Compliance mit der DS-GVO
Datenschutzrichtlinie 2.0? Die neue EU-Datenschutz-Grundverodnung im Detail
Die DS-GVO wird voraussichtlich 2017 in Kraft treten
Autor: Varonis Systems
(12.02.16) - Die EU-Datenschutz-Grundverordnung: Seit Langem wurde diskutiert und debattiert, jetzt ist es soweit. Soeben wurde die finale Entwurfsfassung der neuen EU-Datenschutzbestimmungen, die so genannte Datenschutz-Grundverordnung (DS-GVO), beschlossen. In den vergangenen zwei Jahren ließen sich einige Hochs und Tiefs der DS-GVO auf ihrem Weg durch den EU-Gesetzgebungs-Dschungel verfolgen.
Es lagen bislang zwei Entwürfe der DS-GVO vor – einer des EU-Rats und einer des EU-Parlaments. Die beiden Gremien haben jetzt die finale Entwurfsfassung ausgebarbeitet. Ein Artikel der IAPP (in englischer Sprache) fasst die jüngst geschlossenen Kompromisse zusammen.
Das heißt, die DS-GVO wird voraussichtlich 2017 in Kraft treten.
Die neue DS-GVO ist im Prinzip eine Weiterentwicklung der bestehenden EU-Datenschutzrichtlinie. Für ein Unternehmen, das gerade erst den EU-Markt für sich erschließt, hält die DS-GVO einige Herausforderungen bereit. Für Unternehmen, die Best Practices und Branchenstandards (PCI DSS, SANS Top 20, ISO 27001 usw.) bereits befolgen, sollte sie hingegen kein allzu großes Problem darstellen.
Die DS-GVO enthält etliche Datenschutzempfehlungen, insbesondere zum Bereich Privacy by Design. Dazu gehören beispielsweise das Minimieren der erfassten personenbezogenen Daten, das Löschen personenbezogener Daten, die nicht mehr benötigt werden, Zugriffsbeschränkungen und Datenschutz über den gesamten Lebenszyklus hinweg.
Datenschutzrichtlinie 2.0
Die aktuelle EU-Datenschutzrichtlinie ist seit 1995 in Kraft. Im Zuge der technologischen Entwicklung ist die Verordnung allerdings in die Jahre gekommen. Internet, Cloud und Big Data sind nur einige der Faktoren, durch die sich die EU gezwungen sah, ihre derzeitige Datenschutzgesetzgebung zu überdenken.
Eines der Hauptprobleme der Richtlinie ist, dass sie nur als "Vorlage" für die nationalen Datenschutzgesetze der Mitgliedsstaaten diente (um also die Vorgaben in eigene Gesetze zu "transponieren"). In Bezug auf die genannten Technologien hatten die Mitgliedsstaaten unterschiedliche Auffassungen, bei welchen Daten es sich um personenbezogene Angaben handelt wie MAC-Adressen und biometrische Date. Auch darüber wer dafür verantwortlich ist, wenn sich die Daten in der Cloud befinden, gingen die Meinungen auseinander. Die einen sahen die Verantwortung beim Unternehmen die anderen beim Diensteanbieter.
Nachdem klar war, dass die bisherige Datenschutzrichtlinie überarbeitet werden muss, initiierte die EU-Kommission 2012 ein entsprechendes Gesetzgebungsverfahren. Ziel war es, ein einziges Gesetz zu erlassen (eine sogenannte "Harmonisierung"), das für sämtliche EU-Staaten gelten und über eine zentrale Datenschutzbehörde durchgesetzt werden sollte.
Die DS-GVO ist keine komplette Neufassung der Datenschutzrichtlinie, sondern vielmehr eine Erweiterung. Interessanterweise war es in den 1990er Jahren erklärtes Ziel, einzelne nationale Gesetze durch die Datenschutzrichtlinie zu ersetzen.
