Datenschutz-Grundverordnung: Was Unternehmen und Admins jetzt tun müssen
Ab dem 25. Mai gilt europaweit ein neues Datenschutz-Gesetz, das für Unternehmen neue rechtliche Verpflichtungen schafft. Trotz der nahenden Frist sind viele IT-Firmen schlecht vorbereitet. Wir erklären, was auf Geschäftsführung und Admins zukommt.
Als im Frühjahr 2016 der finale Text der neuen Datenschutz-Grundverordnung (kurz: DSGVO) veröffentlicht wurde, erntete die EU viel Zuspruch dafür. Die Verordnung sei "eine gute Nachricht für Verbraucher und Unternehmen", zeigten sich die Verbraucherschützer des VZBV (Verbraucherzentrale Bundesverband) überzeugt. Auch die EU-Kommission war voll des Lobes: Das neue Gesetz markiere einen "wichtigen Meilenstein" und sei "der Höhepunkt" für Europas Datenschutz.
- Datenschutz-Grundverordnung: Was Unternehmen und Admins jetzt tun müssen
- Keine Datenverarbeitung ohne Rechtsgrundlage
- Dokumentations-, Nachweis- und Rechenschaftspflichten
- Permanente Auskunftspflicht
- Fazit
Aber wie sieht es auf Unternehmensseite aus? Was müssen Admins und IT-Verantwortliche beachten, um nach dem 25. Mai weiterhin gesetzeskonform zu arbeiten? Trotz der nahenden Frist für die Einhaltung der neuen Regeln schleift die Umsetzung in der Praxis offenbar noch immer erheblich. "Nur rund jedes achte Unternehmen wird nach eigener Einschätzung bis zum Stichtag die Vorgaben der DSGVO vollständig umgesetzt haben", sagt der deutsche Verband der Digitalwirtschaft Bitkom. Und einer Umfrage des IT-Sicherheitsunternehmens Watchguard zufolge wissen fast die Hälfte von 277 befragten Unternehmen in Deutschland noch nicht einmal, ob die DSGVO für sie überhaupt greift.
Grund genug, die wichtigsten Neuerungen und Verpflichtungen für Unternehmen und Admins genau zu untersuchen. Denn wer den neuen Verpflichtungen nach dem 25. Mai nicht nachkommt, riskiert hohe Bußgelder. Auch wenn die häufig zitierten Maximalstrafen von 20 Millionen Euro beziehungsweise 4 Prozent des globalen Unternehmensumsatzes in der Praxis eher die Ausnahme bleiben dürften, können Bußgelder in Abhängigkeit der Schwere des Vorfalls und der Unternehmensgröße schnell an die Substanz gehen.
Was sind personenbezogene Daten?
Die DSGVO regelt, wie Unternehmen mit personenbezogenen Daten umgehen müssen. Die Verordnung fasst den Begriff der personenbezogenen Daten sehr weit. Beispiele für personenbezogene Daten nach DSGVO sind laut EU-Kommission neben Name, Anschrift und E-Mail-Adresse auch Ausweisnummer, Standortdaten, IP-Adressen, Cookie-Kennungen, Werbe-IDs und Gesundheitsdaten aus Krankenhäusern oder bei Ärzten, die zur eindeutigen Identifizierung einer Person führen könnten.
Grundsätzlich gelten alle Informationen als personenbezogen, die sich auf eine "identifizierte oder identifizierbare lebende Person" beziehen. Identifizierbar bedeutet, dass selbst wenn es auch nur theoretisch möglich ist, durch die Kombination verschiedener Teilinformationen bestimmte Personen zu identifizieren, diese Teilinformationen bereits ebenfalls personenbezogene Daten darstellen.
Dies betrifft Informationen der EU-Kommission zufolge auch personenbezogene Daten, die anonymisiert, verschlüsselt oder pseudonymisiert wurden, aber zur erneuten Identifizierung einer Person genutzt werden könnten. Erst wenn die Daten so anonymisiert wurden, dass auch mit größerem Aufwand keine Rückschlüsse mehr auf die betroffenen Personen gezogen werden können, gelten Daten als nicht mehr personenbezogen.
Wie schwer eine rechtssichere Anonymisierung großer Datenmengen ist, demonstrierte Netflix unfreiwillig schon vor über zehn Jahren. Die von dem Unternehmen veröffentlichten anonymisierten Filmbewertungen von rund einer halbe Million Kunden konnten von Forschern direkt mit öffentlichen Ratings der Internet Movie Database IMDb korreliert und ein Teil der Datensätze so Personen zugeordnet werden.
Ähnlich erging es vor einigen Jahren einem rund 20 GByte großen, eigentlich pseudonymisierten Datensatz mit Informationen über 170 Millionen Taxifahrten in New York. Wegen Fehlern beim Hashen sowie mit Hilfe zuvor bekannter Eigenschaften der pseudonymisierten Daten war die anschließende Deanonymisierung der betroffenen Taxis ein Kinderspiel. Auch deswegen verlangt die DSGVO, dass die Anonymisierung unumkehrbar sein muss, damit die Daten ihre rechtliche Eigenschaft der Personenbezogenheit verlieren.
Technische Vorgaben dazu, wie eine rechtssichere Anonymisierung oder Pseudonymisierung gelingen kann, enthält die DSGVO nicht. "Es gibt im Prinzip zwei Möglichkeiten", erklärt Rechtsanwalt Martin Schirmbacher im Gespräch mit Golem.de. "Entweder man entfernt identifizierende Merkmale wie etwa Namen oder Geburtsdaten oder man aggregiert die Daten so, dass man den Rückschluss auf eine Person nicht mehr ziehen kann." In jedem Fall empfiehlt Schirmbacher Unternehmen, die jeweils gewählte Anonymisierungstechnik ausgiebig zu dokumentieren. "Wie überall in der DSGVO ist eine transparente Dokumentation hier essenziell."
Keine Datenverarbeitung ohne Rechtsgrundlage |
Das Stichwort hierzu lautet Bundesmeldegesetz. (https://www.gesetze-im-internet.de/bmg...
Soweit ich weiß besteht hier bereits länger die Möglichkeit https zu benutzen also...
Wo steht das mit dem zwingenden Zeitstempel? Ich möchte das gerne einmal überprüfen!
Wenn man sich einmal intensiv damit befasst hat, merkt man schnell wieviel Blödsinn...