WiM – Wirtschaft in Mittelfranken, Ausgabe 09|2016, Seite 20

​Die Datenschutz-Grundverordnung regelt ab 2018 die Verarbeitung von personenbezogenen Daten. Unternehmen sollten sich schon jetzt vorbereiten.

Gewaltige Lobby-Schlachten sind wegen der Datenschutz-Grundverordnung (DS-GVO) geführt worden. Sie wurde nun am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht und regelt insbesondere die Verarbeitung personenbezogener Daten. In Kraft treten wird sie zwar erst am 25. Mai 2018, aber diese zweijährige Übergangszeit sollten alle Unternehmen intensiv für die Vorbereitung nutzen.

Auch nach dem Abschluss des Gesetzgebungsverfahrens wird kontrovers über Ausgestaltung und Bedeutung des Regelwerks diskutiert, das folgende amtliche Bezeichnung trägt: „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz Grundordnung)“. Diese sperrige Bezeichnung könnte symbolisch stehen für die Unsicherheit, mit der Unternehmen, Behörden, Vereine, Verbände und Freiberufler den künftigen Vorschriften gegenüberstehen. Denn darüber, wie die neuen Normen im Detail wirklich zu verstehen bzw. zu vollziehen sein werden, wird vielfach spekuliert. Für mehr Klarheit sorgen dürften in den nächsten Monaten Verlautbarungen und Leitlinien der deutschen Aufsichtsbehörden und des neu geschaffenen Europäischen Datenschutzausschusses. Datenschutz-Experten sind sich aber einig, dass abschließende Klarheit in einzelnen Fragen – etwa bei den erheblich geänderten Normen im Bereich der Datensicherheit – wohl erst im Laufe der nächsten Jahre durch die Rechtsprechung des Europäischen Gerichtshofs geschaffen werden wird.

Dies bedeutet aber nicht, dass Unternehmen erst einmal abwarten sollten. Vielmehr sollten sie schon jetzt analysieren, in welchen Bereichen sie durch die DS-GVO betroffen sein könnten. Denn die wesentlichen Bestimmungen liegen fest: Die DS-GVO regelt vor allem die Art und Weise, wie jegliche personenbezogenen Daten verarbeitet werden dürfen. „Verarbeitung“ ist der neue Einheitsbegriff, der die bisherigen differenzierten Begriffe umfasst („Daten erheben, speichern, verändern, übermitteln, sperren, löschen oder nutzen“). Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifiziert werden kann eine Person laut DS-GVO, wenn ihr direkt oder indirekt ein Name, eine Kennnummer (z.B. Steuernummer), Standortdaten, eine Online-Kennung (E-Mail-Adresse) oder ein oder mehrere charakteristische Merkmale zugeordnet werden können. Die Verarbeitung der personenbezogenen Daten muss nicht zwingend in der EU selbst stattfinden. Vielmehr erfasst die DS-GVO auch die Datenverarbeitung außerhalb der EU, wenn sie durch einen Verantwortlichen oder einen Auftragsverarbeiter mit Sitz in der EU erfolgt.

Wie das bisherige Datenschutzrecht geht auch die DS-GVO davon aus, dass mit personenbezogenen Daten nur dann umgegangen werden darf, wenn eine Einwilligung des Betroffenen vorliegt oder wenn eine Rechtsgrundlage dies erlaubt oder anordnet.

Datenverarbeitung dokumentieren

Die Kenntnis dieser Regelungen der DS-GVO reicht für die Unternehmen aus, um sich schon jetzt an die wichtigsten Vorbereitungsarbeiten zu machen. Sie bilden die Basis, um später beurteilen zu können, ob der Betrieb die Vorschriften der DS-GVO einhält. Jedes Unternehmen sollte jetzt sehr genau prüfen, welche personenbezogenen Daten von Mitarbeitern, Kunden oder sonstigen Geschäftspartnern verarbeitet werden, auf welcher Rechtsgrundlage diese Verarbeitung erfolgt, zu welchem Zweck dies geschieht, an wen Daten übermittelt und wann diese Daten gelöscht werden. Eigentlich sind die verantwortlichen Stellen aufgrund des geltenden Bundesdatenschutzgesetzes schon jetzt verpflichtet, entsprechende Verfahrensverzeichnisse zu erstellen und zu führen. Aus der Prüfpraxis des Bayerischen Landesamtes für Datenschutzaufsicht ergibt sich, dass dies von vielen Unternehmen eher als eine lästige Formalie angesehen wird und deshalb als Dokumentation über die Datenverarbeitung im Unternehmen häufig nicht ausreichend ist. Nur wer eine derartige Verarbeitungsübersicht hat und Datenbestand und Datenflüsse im eigenen Unternehmen identifizieren kann, wird in der Lage sein, die datenschutzrechtlichen Vorgaben zu erfüllen. Ernst wird es spätestens mit der DS-GVO: Sie verpflichtet die Datenverarbeiter ebenfalls, derartige Verfahrensübersichten zu führen und die Folgen bestimmter Maßnahmen (z. B. Videoüberwachung) für den Datenschutz abzuschätzen und zu dokumentieren. Verstöße dagegen unterliegen extrem hohen Sanktionen.