Am besten betrachtet man das neue Gesetz als eine Art von "Datenschutzrichtlinie 2.0". Allerdings gibt es einige wichtige Änderungen, allen voran eine Meldepflicht bei Datenschutzverletzungen. Unternehmen wären dazu verpflichtet, Behörden und Verbraucher zu informieren, wenn Daten offengelegt wurden. Eine weitere Neuerung sind empfindliche Geldstrafen bei Verstößen: entweder zwei Prozent (in der Version des EU-Rats) oder fünf Prozent (in der des Parlaments) des weltweiten Jahresumsatzes. Das träfe dann vor allem US-amerikanische multinationale Konzerne, die den Großteil ihres Umsatzes außerhalb der EU generieren.
Das Vokabular der DS-GVO
Die DS-GVO ist ein Dokument mit über 100 Seiten. Die wichtigsten Vorgaben für IT- und Sicherheitsexperten sind aber in einigen wenigen Artikeln der Verordnung enthalten.
Doch zunächst zum Vokabular der DS-GVO.
In der DS-GVO steht der Begriff personenbezogene Daten für "alle Informationen, die sich auf eine betroffene Person beziehen". Eine betroffene Person ist "eine bestimmte natürliche Person oder eine natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die [jemand] aller Voraussicht nach einsetzen würde".
Diese nicht ganz unkomplizierte Definition wurde aus der ursprünglichen Datenschutzrichtlinie übernommen. Genau wie diese umfasst die DS-GVO Kennzeichen wie Telefonnummern, Adressen und Kontonummern sowie Online-Kennungen wie E-Mail-Adressen und biometrische Daten.
Die DS-GVO berücksichtigt auch nicht eindeutige Merkmale. Dazu gehören unterschiedliche Datenfelder, typischerweise Geodaten und Datumsangaben. Indem man diese Daten weiter verarbeitet oder man zusätzlich externe Referenzquellen benutzt, lässt sich eine Person indirekt identifizieren.
Jeder sollte also personenbezogene Daten schützen. Denn anonymisierte Daten werden weder von der DS-GVO noch von der aktuellen Datenschutzrichtlinie abgedeckt.
Die DS-GVO nutzt weiterhin die Begriffe für die Verarbeitung Verantwortlicher und Auftragsverarbeiter.
Ein für die Verarbeitung Verantwortlicher ist jeder, der "über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet". Es handelt sich dabei also um das Unternehmen oder die Organisation, die zu Beginn entscheidet, Daten der betroffenen Person zu erfassen.
Ein Auftragsverarbeiter ist jeder, der die Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Die DS-GVO definiert das Speichern von Daten explizit als Verarbeitungsverfahren. Dementsprechend gilt das Gesetz beispielsweise auch für Cloud-basierte virtuelle Speicher.
Allgemein stellt die DS-GVO Regeln für den Schutz personenbezogener Daten auf, die von einem Verantwortlichen erfasst und an eine mit der Bearbeitung beauftragte Person weitergegeben werden. Das ursprüngliche Manko der Datenschutzrichtlinie in Bezug auf Cloud-Anbieter wird in der aktuellen Fassung der DS-GVO behoben.
Die Artikel im Einzelnen
Das neue Gesetz definiert die Pflichten derer, die Daten im Auftrag verarbeiten – und damit von Cloud-Anbietern – genauer. Dies betrifft die Artikel 26 (Auftragsverarbeiter) und 30 (Sicherheit der Verarbeitung). Diese entsprechen in der Datenschutzrichtlinie dem Artikel 17. Prinzipiell sagt er aus, dass ein Cloud-Anbieter die Sicherheit der Daten, die ihm vom für die Verarbeitung Verantwortlichen übergeben werden gewährleisten muss.
Die DS-GVO sieht die Möglichkeit vor, Schadenersatzansprüche direkt gegenüber dem Auftragsverarbeiter geltend zu machen. In der aktuellen Datenschutzrichtlinie ist dies nur gegenüber dem für die Verarbeitung Verantwortlichen möglich.
Artikel 5 (Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten) nennt im Prinzip dieselben Anforderungen zur Minimierung der erfassten Datenmenge wie die aktuelle Datenschutzrichtlinie: Personenbezogene Daten müssen "dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Datenverarbeitung notwendige Mindestmaß beschränkt sein". Der Artikel besagt jedoch auch, dass letztendlich der für die Verarbeitung Verantwortliche die Sicherheit der Daten gewährleisten muss.
