Ein interessantes Unterfangen, denn wenn Sie sich an Ihre Projekte in der Unternehmensorganisation erinnern, dann wissen Sie, dass 12 Monate eine verdammt kurze Zeit sind.
Das Wichtigste zuerst
Die EU DS-GVO versucht, einen Ausgleich zwischen den Bürgerrechten des Einzelnen und der Freiheit des Datenverkehrs zu schaffen. Deshalb geht es bei allen Ausführungen um den Schutz der personenbezogenen Daten von natürlichen Personen. Das heisst, um Daten von Endkunden, Verbraucher oder Privatier. Oder um die Daten Ihrer Mitarbeiter. Und es geht darum, dass Unternehmen über das Internet Daten verarbeiten und senden dürfen, um ihren Job machen zu können. Dieser freie Datenverkehr darf in der Union weder eingeschränkt noch verboten werden. Aber die Unternehmen müssen technische Auflagen erfüllen, damit die Persönlichkeitsrechte von Privatpersonen gewahrt bleiben. Über die Hintergründe berichteten wir bereit im vorigen Beitrag.
Erste Hilfe
Damit Sie überprüfen können, in welchem Umfang die neuen Regeln für Ihr Unternehmen gelten, wir Ihnen in unserer Serie über die neue DS-GVO erste Hilfe für den Einstieg leisten. Dazu werden wir Ihnen die wichtigsten Neuerungen vorstellen. Und wir werden versuchen, die Brücke in die Unternehmenspraxis zu schlagen. Darüber hinaus können Sie mit der Unterstützung des eBusiness Lotsen Berlin rechnen. Zusätzliche bekommen Sie von uns auch wieder Checklisten als Arbeitswerkzeuge. Trotzdem sollten Sie so schnell wie möglich Rücksprache mit dem Fachanwalt Ihres Vertrauens halten, damit Sie die Änderungen gleich auf die richtige Spur bringen.
BSDG oder DS-GVO – welches Recht anwenden?
Datenschützer sind einigermaßen enttäuscht, wie die Bundesregierung das Bundesdatenschutzgesetz (BSDG) an die neue Datenschutz-Grundverordnung (DS-GVO) anpassen will (→ siehe Stellungnahme zum DSAnpUG-EU von GeN, 24.o4.17 und Bitkom, 09.03.17).
Der Grund ist einfach: Die EU wollte mit den neuen Regelungen die Bürgerrechte stärken und gleichzeitig dem Datenverkehr als wichtigen Wirtschaftsfaktor klar regeln. Und damit dieser Spannungsbogen funktioniert, hat sie den Einzelstaaten gewisse Gestaltungsspielräume gelassen. Diese hat die Bundesregierung intensiv genutzt, mit dem Ergebnis, dass der Entwurf des angepassten BDSG weit hinter den Erwartungen zurück bleibt. Deshalb hat der Bundesrat auch Nachbesserungen gefordert.
Auf Nummer Sicher gehen
Dieses Hin und Her führt natürlich zu Verunsicherung in den Unternehmen. Es stellt sich die Frage, nach welchen Regeln der Datenschutz im Unternehmen zukünftig umgesetzt werden sollte. Wenn Sie Geschäftsprozesse über die Cloud abwickeln, schauen Sie sich diese bitte genau an. Die DS-GVo greift zum Beispiel dann, wenn Mitarbeiter- oder Lohndaten über das Internet mit dem Steuerberater oder mit der Verwaltung ausgetauscht werden. Oder wenn Sie Privatkundendaten über ein CRM in der Cloud verarbeiten. In diesen Fällen gehen Sie einfach von folgenden Prämissen aus:
- Sie können nicht sicher sein, welchen Weg die Daten Ihrer Nutzer durchs Internet nehmen. Das heisst, Sie können auch Ihren Kunden und Mitarbeitern zu keinem Zeitpunkt garantieren, dass der Datenverkehr nur in Deutschland bleibt.