Alle Unternehmen sollten deshalb für Transparenz über die Datenverarbeitung im eigenen Unternehmen sorgen. Nur wenn man weiß, welche Daten auf welche Art und Weise verarbeitet werden, wird man prüfen können, ob diese Verarbeitung in Zukunft unter den Voraussetzungen der DS-GVO noch so möglich ist bzw. was gegebenenfalls geändert werden muss. Die zweijährige Übergangsphase bis zum Inkrafttreten der Grundverordnung sollte intensiv genutzt werden. Diese Zeitspanne werden viele Unternehmen brauchen, um ihre Prozesse anzupassen und umzustellen. Eine weitere Übergangsphase nach dem 25. Mai 2018 bzw. eine Schonfrist bei der Prüfung durch die Aufsichtsbehörden wird es jedenfalls nicht geben.

Das Bayerische Landesamt für Datenschutzaufsicht informiert über alle Fragen zu den Vorschriften der neuen DS-GVO. Das Landesamt und alle anderen Aufsichtsbehörden sowie die Kammern und Verbände sind dankbar für Hinweise auf unklare Regelungen oder Umsetzungsprobleme. Sie helfen den Aufsichtsbehörden, offene Fragen und ungelöste Problemfelder zu erkennen und – auch in Zusammenarbeit mit den anderen zuständigen Behörden auf deutscher und europäischer Ebene – Klarstellungen vorzunehmen.

Autor:
Thomas Kranig (Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) in Ansbach (www.lda.bayern.de).

Der Präsidiumsarbeitskreis (PAK) „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI) hat eine Leitlinie zum verantwortungsbewussten Umgang mit Social Media veröffentlicht.

Soziale Medien liegen im Trend: sie sind gerade gut 10 Jahre alt und verbinden bereits weltweit mehr als 3 Mrd. Privatpersonen, Unternehmen und Behörden. Sie dienen zur Kommunikation und zum Austausch von Informationen – einzeln oder in selbstorganisierten Gruppen in weitgehender Eigenverantwortung.

„Aufgrund der nahezu flächendeckenden Nutzung und deren Bedeutung für den Alltag, die Vernetzung und die Privatsphäre der Bürgerinnen und Bürger halten wir eine Anleitung zu Bewertung und Umgang mit sozialen Medien für dringend geboten“, sagte PAK-Sprecher Hartmut Pohl. In den Leitlinien zeigt der Arbeitskreis die Chancen einer reflektierten und verantwortungsvollen Nutzung auf, warnt aber gleichzeitig vor einem leichtsinnigen Umgang mit den eigenen Daten. Darüber hinaus wendet sie sich an Entwickler sozialer Medien und appelliert an deren Verantwortung bei der Erstellung entsprechender Dienste.

Die Leitlinie ist in vier Kapitel gegliedert:

•     Verständnis von Social Media
•     Bewertungskriterien von Social Media
•     Nutzung von Social Media
•     Entwicklung von Social Media

Link zum Herunterladen.

Die Elektronikmesse IFA in Berlin steht kurz bevor und auch in diesem Jahr sind die Themen IT-Sicherheit und Cyber-Sicherheit bei vielen der vorgestellten vernetzten Geräte relevant – denn Schnittstellen werden abgesichert oder zusätzliche Sicherheitsfunktionen zur Verfügung gestellt. Dabei können Nutzer mit nur wenigen Klicks notwendige Schutzmaßnahmen selbst treffen: So verhindert beispielsweise die Verschlüsselung von E-Mails, dass versendete Informationen von Unbefugten mitgelesen werden können. Schlimmstenfalls gewinnen Hacker bei unverschlüsselten E-Mails Zugriff auf wertvolle Informationen wie Konto- und Benutzerdaten.