Artikel 23 (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) enthält zusätzliche Aspekte eines Privacy by Design. Er geht genauer auf das Minimierungsprinzip ein: Der für die Verarbeitung Verantwortliche muss die Dauer der Datenspeicherung sowie den Zugriff grundsätzlich beschränken. Zudem wird die EU-Kommission ermächtigt, genauere Anforderungen zum Datenschutz durch Technik zu einem späteren Zeitpunkt festzulegen.
Neue Anforderungen
Die DS-GVO sieht einige neue Anforderungen vor. Auch hier gilt: Wer sich bereits an Best Practices orientiert, für den hält sich der Aufwand in überschaubaren Grenzen. Wobei die Datenschutz-Folgenabschätzung (siehe unten) eine bürokratische Hürde darstellt, die möglicherweise gelegentliches Kopfschütteln verursachen wird.
Artikel 28 (Dokumentation) enthält sowohl für Auftragsverarbeiter als auch für die für die Verarbeitung Verantwortlichen zusätzliche Anforderungen hinsichtlich der Dokumentation von Verarbeitungsvorgängen. Künftig müssen die vom für die Verarbeitung Verantwortlichen erfassten Daten kategorisiert, die Empfänger der Daten dokumentiert und Fristen für das Löschen der personenbezogenen Daten angegeben werden.
Artikel 33 sieht eine Datenschutz-Folgenabschätzung vor, bevor der für die Verarbeitung Verantwortliche neue Dienste oder Produkte anbietet, in deren Rahmen die wirtschaftliche Lage, der Aufenthaltsort, der Gesundheitszustand oder persönliche Vorlieben analysiert und Daten über die Rasse, das Sexualleben oder ansteckende Krankheiten der betroffenen Person verarbeitet werden. Die Datenschutz-Folgenabschätzung soll die Privatsphäre der betroffenen Person schützen, indem der für die Verarbeitung Verantwortliche unter anderem angeben muss, welche Sicherheitsmaßnahmen er zum Schutz der Daten ergreift.
Die neue Meldepflicht bei Sicherheitsvorfällen hat in den Medien wohl am meisten Aufsehen erregt. Bisher müssen nur Telekommunikations- und Internetdienstanbieter Datenschutzverletzungen innerhalb von 24 Stunden melden (Datenschutzrichtlinie für elektronische Kommunikation).
Basierend auf dieser Richtlinie schreibt Artikel 31 der DS-GVO vor, dass der für die Verarbeitung Verantwortliche die Aufsichtsbehörde über die Art der Datenschutzverletzung, die betroffenen Datenkategorien, die Zahl der betroffenen Personen und die bereits ergriffenen Maßnahmen informieren muss.
Laut Artikel 32 müssen anschließend die betroffenen Personen benachrichtigt werden.
Artikel 17 (Recht auf Vergessenwerden und auf Löschen) verschärft die Regeln zum Löschen von Daten der aktuellen Datenschutzrichtlinie und führt das umstrittene Recht auf Vergessenwerden ein. Zudem wäre der für die Verarbeitung Verantwortliche gezwungen, alle vertretbaren Schritte zu unternehmen, um Dritte, die die Daten verarbeiten, darüber zu informieren, dass die Löschung von Daten angefordert wurde.
Für Social-Media-Dienste, die personenbezogene Daten ihrer User im Internet veröffentlichen, würde dies bedeuten, dass sie nicht nur die von den Usern eingegeben Informationen löschen, sondern auch andere Website-Betreiber in Kenntnis setzen müssten, die diese Informationen kopiert haben. Das könnte ziemlich aufwendig werden.
Eine Anforderung, die weniger Aufmerksamkeit erregt hat, jedoch erhebliche Konsequenzen nach sich zieht, ist das in Artikel 3 beschriebene neue Prinzip der Extraterritorialität. Es sagt aus, dass sämtliche Anforderungen der DS-GVO selbst für Unternehmen ohne Niederlassung in der EU gelten, die Daten von EU-Bürgern verarbeiten zum Beispiel über eine Website.
