GDPR – General Data Protection Regulation

Business-Lösungen

GDPR – General Data Protection Regulation

Die neue Datenschutz-Grundverordnung und die aktuellen Folgen

Europa führt auch auf dem Gebiet des Datenschutzes einen einheitlichen Standard ein. Europäischer Rat, Europäisches Parlament und Europäische Kommission haben sich über die Inhalte einer neuen EU-Datenschutz-Grundverordnung geeinigt (im Englischen als GDPR – General Data Protection Regulation bezeichnet).

Diese Grundverordnung ist bereits am 24. Mai 2016 in Kraft getreten. Anzuwenden ist sie ab dem 24. Mai 2018 und sie wird dann die bereits seit 1995 geltende EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) sowie große Teile des Bundesdatenschutzgesetzes (BDSG) ersetzen. Der nationale Gesetzgeber hat deshalb ein neues Bundesdatenschutzgesetz erarbeitet, das mit den Artikeln der europäischen Datenschutz-Grundverordnung (DS-GVO) abgestimmt ist.

Vereinheitlichung des Datenschutzrechts

Ein wesentliches Ziel der Datenschutz-Grundverordnung ist die Vereinheitlichung des Datenschutzrechts innerhalb Europas, um dem Einzelnen (der betroffene Bürger) mehr Kontrolle über seine Daten (personenbezogene Daten) zu verschaffen. So sollen zukünftig die Betroffenen das Recht ausüben können, jederzeit zu erfahren, welche Daten über sie gesammelt werden. Zudem wird der Nutzer Anspruch auf klare und leicht verständliche Informationen darüber haben, wer seine Daten zu welchem Zweck wie und wo verarbeitet – sowie das Recht auf Löschung seiner Daten. Natürlich hat der Gesetzgeber neben den Auskunftspflichten auch umfassende Informationspflichten geschaffen, wonach der Betroffene und auch die Behörden bei Datenpannen zu informieren sind.

Zugleich formuliert der Gesetzgeber deutliche Forderungen an die Dokumentations- und Prüfungspflichten sowie Vorgaben im Bereich der Datensicherheit. Begleitet werden die Forderungen durch einen Sanktionskatalog mit Bußgeldern in empfindlicher Höhe – in bestimmten Fällen bis zu 4 Prozent der Jahresumsätze des Unternehmens; des weltweiten Umsatzes wohlgemerkt. Das trifft dann wegen des Marktort-Prinzips auch nicht-europäische Konzerne, wie beispielsweise die amerikanischen IT-Größen.

24. Mai 2018

Es sind nur noch wenige Projektwochen bis zur Anwendbarkeit des Gesetzes am 24. Mai 2018. Da bleibt von heute aus gerechnet nicht mehr viel Zeit, um sich die Verordnung zu erarbeiten und daraus Maßnahmen für das eigene Unternehmen abzuleiten. Was soll man als Unternehmensverantwortlicher also tun? Zunächst abwarten und hoffen, dass diese Verordnung gar nicht für das eigene Unternehmen relevant ist?

Die DS-GVO zeigt eindeutig den sachlichen Anwendungsbereich und klärt, bei welchen Sachverhalten die Datenschutz-Grundverordnung anzuwenden ist. Diese Norm ist sehr weit gefasst und bietet nur wenige Ausnahmen.

Alle, die nicht unter die Ausnahmen fallen, sollten sich frühzeitig mit dem Thema und dessen Auswirkungen beschäftigen. Klar ist: Wer heute schon auf solide Datenschutzprozesse und IT-Sicherheitsmaßnahmen baut, kann auf einer guten Basis starten. Wer allerdings hier noch Lücken aufweist, muss mit erheblichem Mehraufwand rechnen. Die Auswirkungen reichen nicht nur in die Auditprozesse oder in bestehende Datenschutzerklärungen hinein, sondern schließen eine vorbereitete Risikoeinschätzung der Prozesse ein, die personenbezogene Daten verarbeiten – auch über die Unternehmensgrenzen hinweg. Hier sei das Thema Auftragsdatenverarbeitung oder sogar die Weitergabe an Drittländer angesprochen.

Umstellung der IT-Systeme

Sicherlich ist die Umstellung der IT-Systeme die größte Herausforderung für die Unternehmen. Viele Prozesse der Auskunftspflicht oder der Löschung (Lösch-Flags, Retention-Dates) sind in den aktuellen Systemen kaum enthalten. Eine Kontrolle beispielsweise im Dateisystem kann in der Praxis kaum erfolgen. Hier setzt eher der Grundsatz der Datenvermeidung an. Der Gesetzgeber hat aber auch Techniken wie Verschlüsselung und Pseudo-Anonymisierung als Mittel zum Schutz personenbezogener Daten in der DS-GVO beschrieben.

Aber auch diese Techniken müssen geplant und in einem Change eingeführt werden. Und nicht jedes Unternehmen verfügt über IT-Systeme wie einen IBM Mainframe mit integrierten Verschlüsselungstechniken, der alle Daten, die mit einer Anwendung verbunden sind, mit einem Klick verschlüsseln kann. Dies sind nützliche technische Hilfsmittel, können aber nur ein Teil eines Maßnahmenkatalogs sein, um dem Ziel der Schaffung eines Datenschutzmanagementsystems gerecht zu werden.

Sicherlich wird es in den Fachabteilungen zu Verfahrensdiskussionen und in den IT-Abteilungen zu einer erhöhten Arbeitsbelastung wegen der Umsetzung der einzelnen technischen Maßnahmen kommen. Die organisatorischen Maßnahmen sollte der Datenschutzbeauftragte unbedingt mit dem Top-Management abstimmen und ein Datenschutz-Managementsystem entwickeln.

Prüfung der Verfahren und Prozesse

Nutzen Sie die wenigen verbleibenden Monate, um sowohl die technischen als auch die organisatorischen Abläufe in Ihrem Unternehmen systematisch auf den Prüfstand zu stellen, neu zu designen und auf die DS-GVO abzustimmen. Das Thema Datenschutz ist komplex und langwierig, deshalb ist jetzt Zeit zu handeln.

Die PROFI AG unterstützt Sie gerne bei Ihren ersten Prüfungen der Verfahren und Prozesse, der Erstellung einer GAP-Analyse, der Bewertung und Priorisierung anstehender Maßnahmen und der Dokumentation der Ergebnisse. Die PROFI AG ist auch Ihr Partner für die Umsetzung der weiteren, vor allem technischen Maßnahmen im IT-Datenschutz.

Robert Raß,
Leiter Professional Services der PROFI AG