Sie sind hier: Home » Markt » Hinweise & Tipps

Das umstrittene "Recht auf Vergessenwerden"


EU-Datenschutz-Grundverordnung: Fünf Punkte, die Sie kennen sollten
Anhand des aktuellen Vorschlags des EU-Rats lässt sich in etwa vermuten, wie die finale DS-GVO aussehen wird

Von Varonis

(28.10.15) - Die europäischen Regulierungsbehörden meinen es ernst mit ihrer Datenschutzreform. Die Datenschutz-Grundverordnung (DS-GVO) ist eine komplette Überarbeitung der bisherigen EU-Datenschutzrichtlinie zur Verarbeitung personenbezogener Daten und steht kurz vor dem Abschluss. Wir haben bereits über die lange, episch anmutende Reise der DS-GVO in den letzten beiden Jahren berichtet. Doch nachdem der EU-Rat nun der eigenen Version zugestimmt hat, steht einer abschließenden Diskussionsrunde zur Kompromissfindung mit dem EU-Parlament nichts mehr im Wege. Die DS-GVO wird voraussichtlich Ende 2015 (oder Anfang 2016) verabschiedet und 2017 in Kraft treten. Alle Organisationen – auch US-amerikanische multinationale Konzerne, die personenbezogene Daten aus der EU verarbeiten – müssen also bald strengere Regeln erfüllen, um nachzuweisen, dass sie die Daten aktiv schützen.

Anhand des aktuellen Vorschlags des EU-Rats lässt sich in etwa vermuten, wie die finale DS-GVO aussehen wird. Unternehmen sollten sich insbesondere zu den fünf folgenden Punkten Gedanken machen:

Prinzipien des "Privacy by Design" implementieren
Privacy by Design (PbD) wurde von der ehemaligen Informationsfreiheits- und Datenschutzbeauftragten von Ontario, Ann Cavoukian, entwickelt und hat Sicherheitsexperten, politische Entscheidungsträger und Regulierungsbehörden stark beeinflusst. Cavoukian geht davon aus, dass man Big Data und Datenschutz unter einen Hut bringen kann. Für ihre Botschaft einer PbD-Vision gilt es einige grundlegende Maßnahmen zu ergreifen: möglichst wenige Verbraucherdaten (insbesondere personenbezogene Daten) sammeln, Daten nicht länger aufbewahren als unbedingt nötig und den Konsumenten den Zugriff auf und die Kontrolle über ihre Daten ermöglichen.

Die EU schließt sich dieser Sichtweise an und befürwortet PbD. In Artikel 23 sowie an anderen Stellen der neuen Verordnung wird mehrmals darauf Bezug genommen. Man lehnt sich wohl nicht allzu weit aus dem Fenster, wenn man behauptet, dass man die DS-GVO erfüllt, sobald man PbD implementiert hat.

Da die Zeit einigermaßen knapp bemessen ist, hilft unter Umständen ein Spickzettel, der Ihnen die Prinzipien von PbD erläutert und bei Entscheidungen zum Thema Datensicherheit hilfreich sein kann.

Das Recht auf Vergessenwerden
Das umstrittene "Recht auf Vergessenwerden" wird in Europa bald gesetzlich verankert. Für die meisten Unternehmen bedeutet das, dass Verbraucher das Recht haben, ihre Daten zu löschen. In Artikel 17 des aktuellen Vorschlags für die DS-GVO heißt es: "Der für die Verarbeitung Verantwortliche ist verpflichtet, personenbezogene Daten ohne ungebührliche Verzögerung zu löschen, insbesondere personenbezogene Daten, die erhoben wurden, als die betroffene Person ein Kind war, und die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen zu verlangen, dass sie [sic: die] betreffende[n] personenbezogene[n] Daten ohne ungebührliche Verzögerung gelöscht werden."

An dieser Stelle wird das Recht des Vergessenwerdens ganz deutlich.

Doch was geschieht, wenn der für die Verarbeitung Verantwortliche die personenbezogenen Daten an Dritte wie zum Beispiel einen Cloud-basierten Dienst zur Aufbewahrung oder Verarbeitung weitergibt? Der Arm der EU-Gesetze reicht auch dort hin: Die Cloud-Dienste, die personenbezogene Daten verarbeiten, müssen diese ebenfalls löschen, wenn der für die Verarbeitung Verantwortliche es verlangt.

Übersetzt heißt das: Der Verbraucher beziehungsweise eine betroffene Person kann ein Unternehmen jederzeit auffordern, die Daten zu löschen. In der EU gehören die Daten dem Volk!

US-amerikanische Konzerne müssen Daten schützen
Ich möchte hier auf einen Blog-Beitrag von Andy Green verweisen, in dem er an große US-amerikanische Konzerne appelliert, die Daten von EU-Bürgern erfassen, ihre Datenschutzrichtlinien so zu implementieren, als ob sich die Server in der EU befänden.

Um dieses "extraterritoriale" Prinzip geht es zu Anfang der vorgeschlagenen DS-GVO. Für alle, die es interessiert, hier der Originaltext in seiner ganzen bürokratischen Schönheit:

Der grenzüberschreitende Fluss personenbezogener Daten (...) ist für die Entwicklung des internationalen Handels und der grenzüberschreitenden Zusammenarbeit notwendig. (...) Der durch diese Verordnung unionsweit garantierte Schutz natürlicher Personen sollte jedoch bei der Übermittlung personenbezogener Daten aus der Union an für die Verarbeitung Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen nicht unterminiert werden.

