Datenschutzrichtlinie DSGVO Die neue EU-Datenschutz-Grundverordnung im Detail

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

synetics GmbH

Fujitsu Technology Solutions GmbH

Seit Langem wurde diskutiert und debattiert, jetzt ist es soweit. Soeben wurde die finale Entwurfsfassung der neuen EU-Datenschutzbestimmungen, die so genannte Datenschutz-Grundverordnung (DS-GVO), beschlossen.

In den vergangenen zwei Jahren ließen sich einige Hochs und Tiefs der DS-GVO auf ihrem Weg durch den EU-Gesetzgebungs-Dschungel verfolgen. Es lagen bislang zwei Entwürfe der DS-GVO vor – einer des EU-Rats und einer des EU-Parlaments. Die beiden Gremien haben jetzt die finale Entwurfsfassung ausgebarbeitet. Ein Artikel der IAPP (in englischer Sprache) fasst die jüngst geschlossenen Kompromisse zusammen. Das heißt, die DS-GVO wird voraussichtlich 2017 in Kraft treten.

Die neue DS-GVO ist im Prinzip eine Weiterentwicklung der bestehenden EU-Datenschutzrichtlinie. Für ein Unternehmen, das gerade erst den EU-Markt für sich erschließt, hält die DS-GVO einige Herausforderungen bereit. Für Unternehmen, die Best Practices und Branchenstandards (PCI DSS, SANS Top 20, ISO 27001 usw.) bereits befolgen, sollte sie hingegen kein allzu großes Problem darstellen.

Die DS-GVO enthält etliche Datenschutzempfehlungen, insbesondere zum Bereich Privacy by Design. Dazu gehören beispielsweise das Minimieren der erfassten personenbezogenen Daten, das Löschen personenbezogener Daten, die nicht mehr benötigt werden, Zugriffsbeschränkungen und Datenschutz über den gesamten Lebenszyklus hinweg.

Datenschutzrichtlinie 2.0

Die aktuelle EU-Datenschutzrichtlinie ist seit 1995 in Kraft. Im Zuge der technologischen Entwicklung ist die Verordnung allerdings in die Jahre gekommen. Internet, Cloud und Big Data sind nur einige der Faktoren, durch die sich die EU gezwungen sah, ihre derzeitige Datenschutzgesetzgebung zu überdenken.

Eines der Hauptprobleme der Richtlinie ist, dass sie nur als „Vorlage“ für die nationalen Datenschutzgesetze der Mitgliedsstaaten diente (um also die Vorgaben in eigene Gesetze zu „transponieren“). In Bezug auf die genannten Technologien hatten die Mitgliedsstaaten unterschiedliche Auffassungen, bei welchen Daten es sich um personenbezogene Angaben handelt wie MAC-Adressen und biometrische Date.

Auch darüber wer dafür verantwortlich ist, wenn sich die Daten in der Cloud befinden, gingen die Meinungen auseinander. Die einen sahen die Verantwortung beim Unternehmen die anderen beim Diensteanbieter.

Nachdem klar war, dass die bisherige Datenschutzrichtlinie überarbeitet werden muss, initiierte die EU-Kommission 2012 ein entsprechendes Gesetzgebungsverfahren. Ziel war es, ein einziges Gesetz zu erlassen (eine sogenannte „Harmonisierung“), das für sämtliche EU-Staaten gelten und über eine zentrale Datenschutzbehörde durchgesetzt werden sollte.

Die DS-GVO ist keine komplette Neufassung der Datenschutzrichtlinie, sondern vielmehr eine Erweiterung. Interessanterweise war es in den 1990er Jahren erklärtes Ziel, einzelne nationale Gesetze durch die Datenschutzrichtlinie zu ersetzen.

Am besten betrachtet man das neue Gesetz als eine Art von „Datenschutzrichtlinie 2.0“. Allerdings gibt es einige wichtige Änderungen, allen voran eine Meldepflicht bei Datenschutzverletzungen. Unternehmen wären dazu verpflichtet, Behörden und Verbraucher zu informieren, wenn Daten offengelegt wurden.

Eine weitere Neuerung sind empfindliche Geldstrafen bei Verstößen: entweder zwei Prozent (in der Version des EU-Rats) oder fünf Prozent (in der des Parlaments) des weltweiten Jahresumsatzes. Das träfe dann vor allem US-amerikanische multinationale Konzerne, die den Großteil ihres Umsatzes außerhalb der EU generieren.

Das Vokabular der DS-GVO

Die DS-GVO ist ein Dokument mit über 100 Seiten. Die wichtigsten Vorgaben für IT- und Sicherheitsexperten sind aber in einigen wenigen Artikeln der Verordnung enthalten. Doch zunächst zum Vokabular der DS-GVO.

In der DS-GVO steht der Begriff personenbezogene Daten für „alle Informationen, die sich auf eine betroffene Person beziehen“. Eine betroffene Person ist „eine bestimmte natürliche Person oder eine natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die [jemand] aller Voraussicht nach einsetzen würde“.

Diese nicht ganz unkomplizierte Definition wurde aus der ursprünglichen Datenschutzrichtlinie übernommen. Genau wie diese umfasst die DS-GVO Kennzeichen wie Telefonnummern, Adressen und Kontonummern sowie Online-Kennungen wie E-Mail-Adressen und biometrische Daten.

Die DS-GVO berücksichtigt auch nicht eindeutige Merkmale. Dazu gehören unterschiedliche Datenfelder, typischerweise Geodaten und Datumsangaben. Indem man diese Daten weiter verarbeitet oder man zusätzlich externe Referenzquellen benutzt, lässt sich eine Person indirekt identifizieren.

Jeder sollte also personenbezogene Daten schützen. Denn anonymisierte Daten werden weder von der DS-GVO noch von der aktuellen Datenschutzrichtlinie abgedeckt.

Die DS-GVO nutzt weiterhin die Begriffe für die Verarbeitung Verantwortlicher und Auftragsverarbeiter.

Ein für die Verarbeitung Verantwortlicher ist jeder, der „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Es handelt sich dabei also um das Unternehmen oder die Organisation, die zu Beginn entscheidet, Daten der betroffenen Person zu erfassen.

Ein Auftragsverarbeiter ist jeder, der die Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Die DS-GVO definiert das Speichern von Daten explizit als Verarbeitungsverfahren. Dementsprechend gilt das Gesetz beispielsweise auch für Cloud-basierte virtuelle Speicher.

Allgemein stellt die DS-GVO Regeln für den Schutz personenbezogener Daten auf, die von einem Verantwortlichen erfasst und an eine mit der Bearbeitung beauftragte Person weitergegeben werden. Das ursprüngliche Manko der Datenschutzrichtlinie in Bezug auf Cloud-Anbieter wird in der aktuellen Fassung der DS-GVO behoben.

(ID:43791259)