- In vielen Fällen wissen Sie nicht 100%ig, wo die Server Ihres Internet-Anbieters stehen. Nur wenige Provider wie die BB-ONE.net garantieren den Standort „D“ oder „EU“.
- Unser Legislative ist zu jetzigen Zeitpunkt (Mai 2017) immer noch in der Findungsphase. Es gibt von vielen Seiten heftige Kritik an dem vorliegenden Gesetzesentwurf der Bundesregierung. Die Bundestagswahl steht vor der Tür. Wir wissen also nicht, wann wir hier Klarheit bekommen.
Und damit stehen Sie als Unternehmen ziemlich im Regen. Sie gehen das Risiko ein, dass Sie trotz Einhaltung der deutschen Datenschutzbestimmungen haftbar machen, weil andere EU-Länder die neue EU-DSGVO bereits umgesetzt haben. Oder weil deren Regeln sich sehr eng an die Vorgaben der Verordnung halten. Oder weil sich Ihr Kunde oder Mitarbeiter an den Europäischen Gerichtshof wendet. Deshalb fahren Sie unserer Meinung nach besser, wenn Sie sich schon jetzt konsequent an den neuen Regeln der DS-GVO orientieren.
Änderungen im technischen Datenschutz
Wir überlassen lieber den Juristen das Feld, wenn es um die Bewertung aller möglichen Auswirkungen geht, die das neue Datenschutzgesetz auf die verschiedenen Bereich haben wird. Viel mehr interessieren wir uns für die konkreten Schritte bei der technischen Umsetzung. Denn hier gibt es tatsächlich interessante Neuerungen. Wenn Sie unsere Beiträge zur IT-Sicherheit sorgfältig gelesen haben, dann sind Sie bereits gut vorbereitet auf das, was jetzt auf Sie zukommt.
Internet-Service = Auftragsdatenverarbeitung!
Merken Sie sich schon mal den Artikel 32 der DSGVO, denn dieser enthält die Regeln zur „Sicherheit der Daten“. Wirklich neu ist der eindeutige Hinweis, dass die verantwortlichen Auftraggeber wie zum Beispiel Unternehmen, Webseiten- bzw. Shop-Inhaber genau so in der Pflicht sind, wie die Auftragsverarbeiter, also die Internet Service Anbieter. Damit entfällt zukünftig die Möglichkeit, die Verantwortung auf andere abzuwälzen. Denn Internetdienstleistungen sind Auftragsdatenverarbeitung – Punkt.
Geeignete technische und organisatorische Maßnahmen
Die DS-GVO nennt ein paar wenige aber sehr wirksame Schutzmaßnahmen, die eigentlich selbstverständlich sind, wenn Sie das Thema IT-Sicherheit ernst nehmen:
- Personenbezogene Daten bedürfen der „Pseudonymisierung und Verschlüsselung“. Das heisst, diese Daten dürfen nicht mehr im Klartext unterwegs sein. Ob nun wirklich beide Verfahren der „Unkenntlichmachung“ gleichzeitig sein müssen oder ein Verfahren genügt, bleibt abzuwarten.
- Die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste muss dauerhaft sichergestellt werden. Hier geht es um die Klassiker in der IT-Sicherheit: Zugriffskontrollen, Redudanz, Performanz und Skalierbarkeit. Spätestens jetzt hat die Besenkammer als Serverstandort ausgedient.
- Die Verfügbarkeit der Daten müssen Sie nach Störfällen schnell wieder herstellen können. Flexible Backup-Dienste sind sowie so ein Muss, aber jetzt ist es amtlich. Wer jetzt schon Modelle wie das Active Backup der BB-ONE.net nutzt, ist fein raus.
- Die Wirksamkeit der technischen und organisatorischen Maßnahmen muss regelmäßig überprüft und auch nachgewiesen werden. Dazu benötigen Sie ein Verfahren wie Sie es aus dem Qualitätsmanagement kennen. An dieser Stelle müssen Sie tatsächlich deutlich mehr Gedankenschmalz verwenden, wie Sie die Einhaltung der Regeln gewährleisten wollen.
