und Übersicht aller Bußgelder und Strafen, die an Firmen von Datenschutzbehörden innerhalb der EU im Rahmen der Allgemeinen Datenschutzverordnung der EU verhängt wurden. Dargestellt werden können jedoch nur die Bußgelder, die veröffentlicht wurden. Die Liste lässt sich nach Land, Behörde, Kontrollinstanz und Art des Verstoßes filtern. Für Deutschland beispielsweise zeigen die aktuellsten Ergebnisse unter anderem Bußgeldbescheide gegen Delivery Hero oder gegen die Deutsche Wohnen SE in Höhe von 14,5 Millionen Euro – das Immobilienunternehmen hat aber bereits Widerspruch eingelegt. Auch N26 wurde belangt; die Berliner Datenschutzbeauftragte Maja Smoltczyk hatte gegen die App-Bank wegen DSGVO-Verstößen 50.000 Euro Geldbuße verhängt. Aktuell droht auch dem schwedischen Fashion-Händler H&M ein Bußgeld. Er soll Mitarbeiter massiv ausgespäht und auch private Daten über Krankheiten und familiäre Hintergründe gespeichert haben. Er habe ein entsprechendes Bußgeldverfahren eingeleitet, hat der Hamburgische Beauftragte für Datenschutz, Johannes Caspar gegenüber der „Frankfurter Allgemeinen Zeitung“ erklärt. Spannend sind auch Suchen nach Firmen wie „Google“: Dem Konzern wurden in Frankreich wegen Verstößen 50 Millionen Euro aufgebrummt. Unter anderem seien Informationen zur Verwendung der erhobenen Daten und dem Speicher-Zeitraum für die Nutzer nicht einfach genug zugänglich.
- Erst der Anfang
- EU-DSGVO wird unterlaufen
Lesen Sie mehr zum Thema