Dieses Konzept ist einigermaßen umstritten. Insbesondere ist unklar, wie es sich durchsetzen lässt.
Compliance mit der DS-GVO
Zu den wichtigen Streitpunkten gehörten die Meldefrist für Sicherheitsvorfälle (24 Stunden im Entwurf des Parlaments vs. 72 Stunden in dem des Rats), das Benennen eines Datenschutzbeauftragten (obligatorisch vs. freiwillig) und die maximale Höhe der Geldbußen bei Verstößen (fünf Prozent vs. zwei Prozent des weltweiten Jahresumsatzes des für die Verarbeitung Verantwortlichen).
Im Laufe der Verhandlungen wurde ein Ziel der DS-GVO bereits aufgegeben. Nämlich das, eine zentrale Aufsichtsbehörde zu schaffen, die Beschwerden bearbeitet und die Umsetzung des Gesetzes sicherstellt.
Der Entwurf des EU-Rats sieht vor, dass der für die Verarbeitung Verantwortliche sich an die Datenschutzbehörde des Landes seiner Hauptniederlassung wendet. Werden personenbezogene Daten in ein anderes EU-Land übertragen, wird die Sache allerdings kompliziert. Dann wäre auch die dortige Datenschutzbehörde betroffen. Können sich die Datenschutzbehörden nicht einigen, geht der Fall an den übergeordneten Europäischen Datenschutzausschuss, der dann das letzte Wort hat.
Im Endeffekt werden es Unternehmen also wohl doch mit mehreren Datenschutzbehörden zu tun haben.
Für Unternehmen, die Neulinge auf dem europäischen Markt sind, und für jedes Unternehmen (insbesondere aus den USA), das in die Extraterritorialitäts-Falle tappt, kann die DS-GVO durchaus ein Schock sein. Dies gilt vor allem für webbasierte Dienste, die nicht unter die bestehenden US-amerikanischen Datenschutzgesetze für die Medizin- oder Finanzbranche fallen.
Unternehmen sollten ihre Aufmerksamkeit grundsätzlich auf die folgenden Bereiche konzentrieren:
>> Datenklassifizierung – Unternehmen sollten in Erfahrung bringen, wo im System personenbezogene Daten gespeichert sind insbesondere in unstrukturierten Formaten wie in Dokumenten, Präsentationen und Kalkulationstabellen. Das ist wichtig, um die Daten schützen und Anforderungen zum Korrigieren und Löschen von Daten nachkommen zu können.
>> Metadaten – Aufgrund der Speicherfristen muss man wissen, wann, weshalb und für welchen Zweck Daten erfasst wurden. Bei personenbezogenen Daten, die in IT-Systemen gespeichert sind, sollte regelmäßig geprüft werden, ob sie weiterhin aufbewahrt werden müssen.
>> Governance – Nachdem der Datenschutz durch Technik nun gesetzlich festgeschrieben wird, sollten sich Unternehmen mit den Grundprinzipien der Data Governance vertraut machen. Für unstrukturierte Daten sollten sie also Klarheit darüber haben, wer personenbezogene Daten verwendet und wer zugriffsberechtigt sein sollte. Darüber hinaus sollten Unternehmen eine rollenbasierte Zugriffskontrolle einführen. Dabei erhält jeder Mitarbeiter genau die Rechte, die er braucht, um seinen Job zu machen.
>> Überwachung – Die Meldepflicht für Sicherheitsvorfälle bedeutet zusätzlichen Aufwand seitens der für die Verarbeitung Verantwortlichen. Firmen sollten in der Lage sein, ungewöhnliche Zugriffsmuster bei der Verwendung personenbezogener Daten zu erkennen und Datenschutzverletzungen unverzüglich ihrer Datenschutzbehörde zu melden. Wird das unterlassen, drohen empfindliche Geldbußen insbesondere für multinationale Konzerne mit hohen Umsätzen.
(Varonis: ra)
Varonis Systems: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>