Risiko- und Prozessmanagement
Was werden Sie tun, wenn die Server trotz aller Sicherheitsvorkehrungen gehackt werden? Oder wenn personenbezogene Daten versehentlich gelöscht oder verändert werden? Wie viel Aufwand können und wollen Sie betreiben? Auch über diese Fragen müssen Sie sich Gedanken machen. Allerdings verschafft Ihnen die Verordnung durch die wunderbaren Worte „geeignete Maßnahmen“ und „angemessenes Schutzniveau“ einen Spielraum. Dennoch brauchen Sie eine Bewertung der Risiken mit Blick auf Eintrittswahrscheinlichkeit und Schwere der Folgen für die betroffenen Personen im Schadensfall. Diese wird vermutlich bei einem kleinen Handwerksbetrieb anders ausfallen als für ein Steuerbüro, eine Arztpraxis oder einen Onlineshop-Betreiber.
Nachweise erforderlich
Sie können viel behaupten, aber Sie müssen auch beweisen können, dass Sie die Datenschutzbestimmungen einhalten. Das sollte Ihnen bei den technischen Maßnahmen nicht allzu schwer fallen. Und glücklicher Weise haben sich die EU-Mitgliedsstaaten dazu verpflichtet, Zertifizierungsverfahren anzubieten. Wann wir in Deutschland damit rechnen dürfen und welche Kosten auf uns alle zukommen, wissen wir noch nicht. Aber da die 12 Monate ohnehin schon ein sportliches Ziel sind, dürfen wir vielleicht auf Schonfristen und Ausnahmen hoffen?
Wer darf was?
Natürlich wird der Datenschutzbeauftragte bleiben, aber sein Aufgabenbereich wird wachsen. Denn wo immer der menschliche Faktor im Spiel ist, müssen beide Seiten, also der „Verantwortliche“ und der „Auftragsverarbeiter“ dafür sorgen, dass nur die Personen an die Daten herankommen, welche dazu ausdrücklich „angewiesen“ wurden. Im Klartext: wenn es zum Aufgabengebiet Ihres Mitarbeiters gehört, in der Cloud Kundendaten zu bearbeiten, dann darf er das. Der Admin beim Internet-Anbieter darf das nicht automatisch, obwohl er vielleicht zu Wartungszwecken an die Daten herankäme.
Fortsetzung folgt
In der nächsten Folge werden wir Ihnen die organisatorischen Maßnahmen vorstellen. Wenn Sie noch einmal den Einstieg ins Thema lesen wollen, finden Sie hier den Beitrag „DSGVO: Der Countdown beginnt„. Den vorläufigen Abschluss dieser Serie werden wir mit dem Thema „DSGVO und Sonderfall KMU“ bilden, denn das brennt uns allen auf den Nägeln.
Hinweis
Wir bemühen uns, die juristischen Fachtexte mit den Augen eines Anwenders zu lesen und entsprechend zu übersetzen. Allerdings sind wir keine Juristen, deshalb können sich natürlich Fehler bei der Interpretation einschleichen. Wenn Ihnen hierzu etwas auffält, bitten wir um eine kurze Nachricht über das Kontaktformular. Und selbstverständlich dürfen wir auch nicht rechtlich beraten. Daher bitten wir Sie ausdrücklich, einen Fachanwalt für IT-Recht hinzuziehen, sobald Sie die neuen Datenschutzregeln in Ihrem Unternehmen einführen wollen.
Mehr Informationen
Wir können Ihnen anbieten, sich selbst ein Bild zu machen. Dazu haben wir Ihnen ein paar Links zusammen getragen. Und natürlich werden wir diese Serie fortsetzen. In der nächsten Ausgabe beschäftigen wir uns mit den organisatorischen Maßnahmen, die auf Sie zukommen werden.
Linksammlung
- Datenschutz-Grundverordnung und Erwägungsgründe
- HK2 Rechtsanwälte, IT-Sicherheit und Recht, „Factsheet – das neue Datenschutzrecht„
