EU DSGVO

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Am 08. April 2016 beschlossen der Rat der Europäischen Union (EU) und am 14. April 2016 das Europäische Parlament eine Richtlinie für den Datenschutz in den Bereichen Justiz und Polizei und eine Europäische Datenschutz-Grundverordnung (EU-DSGVO). Sie ist am 25. Mai 2016 in Kraft getreten. Die Verordnung sieht eine Übergangszeit von zwei Jahren vor und gilt damit ab dem 25. Mai 2018 in der gesamten Europäischen Union direkt.

Inhalt

Die EU-Datenschutz-Grundverordnung (genannt auch General Data Protection Regulation - GDPR) ist mit 99 Artikeln und 173 Erwägungsgründen deutlich umfangreicher als z. B. das deutsche Bundesdatenschutzgesetz. Zudem beauftragt die EU-DSGVO den nationalen Gesetzgeber, bestimmte Regelungsbereiche in den Mitgliedstaaten auszugestalten oder stellt ihm dies in anderen Bereichen frei. Auch hierzu dient die zweijährige Übergangszeit[1]. Dazu erarbeitet das Bundesministerium des Innern einen Entwurf eines „Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 (DS-GVO)", das das bestehende BDSG ablöst. Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat nach Beteiligung eine Stellungnahme veröffentlicht[2].


Schutzumfang

Neben den bekannten 3 Grundbedrohungen aus dem IT-Grundschutz (Verfügbarkeit, Integrität, Vertraulichkeit) sind weitere datenschutzspezifische Schutzziele zu beachten (u.a. Rechtmäßigkeit, Zweckbindung, Treu und Glauben, Verhältnismäßigkeit, Transparenz, Nachweisbarkeit, Datenminimierung, Richtigkeit, Speicherplatzbegrenzung, Belastbarkeit und das "Recht auf Vergessen"). Die Erstellung eines Verarbeitungsverzeichnisses wird ebenfalls Pflicht. Dabei sind technisch-organisatorische Sicherheitsmaßnahmen (TOM) entsprechend "Stand der Technik" zu realisieren. Einige Maßnahmen mit den Schutzzielen Verfügbarkeit, Integrität und Vertraulichkeit kann man dabei aus IT-Sicherheitskonzepten, wie in einigen Landesdatenschutzgesetzen für die Verwaltung schon vorgeschrieben sind, übernehmen. Da die EU-DSGVO eine europäische Norm ist, kann der Begriff "Stand der Technik" auch aus einer europäischen Norm abgeleitet werden (hier die Norm EN 45020 Normung-Allgemeine Begriffe (ISO/IEC Guide 2:2004)) werden mit: "entwickeltes Stadium der technischen Möglichkeiten zu einem bestimmten Zeitpunkt, soweit Produkte, Prozesse und Dienstleistungen betroffen sind, basierend auf entsprechenden gesicherten Erkenntnissen von Wissenschaft, Technik und Erfahrung".


Technischer und organisatorischer Datenschutz

Die EU-DSGVO enthält vor allem in Art. 5 und Art. 32 Vorgaben zur „Sicherheit der Verarbeitung“. Dabei gilt weiterhin das grundsätzliche Prinzip, dass geeignete technische und organisatorische Maßnahmen (TOM) zu treffen sind, um ein dem Risiko angemessenes Datenschutzniveau zu gewährleisten. Diese „Angemessenheit“ orientiert sich dabei, neben dem schon o.a. "Stand der Technik", auch an den Implementierungskosten, der Art und dem Umfang der Umstände, dem Zweck der Verarbeitung sowie an den unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Ausdrücklich aufgeführt als Maßnahmen werden allerdings lediglich Pseudonymisierung und Verschlüsselung der Daten (Art. 32 Abs. 1 Buchst. a DSGVO). Damit wird https beim Betrieb von Webservern mit Formulareingaben quasi zur Pflicht.

Neben den bekannten 3 Grundbedrohungen aus dem IT-Grundschutz (Verfügbarkeit, Integrität, Vertraulichkeit) kommt als TOM-Schutzziel lediglich noch die Belastbarkeit hinzu, die mangels konkreter Vorgaben in der EU-DSGVO der Interpretation bedarf und am ehesten mit dem Business Continuity bzw. dem IT-Notfallmanagement gleichzusetzen ist.


Umsetzung

Nach Feststellungen des Digitalverbandes Bitkom Mitte 2017 hatten sich ein Jahr vor dem Stichtag 25. Mai 2018 selbst bei den IT- und Digitalunternehmen noch 19% nicht mit den notwendigen Vorbereitungen beschäftigt, obwohl empfindliche Bußgelder drohen. Nach dem Stichtag können die Datenschutzbehörden Bußgelder in Höhe von bis zu 4 Prozent des weltweiten Umsatzes verhängen. Nur jedes dritte Unternehmen (34 Prozent) hatte zumindest bereits erste Maßnahmen angefangen oder sogar schon umgesetzt.[3]


Weitreichende Pflichten für IT-Unternehmen

Die IT-Branche ist in besondere Weise gefordert: Mit der Verordnung werden zahlreiche neue Informations- und Dokumentationspflichten eingeführt, die von den IT-Unternehmen umgesetzt werden müssen. Nach Ansicht führender Datenschützer ist dies nur über ein Datenschutzmanagementsystem (DSMS) erfüllbar.Völlig neu sind gesetzliche Vorgaben wie die Berücksichtigung des Datenschutzes bei der Produktentwicklung ("Privacy by Design" in Artikel 25), bei der Voreinstellung von Softwareparametern ("Privacy by Default" in Artikel 32), die Durchführung einer Datenschutz-Folgenabschätzung oder auch die Meldepflicht bei selbst festgestellten Datenschutzverstößen.


Einzelnachweis

  1. SecuPedia Aktuell: Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft
  2. SecuPedia Aktuell: GDD-Stellungnahme zum Datenschutz-Anpassungsgesetz
  3. SecuPedia Aktuell: Jedes fünfte IT-Unternehmen ignoriert bislang Datenschutzgrundverordnung


Weblinks


Siehe


Siehe auch



Diese Seite wurde zuletzt am 23. Mai 2018 um 11:47 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl.

Anzeigen