Im Mai 2016 trat die neue EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Innerhalb von zwei Jahren müssen betroffene Unternehmen und insbesondere Anbieter von Speicherlösungen sicherstellen, dass ihre Dienste den neuen Gesetzen entsprechen. So wird beispielsweise gefordert, dass für die Anwendung der Datenschutzrichtlinie nicht mehr der Standort des Servers maßgeblich ist, sondern der Standort des Nutzers. Dies hat weitreichende Konsequenzen für den Bereich der Datenweitergabe, -verwaltung und die mögliche Notwendigkeit einer zukünftigen Löschung. Verstöße können zu Bußgeldern in Millionenhöhe führen. Wir erläutern Ihnen die wesentlichen Veränderungen und möglichen Folgen für Ihr Unternehmen, damit Sie rechtzeitig handeln können.
- Überblick über die wichtigsten Änderungen der EU-DSGVO
- Prüfen Sie frühzeitig, ob Ihre Daten betroffen sind
- Unterschiede zwischen Datenschutzrecht in den USA und Deutschland
- Datenschutz und Sicherheit
- Was tun, wenn ein Umzug notwendig ist?
- Zusammenfassung
Überblick über die wichtigsten Änderungen der EU-DSGVO
Nach jahrelanger europaweiter Diskussion wurde im Mai 2016 die neue EU-Datenschutz-Grundverordnung verabschiedet. Sie hat zwar das Ziel, die Rechte der EU-Bürger zu stärken und sie vor Datenmissbrauch und Sicherheitsrisiken zu schützen. Einige Unternehmen müssen jedoch erhebliche Anstrengungen unternehmen, um die Verordnung einhalten. Eine der wesentlichen Änderungen besteht darin, dass bei Anwendung der Datenschutzgesetze nicht mehr der Standort des Servers maßgeblich ist, sondern der ständige Wohnsitz des Nutzers. Dies bedeutet, dass EU-Bürger einige Rechte haben, die umfassender sein können als die anderer Nutzer derselben Dienste. Wichtig ist auch, dass bei möglichen Verstößen gegen die Verordnung erhebliche Geldbußen von bis zu 4% des Jahresumsatzes oder 20 Millionen Euro drohen, je nachdem, welcher Betrag höher ist. So kann die Geldstrafe für große Unternehmen leicht mehrere Hundert Millionen Euro erreichen. Denn er gilt für den Jahresumsatz des gesamten Unternehmens, nicht nur einer einzelnen juristischen Person oder Teilgesellschaft.
Die Neuregelung des Datenschutzgesetzes sieht teilweise einzelne nationale Regelungen vor. Insgesamt gilt jedoch die am 25.05.2016 in Kraft getretene Verordnung europaweit einheitlich mit einer anfänglichen Neuheitsschonfrist von 2 Jahren bis Mai 2018.
Prüfen Sie frühzeitig, ob Ihre Daten betroffen sind
Bewahrt Ihr Unternehmen sensible Kundendaten auf? Planen Sie den Upload in eine öffentliche Cloud oder haben Sie dies bereits getan? Dies kann ein Sicherheitsrisiko darstellen. Auch wenn Sie diese später löschen, ist es möglich, dass der Cloud-Anbieter nicht vollumfänglich kooperiert und die Daten nicht wirklich gelöscht werden. Laut einer Studie von IDG Research Services aus dem Jahr 2016 zur Cloud-Sicherheit1 stehen Datenverlust und Datendiebstahl neben anderen Themen ganz oben auf der Liste potenzieller Sicherheitsrisiken im Cloud-Computing. Die meisten dieser Risiken betreffen vor allem externe Cloud-Anbieter außerhalb Deutschlands, aber insgesamt ist klar, dass es besser ist, Ihre Daten dort zu lassen, wo sie hingehören: in Ihrem Unternehmen!
Weitere wichtige Änderungen innerhalb der neuen Verordnung, die sowohl Ihre Geschäftskunden als auch potenzielle Endkunden betreffen, sind:
- Einwilligung & Auskunftsrecht: Kunden Ihres Unternehmens müssen der Speicherung ihrer Daten ausdrücklich zustimmen und können jederzeit Auskunft darüber verlangen, welche Informationen Sie über sie gespeichert haben.
- Datenübertragbarkeit: Kunden sollten grundsätzlich die Möglichkeit haben, ihre Daten so wie sie sind, an einen anderen Anbieter zu übertragen. Wie genau dies zu bewerkstelligen ist, ist noch nicht geklärt.
- Recht auf Vergessenwerden: Kunden Ihres Unternehmens müssen jederzeit die Möglichkeit haben, „vergessen zu werden“. Das bedeutet, dass alle Daten, die den Kunden betreffen und zur Abwicklung der Geschäftsbeziehung nicht (mehr) benötigt werden, von Ihnen auf Verlangen gelöscht werden müssen. Dies betrifft nicht nur die Stammdaten, sondern auch Bestellhistorien, Reklamationsprotokolle und Verkaufsnummern. Sofern Sie die Daten bereits an Dritte übermittelt haben, müssen Sie diese auch für den Betroffenen aktiv löschen und dem Betroffenen bestätigen.
- Mindestalter: Je nach Mitgliedstaat müssen Ihre Kunden bei der Registrierung ein Mindestalter von 13 oder 16 Jahren erreicht haben und dies durch geeignete Mittel nachweisen.
- Lokale Beschwerden: Kunden können Vorfälle in ihrer Landessprache an ihre lokale Datenschutzstelle melden und müssen sich nicht direkt an Sie wenden.
- Aufgedeckte Sicherheitslücken und erfolgreiche Hackerangriffe: Diese müssen sofort und nicht nur in kritischen Fällen, wenn Kundendaten betroffen sind, an die zuständigen Behörden gemeldet werden.
- Betrieblicher Datenschutzbeauftragter: Die Benennung ist zwingend erforderlich, wenn Sie Tätigkeiten ausüben, die ein Datenschutzrisiko beinhalten können (z.B. bei der Erhebung von Bank- und Kontodaten).
- EU-Vertreter: Ausländische Unternehmen ohne Standort oder Hauptsitz in der EU müssen in den meisten Fällen einen EU-Vertreter beauftragen.
https://www.computerwoche.de/a/ist-die-cloud-per-se-unsicher,3322505
Unterschiede zwischen Datenschutzrecht in den USA und Deutschlandy
Grundrecht auf informationelle Selbstbestimmung ist der Datenschutz in den USA eher eine Folge von Verbraucherschutzgesetzen. Das umgekehrte Argument impliziert, dass auf der anderen Seite des Atlantiks der Datenschutz pragmatischer betrachtet wird und Unternehmen eher ausgehandelten Vereinbarungen als streng reglementierten Gesetzen unterworfen sind.
Die Hauptunterschiede zwischen den beiden Kontinenten sehen wie folgt aus:
| Deutschland/Europa | USA (+ teils andere Länder) |
|---|---|
| Bundesdatenschutzgesetz (BDSG), EU-DSGVO | Datenschutz nicht gesetzlich verankert |
| Unterliegt EU-Regelungen und Verordnungen | US-Regierung dank “Patriot Act” mit weitestgehender Handlungsfreiheit was die Überwachung des Datenverkehrs angeht |
| Datengeheimnis meist gewahrt | Datengeheimnis als Begriff eher unbekannt |
| Recht auf informationelle Selbstbestimmung | Selbstregulierung der Marktteilnehmer |
| Bundesamt für Sicherheit in der Informationstechnik | Keine (unabhängige) Behörde für die Aufsicht über den Datenschutz |
| Daten verbleiben meist innerhalb der Datenschutzgrenze eines Landes | Daten werden ohne Beschränkung weltweit übertragen und je nach Bedarf “irgendwo” gespeichert |
| Strafzahlungen und Verfügungen, regulatorischer Ansatz | “Blame and Shame”-Verfahren (virtueller Pranger für Verstöße), pragmatischer Ansatz |
| Behörden sind umgehend zu informieren, wenn sensible Daten gefährdet sind | Datenlecks werden erst intern zu beheben versucht, bevor eine Behörde eingeschaltet werden muss |
| Die Anwendung der Gesetze erfolgt unabhängig von möglicher Verschlüsselung | Unverschlüsselte Daten werden kaum für schützenswert erachtet |
In den USA werden vor allem die Interessen der Unternehmen und der Sicherheitsbehörden gewahrt und ein verhältnismäßig sorgloser Umgang mit dem Datenschutz praktiziert. Die EU und insbesondere Deutschland richten hingegen das Augenmerk vor allem auf das Recht des Einzelnen und den Datenschutz als grundlegendes Menschenrecht.
http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536459/IPOL_STU(2015)536459_EN.pdf
Thema Datenschutz und Sicherheit
So what do you need to consider in order to be on the right side of the law?
Was müssen Sie also beachten, um rechtlich auf der sicheren Seite zu sein?
Zunächst einmal gilt, dass Sie genau entscheiden sollten, welchem Anbieter Sie bei der Zusammenarbeit für Ihren betriebsinternen Datenschutz vertrauen. Dazu sollten Sie sich bei der Auswahl Ihres Cloud-Providers folgende Fragen stellen:
- Hat der Anbieter seinen Sitz in der EU oder noch besser: in Deutschland? Die hierzulande geltenden Gesetze sind den Anbietern im Ausland oft einfach nicht bekannt (genug). Dennoch sind Sie als Unternehmer, was Ihre Kundendaten angeht, für deren Einhaltung verantwortlich
- Kann die angestrebte Lösung auch ohne bestehende Internetverbindung funktionieren?
