EU DSGVO

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Am 08. April 2016 beschlossen der Rat der Europäischen Union (EU) und am 14. April 2016 das Europäische Parlament eine Richtlinie für den Datenschutz in den Bereichen Justiz und Polizei und eine Europäische Datenschutz-Grundverordnung (EU-DSGVO). Sie ist am 25. Mai 2016 in Kraft getreten. Die Verordnung sieht eine Übergangszeit von zwei Jahren vor und gilt damit ab dem 25. Mai 2018 in der gesamten Europäischen Union direkt.

Inhalt

Die EU-Datenschutz-Grundverordnung (auch General Data Protection Regulation GDPR) ist mit 99 Artikeln und 173 Erwägungsgründen deutlich umfangreicher als z. B. das deutsche Bundesdatenschutzgesetz. Zudem beauftragt die EU-DSGVO den nationalen Gesetzgeber, bestimmte Regelungsbereiche in den Mitgliedstaaten auszugestalten oder stellt ihm dies in anderen Bereichen frei. Auch hierzu dient die zweijährige Übergangszeit[1]. Dazu erarbeitet das Bundesministerium des Innern einen Entwurf eines „Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 (DS-GVO)", das das bestehende BDSG ablöst. Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat nach Beteiligung eine Stellungnahme veröffentlicht[2].


Schutzumfang

Neben den 3 Grundbedrohungen aus dem IT-Grundschutz (Verfügbarkeit, Integrität, Vertraulichkeit) sind weitere datenschutzspezifische Bedrohungen zu beachten (u.a. Belastbarkeit und Transparenz). Die Erstellung eines Sicherheitskonzepts, wie in einigen Landesdatenschutzgesetzen für die Verwaltung schon vorgeschrieben, wird ebenfalls Pflicht. Dabei sind Sicherheitsmaßnahmen entsprechend "Stand der Technik" zu realisieren. Da die EU-DSGVO eine europäische Norm ist, kann der Begriff "Stand der Technik" auch aus einer europäischen Norm abgeleitet werden (hier die Norm EN 45020 Normung-Allgemeine Begriffe (ISO/IEC Guide 2:2004)) werden mit: "entwickeltes Stadium der technischen Möglichkeiten zu einem bestimmten Zeitpunkt, soweit Produkte, Prozesse und Dienstleistungen betroffen sind, basierend auf entsprechenden gesicherten Erkenntnissen von Wissenschaft, Technik und Erfahrung".


Umsetzung

Nach Feststellungen des Digitalverbandes Bitkom Mitte 2017 hatten sich ein Jahr vor dem Stichtag 25. Mai 2018 selbst bei den IT- und Digitalunternehmen noch 19% nicht mit den notwendigen Vorbereitungen beschäftigt, obwohl empfindliche Bußgelder drohen. Nach dem Stichtag können die Datenschutzbehörden Bußgelder in Höhe von bis zu 4 Prozent des weltweiten Umsatzes verhängen. Nur jedes dritte Unternehmen (34 Prozent) hatte zumindest bereits erste Maßnahmen angefangen oder sogar schon umgesetzt.[3]


Weitreichende Pflichten für IT-Unternehmen

Die IT-Branche ist in besaondere Weise gefordert: Mit der Verordnung werden zahlreiche neue Informations- und Dokumentationspflichten eingeführt, die von den IT-Unternehmen umgesetzt werden müssen. Völlig neu sind gesetzliche Vorgaben wie die Berücksichtigung des Datenschutzes bei der Produktentwicklung (Privacy by Design) oder die Durchführung einer Datenschutz-Folgenabschätzung.


Einzelnachweis

  1. SecuPedia Aktuell: Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft
  2. SecuPedia Aktuell: GDD-Stellungnahme zum Datenschutz-Anpassungsgesetz
  3. SecuPedia Aktuell: Jedes fünfte IT-Unternehmen ignoriert bislang Datenschutzgrundverordnung


Weblinks


Siehe


Siehe auch



Diese Seite wurde zuletzt am 16. Juni 2017 um 19:58 Uhr von Peter Hohl geändert.

Anzeigen