cloudplan blog

Neue EU-Datenschutz-Grundverordnung ab 2018 verpflichtend: Das sollten Sie wissen

Im Mai 2016 ist die neue EU-Grundverordnung zum Thema Datenschutz in Kraft getreten (EU-DSGVO). Innerhalb von zwei Jahren müssen betroffene Unternehmen und insbesondere die Anbieter von Speicherlösungen dafür sorgen, dass ihr Angebot den neuen Gesetzen entspricht. So gilt beispielsweise die Vorgabe, dass für die Anwendung der Datenschutzrichtlinie nicht mehr der Standort der Server, sondern der Aufenthaltsort der Nutzer entscheidend ist. Dies hat weitreichende Konsequenzen für den Bereich der Datenweitergabe, -verwertung und einer später möglicherweise erforderlichen Löschung. Bei Verstößen können Strafen in Millionenhöhe verhängt werden. Wir erläutern Ihnen die wesentlichen Neuerungen und die möglichen Konsequenzen für Ihr Unternehmen, damit Sie rechtzeitig handeln können.

 

EU-Flaggen vor einem Parlamentsgebäude

Mit den neuen Gesetzen, die Mitte 2018 endgültig angewendet werden, haben EU-Bürger wieder die Kontrolle über Ihre sensiblen Daten. Credits: Fotolia | © Grecaud Paul

 

 

Die wichtigsten Änderungen bei der EU-DSGVO im Überblick

Nach jahrelanger europaweiter Diskussion wurde im Mai 2016 die neue EU-Datenschutzgrundverordnung verabschiedet. Während diese zum Ziel hat, die Rechte der EU-Bürger zu stärken und diese vor Datenmissbrauch und Sicherheitsrisiken zu schützen, müssen Unternehmen zum Teil erheblichen Aufwand betreiben, um der Verordnung zu entsprechen. Eine der wesentlichen Änderungen ist, dass bei der Anwendung von Datenschutzgesetzen nicht mehr der Standort der Server, sondern der ständige Wohnsitz des Anwenders entscheidend ist. So bekommen EU-Bürger teilweise Rechte, die über die anderer Nutzer desselben Dienstes weit hinausgehen können. Außerdem wichtig: Bei möglichen Verstößen gegen die Verordnung drohen empfindliche Bußgelder von bis zu 4% des Jahresumsatzes oder 20 Millionen Euro; je nachdem, welcher Wert der höhere ist. Die Geldstrafe kann also bei großen Unternehmen durchaus im dreistelligen Millionenbereich liegen. Denn es gilt hierbei der Jahresumsatz des gesamten Konzerns, nicht der einer einzelnen juristischen Person oder eines Subunternehmens.

Die neue Verordnung zum Datenschutzgesetz bietet zwar in Einzelfällen die Möglichkeit, nationale Einzelregelungen zu treffen. Im Großen und Ganzen aber gilt europaweit einheitlich die am 25.5.2016 in Kraft getretene Regelung mit einer Schonfrist von 2 Jahren bis Mai 2018.

 

Prüfen Sie rechtzeitig, ob Ihre Daten und Ihre Infrastruktur betroffen sind

Hat Ihr Unternehmen sensible Kundendaten im Bestand? Planen Sie, diese in eine Public Cloud hochzuladen oder haben Sie dies bereits getan? Das kann ein Sicherheitsrisiko bedeuten. Denn selbst wenn Sie diese später löschen, kann es sein, dass der Anbieter der Cloud nicht vollständig mitspielt und die Daten nicht wirklich löscht. Laut einer von IDG Research Services im Jahr 2016 durchgeführten Studie zum Thema  Cloud-Sicherheit1 stehen Datenverluste und gestohlene Daten neben anderen Themen ganz oben auf der Liste der möglichen Sicherheitsrisiken im Bereich des Cloud Computing. Die meisten dieser Risiken betreffen vor allem externe Cloud-Anbieter mit Sitz außerhalb von Deutschland, doch im Großen und Ganzen gilt: Lassen Sie die Daten lieber direkt dort, wo sie hingehören: In Ihrem Unternehmen!

Weitere wichtige Änderungen innerhalb der neuen Verordnung, die sowohl Ihre Geschäfts- als auch mögliche Endkunden betreffen, sind:

  • Einwilligung & Auskunftsrecht: Kunden Ihres Unternehmens müssen explizit in die Speicherung ihrer Daten einwilligen und können jederzeit Auskunft darüber verlangen, welche Informationen Sie über sie speichern
  • Datenübertragbarkeit: Kunden sollen die prinzipielle Möglichkeit haben, die Daten 1:1 zu einem anderen Anbieter zu übertragen. Wie das genau ablaufen soll, wurde bislang nicht abschließend geklärt
  • Recht auf Vergessenwerden: Kunden Ihres Unternehmens müssen jederzeit die Möglichkeit haben, “vergessen zu werden”. Das bedeutet, dass alle Daten, die sich auf den Kunden beziehen und die nicht (mehr) zur Abwicklung der Geschäftsbeziehung benötigt werden, von Ihnen auf Anforderung gelöscht werden müssen. Dies betrifft nicht nur die Stammdaten, sondern auch Bestellhistorien, Beschwerdeverläufe und Umsatzzahlen. Haben Sie die Daten bereits an Dritte übermittelt, müssen Sie auch dort die Löschung für den/die Betroffenen aktiv durchsetzen und diese dem/den Betroffenen bestätigen
  • Mindestalter: Je nach Mitgliedsstaat müssen Ihre Kunden bei der Registrierung ein Mindestalter von 13 oder 16 Jahren haben, welches geeignet nachzuweisen ist
  • Lokale Beschwerden: Die Kunden können Vorfälle bei ihrer lokalen Datenschutzbehörde in ihrer eigenen Sprache melden und müssen nicht direkt an Sie herantreten
  • Entdeckte Sicherheitslücken und erfolgreiche Hackerangriffe: Diese sind umgehend und nicht nur in schwerwiegenden Fällen den zuständigen Behörden zu melden, sofern Kundendaten betroffen sind
  • Betrieblicher Datenschutzbeauftragter: Seine Bestellung ist verpflichtend, sofern Sie einer Tätigkeit nachgehen, bei der ein datenschutzrechtliches Risiko vorliegen kann (beispielsweise wenn Sie Bank- und Kontodaten sammeln)
  • EU-Vertreter: Ausländische Unternehmen ohne Sitz oder Standort in der EU müssen in den meisten Fällen einen EU-Vertreter benennen

 

Eine Hand mit vielen Paragraphen

Eine ganze Fülle an neuen Gesetzen und Regelungen der EU betreffen das Thema Datenspeicherung. Hier gelten schon länger andere Gesetze als in den USA. Credits: Fotolia | © vege

1https://www.computerwoche.de/a/ist-die-cloud-per-se-unsicher,3322505

 

Unterschiede im Datenschutzrecht USA und Deutschland/Europa

Während sich in Deutschland und Europa die wesentlichen Gesetze zum Thema Datenschutz aus dem Grundrecht auf informationelle Selbstbestimmung ableiten, ist der Datenschutz in den USA eher eine Folge von Gesetzen im Verbraucherschutzrecht. Dies bedeutet im Umkehrschluss, dass auf der anderen Seite des Atlantiks der Datenschutz eher pragmatisch gesehen wird und die Unternehmen sich eher einer Selbstverpflichtung unterwerfen, als dass sie durch strenge Gesetze reglementiert werden.

 

Die wesentlichen Unterschiede zwischen den beiden Kontinenten stellen sich wie folgt dar:

Deutschland/EuropaUSA (+ teils andere Länder)
Bundesdatenschutzgesetz (BDSG), EU-DSGVO Datenschutz nicht gesetzlich verankert
Unterliegt EU-Regelungen und Verordnungen US-Regierung dank “Patriot Act” mit weitestgehender Handlungsfreiheit was die Überwachung des Datenverkehrs angeht
Datengeheimnis meist gewahrt Datengeheimnis als Begriff eher unbekannt
Recht auf informationelle Selbstbestimmung Selbstregulierung der Marktteilnehmer
Bundesamt für Sicherheit in der Informationstechnik Keine (unabhängige) Behörde für die Aufsicht über den Datenschutz
Daten verbleiben meist innerhalb der Datenschutzgrenze eines Landes Daten werden ohne Beschränkung weltweit übertragen und je nach Bedarf “irgendwo” gespeichert
Strafzahlungen und Verfügungen, regulatorischer Ansatz “Blame and Shame”-Verfahren (virtueller Pranger für Verstöße), pragmatischer Ansatz
Behörden sind umgehend zu informieren, wenn sensible Daten gefährdet sind Datenlecks werden erst intern zu beheben versucht, bevor eine Behörde eingeschaltet werden muss
Die Anwendung der Gesetze erfolgt unabhängig von möglicher Verschlüsselung Unverschlüsselte Daten werden kaum für schützenswert erachtet

Tabelle: Vergleich der Datenschutzgesetze in den USA und in Europa1,2

In den USA werden vor allem die Interessen der Unternehmen und der Sicherheitsbehörden gewahrt und ein verhältnismäßig sorgloser Umgang mit dem Datenschutz praktiziert. Die EU und insbesondere Deutschland richten hingegen das Augenmerk vor allem auf das Recht des Einzelnen und den Datenschutz als grundlegendes Menschenrecht.

1https://www.power-datenschutz.de/datenschutz-in-usa/

2http://wize.life/themen/kategorie/wissen/artikel/24986/auf-einen-blick-deutscher-und-us-datenschutz-im-vergleich

 

Thema Datenschutz und Sicherheit

Was müssen Sie also beachten, um rechtlich auf der sicheren Seite zu sein?