- Erfolgt die Übertragung der Daten verschlüsselt? Welcher Standard liegt zugrunde?
- Werden nur diejenigen Daten übertragen, bei denen dies zwingend erforderlich ist?
- Liegen die Daten, sofern sie auf Seiten des Anbieters gespeichert werden, dort verschlüsselt vor? Welcher Sicherheitsstandard wird verwendet?
- Hat der Anbieter ein Interesse daran, dass Ihre Daten sicher sind oder profitiert er möglicherweise von den Daten, die Sie hochladen (Werbung, Tracking, Datenverkauf, Spionage)?
- Kann er Ihnen garantieren, dass er nach der neuen EU-DSGVO von 2018 arbeitet und Sie bei deren Einhaltung unterstützt?
If you have made user data accessible in a public cloud, and it has potentially been transmitted to Sofern Sie Daten von Nutzern bereits in einer Public Cloud zugänglich gemacht und möglicherweise in Drittländer außerhalb der EU übertragen haben, verstoßen Sie spätestens ab Mitte 2018 aller Wahrscheinlichkeit nach gegen geltendes Recht. Sofern der Anbieter dort nicht in der Lage ist oder sich weigert, nach EU-Standard zu arbeiten, könnten Sie sogar verpflichtet sein, die Löschung dieser Daten zu beantragen und auch durchzusetzen. Das kann im Einzelfall nicht nur zeitaufwendig, sondern vor allem sehr teuer werden.
Was tun im Falle eines notwendigen Umzugs?
Falls Sie Teile Ihrer Daten bereits auf Servern abgelegt haben, deren Betreiber möglicherweise nicht nach geltendem EU-Recht arbeiten, empfehlen wir Ihnen folgendes Vorgehen:
- Klären Sie, welche Daten bereits wohin übertragen wurden und inwieweit Sie die vorhandene Lösung durch eine Cloud mit Standort in Deutschland ersetzen können
- Identifizieren Sie die Voraussetzungen für ein angemessenes Datenschutzniveau gemäß neuer EU-Verordnung
- Wenn Sie sich für cloudplan entscheiden: Lassen Sie sich von einem unserer Berater Ihre maßgeschneiderte Lösung und deren Anforderungen vorstellen und auf Wunsch vor Ort installieren
- Testen Sie die Lösung(en) mit echten Daten
- Übertragen Sie bereits anderweitig gespeicherte Daten aus den Clouds zurück auf Ihre eigenen Systeme
- Laden sie bestimmte, nicht-sensible Daten ggf. in eine Public Cloud hoch
- Bitten Sie Ihren bisherigen Anbieter, die vorhandenen Daten unter Hinweis auf geltendes EU-Datenschutzrecht zu löschen (sogenannter Widerruf der Einwilligung)
- Bitten Sie den Anbieter weiterhin, die vollständige Löschung der Daten auch auf Systemen Dritter durchzuführen oder zu bestätigen, dass Ihre Daten nicht in die Hände Dritter gelangt sind
- Lassen Sie sich sämtliche Löschvorgänge nach deren Abschluss schriftlich bestätigen und suchen Sie zu Kontrollzwecken beispielsweise per Google nach Teilen der Daten
Gerne unterstützt cloudplan Sie bei der Durchführung eines solchen Lösch- und Übertragungsverfahrens und berät Sie individuell hinsichtlich der in Ihrem Falle sinnvollsten Vorgehensweise.
Fazit
Mit den Daten und der Cloud verhält es sich ähnlich wie mit Ihrem unternehmenseigenen Fuhrpark. Sie stellen diesen den Mitarbeitern zur Verfügung und beauftragen Dritte mit der Wartung und Pflege. Es wäre nun mehr als ärgerlich, wenn Mitarbeiter des Wartungsunternehmens vertrauliche Unterlagen aus den Fahrzeugen entwenden und kopieren oder die Fahrzeuge außerhalb der vorgesehenen Nutzung im Gelände gefahren werden. Wenn Sie und Ihr Dienstleister nicht nur dieselbe Sprache sprechen, was den Datenschutz angeht, sondern im selben Boot sitzen, was mögliche Haftungsfragen angeht, bleibt Ihr Risiko minimal. Vertrauen Sie somit auf Cloud-Lösungen ausschließlich nach neuestem EU-Standard und sprechen Sie uns noch heute an.