Es gibt zwar noch einige Schwierigkeiten bei der Umsetzung dieser Bestimmungen. Doch nachdem die USA behaupten, dass ihre Datenschutzgesetze auch für Daten auf irischen Servern gelten, scheint es nur natürlich, dass die EU eine ähnliche Aussage über die in den USA gespeicherten Daten ihrer Bürger treffen kann!

Mit welchen Geldbußen ist zu rechnen?
Für ernsthafte Verstöße (zum Beispiel die Verarbeitung sensibler Daten ohne Zustimmung der jeweiligen Person oder aufgrund sonstiger Rechtsgründe) können die Regulierungsbehörden Strafen verhängen. Hier gibt es Unterschiede zwischen der Version des EU-Rats und der des Parlaments. Der EU-Rat sieht Geldbußen von bis zu einer Million Euro beziehungsweise zwei Prozent des weltweit erzielten Jahresumsatzes – also der Einnahmen – eines Unternehmens vor. Das vom Parlament vorgesehene Strafmaß wäre mit bis zu 100 Millionen Euro beziehungsweise fünf Prozent des weltweiten Jahresumsatzes deutlich höher. Darüber werden sich die beiden EU-Organe in den nächsten Monaten noch einigen müssen.

Fakt ist, dass es sich um beträchtliche Summen handeln wird – auch für US-amerikanische Konzerne.

Ziehen Sie in Erwägung, einen Datenschutzbeauftragten zu ernennen
Für wichtige Projekte – und die DS-GVO der EU ist ein riesiges Projekt – braucht man einen Verantwortlichen. Im aktuellen Vorschlag für die DS-GVO soll der Datenschutzbeauftragte dafür zuständig sein, Zugriffskontrollen einzurichten, Risiken einzudämmen, Compliance sicherzustellen, Anfragen zu beantworten, Sicherheitsverletzungen innerhalb von 72 Stunden zu melden und sogar verlässliche Sicherheitsrichtlinien zu erstellen.

Heißt das nun, dass Ihr Unternehmen einen Datenschutzbeauftragten benennen muss oder nicht? Hier sind sich der EU-Rat und das Parlament ebenfalls uneinig. Der Rat würde es gerne jedem Mitgliedsstaat selbst überlassen, ob dies eine obligatorische Anforderung sein soll oder nicht.

Empfehlenswert ist auf jeden Fall, einen Mitarbeiter im Unternehmen inoffiziell als Datenschutzbeauftragten zu benennen. Es ist absolut sinnvoll, dass sich ein Manager oder eine hochrangige Führungskraft, schwerpunktmäßig um die Umsetzung der EU-Regeln kümmert. (Varonis: ra)

Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Hinweise & Tipps

  • Compliance, die gelebt wird

    Trotz strikterer Cybersecurity- und Compliance-Vorgaben behandeln viele KMU die Dokumentation ihrer IT-Infrastruktur noch stiefmütterlich. Dabei birgt fehlende oder unvollständige Dokumentation das Risiko von ineffizientem Troubleshooting und teuren Fehlentscheidungen. Ohne verlässliche Informationen zu Netzstrukturen, Systemabhängigkeiten oder Rechten wird jeder Incident zur Blackbox.

  • Echtzeitüberweisungen gemäß IPR

    Zahlungsdienstleister stehen unter Druck: Bis Oktober dieses Jahres müssen sie die Verification of Payee (VOP) umgesetzt haben und die Versendung von Echtzeitüberweisungen (Instant Payments) möglich machen. NTT Data erklärt die größten Hürden - und wie sie bis zur Deadline überwunden werden können.

  • PCI-DSS und Sichtbarkeit

    Als anerkanntes Security Framework ist der Payment-Card-Industry-Data-Security-Standard (kurz: PCI-DSS) für Anbieter von Kreditkartentransaktionen ein absolutes Compliance-Muss. Tiho Saric, Senior Sales Director bei Gigamon, verrät, wie die Einhaltung des Sicherheitsstandards dank Netzwerksichtbarkeit zum Kinderspiel wird.

  • Resilienz kritischer Infrastrukturen stärken

    Mit dem neuen KRITIS-Dachgesetz steht die deutsche Wirtschaft vor einer sicherheitspolitischen Zäsur. Ziel des juristischen Rahmenwerks ist es, die Resilienz kritischer Infrastrukturen zu stärken - und das über alle Sektoren hinweg: von Energie, Wasser und Telekommunikation über Gesundheit und Ernährung bis hin zum Transportwesen. Neben Konzernen geraten nun zunehmend auch mittelständische Betreiber in den Fokus.

  • E-Mails mit geschäftskritischen Inhalten

    Unternehmen, die ein falsches Bild von der grundsätzlichen Aufbewahrung von E-Mails mit geschäftskritischen Inhalten haben, laufen Gefahr, gesetzliche Vorgaben der GoBD oder DSGVO zu missachten. Folglich müssen sie dann mit juristischen und finanziellen Konsequenzen rechnen. Umso erstaunlicher ist es, dass zahlreiche Unternehmen ihrem Schutz noch immer nur wenig Bedeutung beimessen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen