Die Datenschutz-Grundverordnung der EU Sichere Datenverarbeitung und Meldepflicht bei Datenpannen

Redakteur: Stephan Augsten

Oft wurde die Europäische Kommission für die geplante Datenschutz-Grundverordnung kritisiert. Früher oder später wird das EU-weite Regelwerk zur Verarbeitung personenbezogener Daten aber wohl durchgesetzt. In diesem Beitrag beleuchten wir, was der Vorschlag für die Datenschutz-Grundverordnung für Unternehmen weltweit bedeutet.

Firmen zum Thema

IT-Trends wie Cloud, Mobilität und Outsourcing erfordern einen anderen Umgang mit dem Datenschutz.
IT-Trends wie Cloud, Mobilität und Outsourcing erfordern einen anderen Umgang mit dem Datenschutz.
(Bild: Archiv)

Mit der Datenschutzrichtlinie 95/46/EG wurde zuletzt im Jahr 1995 eine wichtige europäische Rechtsvorschrift zum Datenschutz verabschiedet wurde. Seitdem hat sich viel verändert: Mobile Geräte zum Beispiel sind aus unserem Alltag mittlerweile nicht mehr wegzudenken und manch einer trägt sogar zwei oder drei mit sich herum.

Gleichzeitig verlassen sensible Geschäftsdaten die traditionell sicheren vier Wände des Unternehmens. Mitarbeiter schicken Dokumente per E-Mail an sich selbst, greifen mit privaten Smartphones und Tablets auf Daten zu und speichern Daten in der Cloud. Datenmissbrauch ist heute keine Seltenheit mehr, so dass Kunden jederzeit mit Identitätsdiebstahl und finanziellem Verlust rechnen müssen und Unternehmen Gefahr laufen, Kunden und Investoren zu verlieren.

Viele Länder der Europäischen Union (EU) haben ihre eigenen Datenschutzgesetze eingeführt, um dieser neuen Realität der verschwimmenden Netzwerkgrenzen Rechnung zu tragen. Die europäischen Datenschutzgesetze sind von Land zu Land verschieden und können stark voneinander abweichen. Hinzu kommt die flutartige Verbreitung von Daten über neue Medien und Technologien, was eine Modernisierung und Vereinheitlichung der EU-Datenschutzvorschriften erforderlich macht.

Der Vorschlag zur EU-Datenschutzverordnung

In den vergangenen zwei Jahren hat die EU Vorschläge zur EU-Datenschutzreform erarbeitet, mit der anstelle des bisherigen Flickenteppichs aus nationalen Gesetzen ein EU-weiter Rahmen geschaffen werden soll. Mit der neuen EU-Datenschutzverordnung sollen die Datenschutzrechte von EU-Bürgern gestärkt, das Vertrauen in Online-Aktivitäten wiederhergestellt und Kundendaten durch Einführung neuer Datenschutzprozesse und -kontrollen in Unternehmen besser geschützt werden.

Als dieser Beitrag verfasst wurde, bestand der Vorschlag aus 91 Artikeln. Wie jedes andere Gesetzeswerk wirft auch die geplante Datenschutzreform viele Fragen auf. Wir möchten nicht auf alle Einzelheiten der Reform eingehen, sondern konzentrieren uns auf den Schutz der Vertraulichkeit von Daten, deren Verletzung mit den höchsten Geldbußen geahndet werden soll. Um mehr über die Reformbemühungen zu erfahren, lesen Sie in den im ersten Kastentext genannten Ressourcen nach.

Kernelemente der Reform

Der Vorschlag für die Datenschutz-Grundverordnung stellt mit 3.999 Änderungen und Ergänzungen auf seinem Weg zum Gesetz einen neuen Rekord auf. Nachdem der Vorschlag in einem langwierigen Verfahren gründlich geprüft worden war, stellte sich das EU-Parlament hinter die Datenschutzbemühungen und segnete die Datenschutz-Neuregelung im März 2014 nahezu einstimmig mit 621 Ja-Stimmen, 10 Gegenstimmen und 22 Enthaltungen ab.

Auch wenn jetzt eine neuerliche Prüfung und Billigung durch den Rat der Europäischen Union ansteht, ist es wahrscheinlich, dass die zukünftige Gesetzgebung dem jetzigen Vorschlag folgt. Wir greifen im Folgenden einige Artikel heraus, um beispielhaft zu erläutern, was der Vorschlag für den Schutz sensibler Daten vorsieht.

Artikel 30 betrifft die Sicherheit der Datenverarbeitung:

1. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik und der Implementierungskosten technische und organisatorische Maßnahmen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken unter Berücksichtigung der Ergebnisse der Datenschutz-Folgenabschätzung gemäß Artikel 33 angemessen ist.1a. Eine solche Sicherheitspolitik umfasst – unter Berücksichtigung des Stands der Technik und der Implementierungskosten – folgendes:a) die Fähigkeit zu gewährleisten, dass die Vollständigkeit der personenbezogenen Daten bestätigt wird;b) die Fähigkeit, die Vertraulichkeit, Vollständigkeit, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit und den Zugang zu Daten rasch im Falle eines physischen oder technischen Vorfalls (...) wiederherzustellen (...)2. Die in Absatz 1 genannten Maßnahmen bewirken zumindest, dassa) sichergestellt wird, dass nur ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten erhalten,b) gespeicherte oder übermittelte personenbezogene Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust oder unbeabsichtigter Veränderung und unbefugter oder unrechtmäßiger Speicherung oder Verarbeitung, unbefugtem oder unberechtigtem Zugang oder unbefugter oder unrechtmäßiger Weitergabe geschützt werden undc) die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten gewährleistet wird.

Kurzum: Dieser Artikel schreibt vor, dass Unternehmen dem aktuellen Stand der Technik entsprechende technische Kontrollmechanismen zum Schutz von Daten einführen müssen. Der Artikel schreibt nicht vor, welche Technologien für diese Mechanismen verwendet werden sollen, aber in einem dritten Abschnitt heißt es, dass der Europäische Datenschutzausschuss das Recht hat, zu einem späteren Zeitpunkt „den aktuellen Stand der Technik für bestimmte Sektoren und Datenverarbeitungssituationen zu bestimmen“.

Bei einer Verletzung des Schutzes personenbezogener Daten schreibt Artikel 31 des Vorschlags vor, dass das Unternehmen unverzüglich die Aufsichtsbehörde benachrichtigt. Das Unternehmen ist unter Umständen verpflichtet, die von einer Verletzung des Schutzes ihrer personenbezogenen Daten betroffenen Personen zu benachrichtigen.

In Artikel 32 der EU-weiten Richlinie heißt es:

1. Der für die Verarbeitung Verantwortliche benachrichtigt im Anschluss an die Meldung nach Artikel 31 die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten, die Privatsphäre, die Rechte oder die berechtigten Interessen der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird.2. (...)3. Die Benachrichtigung der betroffenen Person über die Verletzung des Schutzes personenbezogener Daten ist nicht erforderlich, wenn der für die Verarbeitung Verantwortliche zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er geeignete technische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Durch diese technischen Sicherheitsvorkehrungen sind die betreffenden Daten für alle Personen zu verschlüsseln, die nicht zum Zugriff auf die Daten befugt sind.

Was bedeutet das für Unternehmen?

Wenn die Daten zum Zeitpunkt des Verlusts so geschützt waren, dass sie für unbefugte Personen unbrauchbar sind und das Unternehmen dies gegenüber der Aufsichtsbehörde nachweisen kann, muss das Unternehmen die Personen, deren Daten von dem Verlust oder Diebstahl betroffen sind, nicht benachrichtigen.

Erfüllt ein Unternehmen diese Vorschriften nicht (d. h. Einführung interner Richtlinien und Umsetzung geeigneter Maßnahmen, um die Einhaltung der Bestimmungen zu gewährleisten und nachzuweisen, oder Benachrichtigung der Aufsichtsbehörde und gegebenenfalls der von der Verletzung des Schutzes personenbezogener Daten betroffenen Person), dann sieht Artikel 79 („Verwaltungsrechtliche Sanktionen“) vor, dass die Aufsichtsbehörde befugt ist, mindestens eine der folgenden Sanktionen zu verhängen:

a) eine schriftliche Verwarnung im Fall eines ersten und nicht vorsätzlichen Verstoßes,

b) regelmäßige Überprüfungen betreffend den Datenschutz,

c) eine Geldbuße von bis zu 100.000.000 EUR oder im Fall eines Unternehmens bis zu 5 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher der Beträge höher ist.

Kurz zusammengefasst: Wenn Sie nicht über die geeignete Technologie zum Schutz sensibler Daten verfügen, müssen Sie unter Umständen zahlen – direkt an die Aufsichtsbehörde und indirekt infolge einer Schädigung der Reputation, des Firmen und Geschäftswerts und des Vertrauens der Kunden. Unternehmen hingegen, die ihre Daten verschlüsseln, schützen ihre Kunden – und sich selbst.

Der zweite Teil dieses Beitrags wird kommende Woche erscheinen und sich mit der eigentlichen Umsetzung der EU-Datenschutzverordnung beschäftigen. Dabei stellen wir folgende Fragen: Wann könnte die Reform kommen? Wer ist davon betroffen? Und wie können Unternehmen dafür sorgen, dass sie den Anforderungen gerecht werden?

(ID:43051715)