Keine Angst vor der EU-DSGVO

Die euro­päi­sche Daten­schutz­grund­ver­ord­nung (EU-DSGVO) tritt heu­te in Kraft. Hel­ko Kögel vom IT-Sicher­heits­un­ter­neh­men Roh­de & Schwarz Cyber­se­cu­ri­ty schil­dert die Her­aus­for­de­run­gen und Chan­cen für Unter­neh­men, die sich aus der neu­en Ver­ord­nung ergeben.

Bis zum heu­ti­gen Stich­tag muss­ten sich die Ver­ant­wort­li­chen durch eine Flut an Infor­ma­tio­nen kämp­fen. Zusam­men mit den Auf­la­gen und Buß­gel­dern schür­ten die kur­sie­ren­den Infor­ma­tio­nen oft­mals Angst vor den bevor­ste­hen­den Änderungen.

Vertrauen gewinnen

Dabei birgt die EU-DSGVO gro­ße Chan­cen: Die Ver­ord­nung ist eine Moder­ni­sie­rung für wirk­sa­men Schutz per­so­nen­be­zo­ge­ner Daten in Euro­pa. Unter­neh­men haben die Chan­ce, ihr Ver­trau­ens­ver­hält­nis gegen­über Kun­den, Part­nern und Mit­ar­bei­tern zu unter­mau­ern, wenn sie die Richt­li­nie umset­zen. Im Zeit­al­ter rasan­ter Digi­ta­li­sie­rung und daten­ge­trie­be­ner Wirt­schaft ist ein inte­grer Umgang mit Infor­ma­tio­nen unab­ding­bar – Pro­zes­se im Ein­klang mit der EU-DSGVO bele­gen eine sol­che Handhabung.

Ein wei­te­rer Vor­teil: Um nach­wei­sen zu kön­nen, dass ein Unter­neh­men daten­schutz­recht­li­che Vor­ga­ben ein­hält, muss es ein Daten­schutz­ma­nage­ment­sys­tem ein­füh­ren. Die­se Bedin­gung stellt einen hohen Nut­zen dar. Der Daten­schutz­be­auf­trag­te erhält über ein risi­ko­ba­sier­tes Manage­ment­sys­tem schnell eine Über­sicht über die lau­fen­de Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten und kann dar­auf sei­ne daten­schutz­recht­li­che Prü­fung auf­bau­en. Zudem ist im Fal­le einer Prü­fung durch die Auf­sichts­be­hör­de die Vor­la­ge des Ver­fah­rens­ver­zeich­nis­ses jeder­zeit möglich.

Grundsätze des Datenschutzes

Kon­kret wird die Moder­ni­sie­rung des Daten­schut­zes durch meh­re­re Grund­sät­ze gewähr­leis­tet, die in Arti­kel 5 der EU-DSGVO fest­ge­legt sind:

• Recht­mä­ßig­keit und Trans­pa­renz: Ohne eine Ermäch­ti­gungs- bzw. Rechts­grund­la­ge dür­fen kei­ne per­so­nen­be­zo­ge­nen Daten erho­ben und benutzt werden.
• Zweck­bin­dung: Die per­so­nen­be­zo­ge­nen Daten, für die eine Ermäch­ti­gungs­grund­la­ge vor­han­den ist, dür­fen nur zu dem Zweck ver­wen­det wer­den, für den eben­die­se Ermäch­ti­gung erteilt wurde.
• Daten­mi­ni­mie­rung: Die Daten­ver­ar­bei­tung muss auf das not­wen­digs­te Maß beschränkt werden.
• Rich­tig­keit von Daten: Bei fal­schen und unsach­li­chen Daten hat das Daten­sub­jekt sofor­ti­gen Anspruch auf Berich­ti­gung bzw. Löschung.
• Spei­cher­be­gren­zung: Die neue Ver­ord­nung besagt, dass die Daten­spei­che­rung auf den Zeit­raum der Ver­ar­bei­tung beschränkt ist. Unbe­grenz­te Daten­spei­che­rung muss ver­mie­den werden.
• Inte­gri­tät und Ver­trau­lich­keit: Die per­so­nen­be­zo­ge­nen Daten müs­sen ange­mes­sen gesi­chert wer­den vor Mani­pu­la­ti­on oder Fälschung.
• Rechen­schafts­pflicht: Die Ein­hal­tung die­ser Grund­sät­ze muss nach­ge­wie­sen werden.

Konkrete Herausforderungen

Unter­neh­men müs­sen Maß­nah­men ergrei­fen, die die Ver­trau­lich­keit, Inte­gri­tät und Belast­bar­keit der Sys­te­me und Diens­te sicher­stel­len. Die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten muss gewähr­leis­tet sowie eine Wie­der­her­stel­lung der Daten mög­lich sein. Vor allem die Abschät­zung des Risi­kos nach einer fest­ge­leg­ten Metho­dik – das Fach­wort lau­tet Daten­schutz­fol­gen­ab­schät­zun­gen – stellt eine erhöh­te Anfor­de­rung an Unter­neh­men dar. Eine wei­te­re Her­aus­for­de­rung sind die erwei­ter­ten Infor­ma­ti­ons- und Aus­kunfts­pflich­ten gegen­über Betrof­fe­nen sowie eine gene­rel­le Aus­wei­tung der Betroffenenrechte.

Hel­ko Kögel, Direc­tor Consulting, Roh­de & Schwarz Cyber­se­cu­ri­ty.