Zunächst einmal gilt, dass Sie genau entscheiden sollten, welchem Anbieter Sie bei der Zusammenarbeit für Ihren betriebsinternen Datenschutz vertrauen. Dazu sollten Sie sich bei der Auswahl Ihres Cloud-Providers folgende Fragen stellen:

  • Hat der Anbieter seinen Sitz in der EU oder noch besser: in Deutschland? Die hierzulande geltenden Gesetze sind den Anbietern im Ausland oft einfach nicht bekannt (genug). Dennoch sind Sie als Unternehmer, was Ihre Kundendaten angeht, für deren Einhaltung verantwortlich

  • Kann die angestrebte Lösung auch ohne bestehende Internetverbindung funktionieren?

  • Erfolgt die Übertragung der Daten verschlüsselt? Welcher Standard liegt zugrunde?

  • Werden nur diejenigen Daten übertragen, bei denen dies zwingend erforderlich ist?

  • Liegen die Daten, sofern sie auf Seiten des Anbieters gespeichert werden, dort verschlüsselt vor? Welcher Sicherheitsstandard wird verwendet?

  • Hat der Anbieter ein Interesse daran, dass Ihre Daten sicher sind oder profitiert er möglicherweise von den Daten, die Sie hochladen (Werbung, Tracking, Datenverkauf, Spionage)?

  • Kann er Ihnen garantieren, dass er nach der neuen EU-DSGVO von 2018 arbeitet und Sie bei deren Einhaltung unterstützt?

 

Sofern Sie Daten von Nutzern bereits in einer Public Cloud zugänglich gemacht und möglicherweise in Drittländer außerhalb der EU übertragen haben, verstoßen Sie spätestens ab Mitte 2018 aller Wahrscheinlichkeit nach gegen geltendes Recht. Sofern der Anbieter dort nicht in der Lage ist oder sich weigert, nach EU-Standard zu arbeiten, könnten Sie sogar verpflichtet sein, die Löschung dieser Daten zu beantragen und auch durchzusetzen. Das kann im Einzelfall nicht nur zeitaufwendig, sondern vor allem sehr teuer werden.

Finger über der Löschtaste eines Laptops

Wenn die Daten erstmal in einer öffentlichen Cloud liegen, reicht es nicht mehr aus, sie lokal zu löschen. Credits: Fotolia | © momius

 

Was tun im Falle eines notwendigen Umzugs?

Falls Sie Teile Ihrer Daten bereits auf Servern abgelegt haben, deren Betreiber möglicherweise nicht nach geltendem EU-Recht arbeiten, empfehlen wir Ihnen folgendes Vorgehen:

 

  1. Klären Sie, welche Daten bereits wohin übertragen wurden und inwieweit Sie die vorhandene Lösung durch eine Cloud mit Standort in Deutschland ersetzen können
  2. Identifizieren Sie die Voraussetzungen für ein angemessenes Datenschutzniveau gemäß neuer EU-Verordnung
  3. Wenn Sie sich für cloudplan entscheiden: Lassen Sie sich von einem unserer Berater Ihre maßgeschneiderte Lösung und deren Anforderungen vorstellen und auf Wunsch vor Ort installieren
  4. Testen Sie die Lösung(en) mit echten Daten
  5. Übertragen Sie bereits anderweitig gespeicherte Daten aus den Clouds zurück auf Ihre eigenen Systeme
  6. Laden sie bestimmte, nicht-sensible Daten ggf. in eine Public Cloud hoch
  7. Bitten Sie Ihren bisherigen Anbieter, die vorhandenen Daten unter Hinweis auf geltendes EU-Datenschutzrecht zu löschen (sogenannter Widerruf der Einwilligung)
  8. Bitten Sie den Anbieter weiterhin, die vollständige Löschung der Daten auch auf Systemen Dritter durchzuführen oder zu bestätigen, dass Ihre Daten nicht in die Hände Dritter gelangt sind
  9. Lassen Sie sich sämtliche Löschvorgänge nach deren Abschluss schriftlich bestätigen und suchen Sie zu Kontrollzwecken beispielsweise per Google nach Teilen der Daten

 

Gerne unterstützt cloudplan Sie bei der Durchführung eines solchen Lösch- und Übertragungsverfahrens und berät Sie individuell hinsichtlich der in Ihrem Falle sinnvollsten Vorgehensweise.

 

Fazit

Mit den Daten und der Cloud verhält es sich ähnlich wie mit Ihrem unternehmenseigenen Fuhrpark. Sie stellen diesen den Mitarbeitern zur Verfügung und beauftragen Dritte mit der Wartung und Pflege. Es wäre nun mehr als ärgerlich, wenn Mitarbeiter des Wartungsunternehmens vertrauliche Unterlagen aus den Fahrzeugen entwenden und kopieren oder die Fahrzeuge außerhalb der vorgesehenen Nutzung im Gelände gefahren werden. Wenn Sie und Ihr Dienstleister nicht nur dieselbe Sprache sprechen, was den Datenschutz angeht, sondern im selben Boot sitzen, was mögliche Haftungsfragen angeht, bleibt Ihr Risiko minimal. Vertrauen Sie somit auf Cloud-Lösungen ausschließlich nach neuestem EU-Standard und sprechen Sie uns noch heute an.

 



zurück zur Übersicht
powered by webEdition CMS