DSGVO - Hintergrund/Inhalte/Termine

Bisher genügte für Unternehmen die Angabe von geeigneten organisatorischen und technischen Vorkehrungen zum Datenschutz. Kontrollen zu diesen Angaben erfolgten nicht. Die nunmehr rechtskräftige EU-weite Vereinheitlichung regelt ab 25. Mai 2018 neue Rechtsgrundlagen zur Datenverarbeitung.

Die DSGVO regelt unter anderem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen. Sie ist ab 25. Mai 2018 die verbindliche EU-weite Regelung für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen. Hintergrund ist der Schutz personenbezogener Daten innerhalb der EU und die Gewährleistung des freien Datenverkehrs innerhalb des europäischen Binnenmarkts. Mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU vom 30. Juni 2017 wurde unter anderem das Bundesdatenschutzgesetz neu gefasst.

Auskunftspflicht - Gespeicherte Daten müssen auf Anfrage innerhalb 1 Monats mitgeteilt werden

Die bereits geltenden Betroffenenrechte wurden erweitert und um neue Rechte ergänzt (z.B. um das Recht auf Datenportabilität). Das Recht auf Datenlöschung wird in der Verordnung auch als Recht auf Vergessenwerden bezeichnet. Die Datenschutz-Grundverordnung gilt auch für Unternehmen, die ihren Sitz außerhalb der Europäischen Union haben, sich mit ihren Angeboten aber an EU-Bürger wenden (Marktortprinzip). Betroffen davon sind unter anderem US-amerikanische Unternehmen wie Facebook und Google.

Theoretisch hat jeder das Recht von den Unternehmen Auskunft zu verlangen, welche Daten über ihn gespeichert sind. Für die Beantwortung einer solchen Anfrage hat das speichernde Unternehmen 1 Kalendermonat Zeit. Wird diese Frist nicht eingehalten, kann der Kunde einen Fall eröffnen lassen. Daraufhin würde das Unternehmen auditiert, die Dokumentation überprüft und das Unternehmen unter Einbeziehung des Gesamtumsatzes in beachtlicher Höhe bestraft. Es ist nicht ratsam die ersten Präzedenzfälle abzuwarten, um dann erst unter zeitlichem und finanziellem Druck die unvermeidbaren Änderungen vorzunehmen.

Angriffe/Meldepflicht/Information - DSGVO schreibt Meldepflicht innerhalb von 72 Stunden vor, danach strafbewehrte Dokumentationsprüfung durch zuständigen Datenschutzbeauftragten

Hackerangriffe sind inzwischen täglich auftauchende Bedrohungen. Nur Software auf ständig aktuellem Stand grenzen die Angriffsmöglichkeiten ein. Zeitliche Nachlässigkeiten z.B. beim Aufspielen von updates rächen sich bitter. Oft stellt sich dann die Frage, warum Angriffe trotz Verschlüsselung Schaden anrichten konnten. Die Antwort ist in vielen Fällen dieselbe: Es nützt wenig, die Daten vorschriftsgemäß zu verschlüsseln, ohne sich über das Key-Management Gedanken zu machen. Das Ablegen von Daten und Key auf demselben Server öffnet bei Hackerangriffen alle Tore. Oft liegt dieses Problem an fehlendem know-how oder am begrenzten Budget. Verschlüsselung und Key-Management liegen -vor allem bei kleinen und mittleren Unternehmen- außerhalb der Kernkompetenz des Unternehmens.

Bei Angriffen muß das angegebene Unternehmen den Datenschutzbeauftragten des jeweiligen Landes innerhalb von 72 Stunden informieren (Meldepflicht !). Die Meldung zieht die strafbewehrte Prüfung der lückenlosen Dokumentation der Verschlüsselung und des Key-Managements nach sich. Ergeben zwingend folgende Ermittlungen eine nicht ausreichende Verschlüsselung und ein unzureichendes Key-Management wird neben der zeitnahen Aktualisierung der Datenschutzmechanismen eine nicht unerhebliche Strafe ausgesprochen.

Der in fast allen Veröffentlichungen zur DSGVO auftauchende Satz, "Die Anforderungen nicht zu erfüllen, zieht empfindliche Strafen nach sich." läßt bei der oft phantasievoll gelenkten Festsetzung von Strafen nichts Gutes erwarten.

Übrigens: Werden Unternehmensdaten gehackt, muss jeder einzelne Nutzer unverzüglich über die Attacke informiert werden.

Fazit: Konkrete DSGVO-Auswirkungen auf Unternehmen

Unternehmen müssen nun festsstellen, ob die notwendige Verschlüsselung (einschl. Key-Management !) vorhanden ist, welche Daten betroffen sind, wo sich diese Daten befinden und auf welche Datensätze man sich konzentrieren muß. Kurzum: Zur Vorbereitung einer verordnungskonformen Dokumentation ist die Identifikation der relevanten Daten im Unternehmen/ Unternehmensnetzwerk unumgänglich.

Individuell auf Unternehmen, Hardware und Software abgestimmte nachvollziehbar vernünftige Daten-Verschlüsselung, zählen zu den Kernkompetenzen von eXtro.media

Stichworte:

Bundesdatenschutzgesetz | Datenschutzgrundverordnung | Dokumentationsprüfung durch Landesdatenschutzbeauftragten | Recht auf Datenlöschung |DSGVO | EU-Datenschutzreform | Recht auf Datenportabilität | Recht auf informelle Selbstbestimmung | LIBE-Auschuss | Key-Managment | DGSVO Marktortprinzip | Recht auf Vergessen | Verschlüsselung |

Lesen Sie dazu auch:

https://www.datenschutz-grundverordnung.eu
http://www.com-magazin.de/praxis/datenschutz/unternehmen-dsgvo-beachten-1227953.html

2017-10-31