E-Mail-Nutzer können einiges tun, um sich vor ungewollten Mitlesern zu schützen. „Verschlüsselung ist ein absolutes Muss, wenn man sichergehen möchte, dass niemand anderes als der vorgesehene Empfänger die versendeten Daten erhält“, erklärt Arne Schönbohm, Präsident des Bundesamt für Sicherheit in der Informationstechnik (BSI). „Kaum jemand würde auf die Idee kommen, vertrauliche Informationen auf einer Postkarte zu verschicken. Tatsächlich ist eine unverschlüsselte E-Mail aber nichts anderes – jeder, dem sie in die Hände fällt, kann sie lesen. Verschiedene Provider bieten mittlerweile komfortable Lösungen zur Verschlüsselung an, diese sollte man nutzen.“

Sichere Kommunikation als Standard

Nutzer sollten, um ihre E-Mails effektiv zu schützen, diese verschlüsseln. Hierfür können entweder Verschlüsselungsfunktionen des E-Mail-Anbieters, Add-Ons für E-Mail-Programme oder Verschlüsselungs-Software genutzt werden. Diese müssen lediglich aktiviert beziehungsweise mit wenigen Klicks installiert und eingerichtet werden. Dabei wird zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren unterschieden. Bei der symmetrischen Verschlüsselung wird zum Ver- und Entschlüsseln derselbe geheime Schlüssel verwendet, der nicht mit Dritten geteilt werden sollte. Sender und Empfänger kennen und benutzen denselben Schlüssel für die Ver- und Entschlüsselung von E-Mails. Das asymmetrische Verfahren setzt sich hingegen aus einem Schlüsselpaar zusammen, wobei ein Schlüssel zur Ver- und einer zur Entschlüsselung genutzt wird. Der so genannte öffentliche Schlüssel wird mit dem Kommunikationspartner ausgetauscht, der private Schlüssel bleibt geheim. Dieses Verfahren bietet einen besonders hohen Schutz, denn nur ein Empfänger, der im Besitz des zweiten, privaten Schlüssels ist, kann die E-Mail entschlüsseln.

Um den Einsatz von Ende-zu-Ende-Verschlüsselung – vom Postausgang des Senders bis zum Posteingang des Empfängers – in Deutschland zu fördern, haben sich Vertreter aus Politik, Forschung und IT-Wirtschaft zusammengeschlossen und sich zu einfachen, nutzerfreundlichen und transparenten Verschlüsselungslösungen verpflichtet. Unter Beteiligung des Bundesministeriums des Innern und des BSI wurde die „Charta zur Stärkung der vertrauenswürdigen Kommunikation“ auf dem IT-Gipfel 2015 unterzeichnet. Eine Initiative, die diese Forderungen erfüllt, ist die „Volksverschlüsselung“, für die sich Nutzer auf der IFA registrieren können. „Wir begrüßen solche Initiativen, die dazu beitragen, dass E-Mail-Kommunikation sicherer wird und die Verschlüsselung in der Breite genutzt wird“, erklärt Arne Schönbohm, Präsident des BSI.

Die Behörde befasst sich mit allen Themen rund um die IT-Sicherheit in Deutschland; hierzu entwickelt sie auch kryptografische Verfahren und Verschlüsselungslösungen. Unter anderem ließ das BSI die Software Gpg4win entwickeln, eine einfache, lizenzkostenfreie Verschlüsselungslösung für Windows-Betriebssysteme, die E-Mails, Dateien und Dateiordner verschlüsselt und in Outlook genutzt werden kann. Interessierte IFA-Besucher können vom BSI am Stand 101 in Halle 21a weitere Informationen rund um die Themen Verschlüsselung, IT-Sicherheit und Cyber-Sicherheit erhalten.

Weitere Informationen zum Thema „Verschlüsselung“ erhalten Sie unter:

Charta zur Stärkung der vertrauenswürdigen Kommunikation
BSI für Bürger: Verschlüsselung
Gpg4win: Sichere E-Mail- und Datei-Verschlüsselung

Der GDD-Arbeitskreis „Datenschutz International“ hat ein Whitepaper zu den Drittlandtransfers in der EU-Datenschutz-Grundverordnung erstellt.

Die EU-Datenschutz-Grundverordnung (DS-GVO) knüpft, wie bereits die EU-Datenschutzrichtlinie 95/46/EG, besondere Bedingungen an die Übermittlung personenbezogener Daten in ein sog. „Drittland“ außerhalb des Europäischen Wirtschaftsraums und legt diese Bedingungen in Kapitel V fest. Hierbei werden vorhandene oder durch die aufsichtsbehördliche Praxis entwickelte Instrumente bestätigt und in ihren Vorgaben teilweise erweitert bzw. gesetzlich konkretisiert. Das Whitepaper möchte einen Überblick darüber schaffen, was sich für Datenverarbeitung nach Anwendung der DS-GVO ab dem 25.05.2018 ändert bzw. wo die neuen Herausforderungen liegen.

>> Das Whitepaper kann hier abgerufen werden.