DS-GVO kommt Ende 2017

Das Wichtigste zur EU-Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung (DS-GVO) ist seit Dezember eine beschlossene Sache und soll ab Ende 2017 eine einheitliche Regelung schaffen, um die EU für das digitale Zeitalter zu rüsten.

An der DS-GVO, die Ende 2017 in Kraft tritt, ist neu, dass nun eine Verarbeitung der Daten nur nach ausdrücklicher Einwilligung geschehen darf, das „Recht auf Vergessenwerden“ und die Einführung scharfer Strafen für Unternehmen, die gegen die überarbeiteten Datenschutzregeln verstoßen.

Geldstrafen

In der neuen DS-GVO steht geschrieben, dass Firmen, die gegen die Regeln verstoßen, Strafen von bis zu vier Prozent des Jahresumsatzes drohen.

Varonis zufolge sieht die DS-GVO ein Stufensystem vor:

So können Unternehmen beispielsweise mit einer Geldstrafe von bis zu zwei Prozent ihres weltweiten erwirtschafteten Jahresumsatzes belegt werden, wenn sie es versäumen, Verarbeitungsvorgänge ordnungsgemäß zu dokumentieren (Artikel 28), die Aufsichtsbehörde und betroffene Personen über Datenschutzverletzungen zu informieren (Artikel 31 und 32) oder Datenschutz-Folgenabschätzungen durchzuführen (Artikel 33).

Ernsthaftere Verstöße ziehen laut Varonis eine Geldbuße von vier Prozent des weltweit erwirtschafteten Jahresumsatzes nach sich. Dazu gehöre die Nichteinhaltung der Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5) sowie der Bestimmungen zur Einwilligung betroffener Personen (Artikel 7). Dabei handle es sich im Grunde um Verstöße gegen die im Gesetz verankerten Privacy-by-Design-Prinzipien.

Die Regeln der DS-GVO gelten für die Verantwortlichen der Datenverarbeitung und die Auftragsverarbeiter. Das heißt, auch die Anbieter von Cloud-Dienstleistungen müssen sich an die Richtlinien der DS-GVO halten, so Varonis weiter.

Meldepflicht

Bei Verstößen gegen den Schutz personenbezogener Daten, beispielsweise durch Datenlecks oder „gehackte Daten“ müssen die Anbieter die zuständigen Behörden so schnell wie möglich informieren, so dass die Nutzer geeignete Maßnahmen ergreifen können.

Laut Varonis hat sich hier die 72-Stunden-Regelung durchgesetzt. Demnach muss laut Artikel 31 der für die Verarbeitung von Daten Verantwortliche eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde melden, sofern die Verletzung zu einem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen führt. Doch selbst wenn es sich um keine ernsthafte Datenschutzverletzung handelt, müssen Unternehmen sie intern dokumentieren.

Die DS-GVO definiert eine Datenschutzverletzung als „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob zufällig oder unrechtmäßig, oder zur unbefugten Weitergabe von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt“.

Die Betonung liegt hier auf „unbefugt“, erklärt Varonis. Nach dieser Definition handelt es sich beispielsweise auch um eine Datenschutzverletzung, wenn ein Mitarbeiter Einblick in Daten hat, die er für seine Tätigkeit nicht benötigt. Sind die Dateizugriff-Listen entsprechend aktuell und hat man rollenbasierte Zugriffskontrollen implementiert, können solche Probleme erst gar nicht auftreten.

Allein die Meldung, dass sich ein Vorfall ereignet hat, reiche Varonis zufolge bei weitem nicht aus. Ein Unternehmen müsse auch die betroffenen Datenkategorien sowie eine ungefähre Anzahl der betroffenen Personen und Datensätze melden. Dazu brauche man allerdings detaillierte Informationen darüber, was ein Hacker- oder Insiderangriff angerichtet hat. Auftragsverarbeiter hätten hier etwas mehr Spielraum: Sie müssen ihrem Auftraggeber – also dem für die Verarbeitung Verantwortlichen – „ohne unangemessene Verzögerung“ benachrichtigen.

Datenschutzbeauftragter

Unternehmen müssen ab Ende 2017 einen Datenschutzbeauftragten benennen, wenn sie im großen Ausmaß sensible Daten verarbeiten oder das Verhalten vieler Verbraucher überwachen. KMU sind von dieser Vorschrift ausgenommen, es sei denn, die Datenverarbeitung ist ihre Haupttätigkeit.

Genauer gesagt: Wenn die „umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen“ oder die „umfangreiche Verarbeitung besonderer Kategorien von Daten“ – die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, biometrische Daten, Informationen über Gesundheit, Sexualleben und sexuelle Ausrichtung betreffen – zur Kerntätigkeit eines Unternehmens gehört, ist dieses verpflichtet einen Datenschutzbeauftragten zu ernennen.

Recht auf Vergessenwerden

Verbraucher müssen mit der neuen DS-GVO ihre Einwilligung geben, dass persönliche Daten gespeichert werden dürfen. Aber genauso einfach sollen sie diese auch wieder zurückziehen können. Sie bekommen ein „Recht auf Vergessenwerden“, das heißt, ein Recht darauf, dass auf ihren Wunsch ihre persönlichen Daten aus den Speichern von Unternehmen auch wieder gelöscht werden.

Autor: Heidemarie Schuster

(c)2016 Vogel Business Media

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.