Die EU-DSGVO in a Nutshell

von | Apr 24, 2018 | IT Sicherheit |

Am 25. Mail 2018 tritt die EU-DSGVO – die Europäische Datenschutz-Grundverordnung – in Kraft, welche die Verarbeitung von personenbezogenen Daten regelt. Viele Unternehmen und Organisationen kämpfen angesichts der extrem hohen Bußgelder bei fehlender Compliance mit heftigen Panikattacken. Damit Sie dem 25. Mai etwas gelassener entgegensehen können, haben wir hier die grundlegenden Infos zur EU-DSGVO für Sie zusammengefasst. 

IT Sicherheit und DSGVO Compliance mit ESET

Dieser Artikel soll Ihnen einen ersten Überblick geben, erhebt jedoch keinen Anspruch auf Vollständigkeit und kann auch keine Rechtsberatung ersetzen. 

Wenn Sie eine weitergehende, speziell auf Ihr Unternehmen bzw. Ihre Organisation zugeschnittene Beratung oder Unterstützung bei der Umsetzung der technischen Erfordernisse für Ihre IT benötigen, stehen wir Ihnen selbstverständlich gerne zur Verfügung.

Worum geht es überhaupt? Betrifft mich die EU-DSGVO denn?

Lassen Sie uns zu Beginn ein paar Begriffe klären: Zu den personenbezogenen Daten zählen nicht nur Name, Adresse, E-Mail, Geburtsdatum, Staatsbürgerschaft, die diversen Versicherungs- und Ausweisnummern, Kundennummern, Buchungsnummer, Daten zu den privaten Finanzen und Vermögen, Fotos, etc., sondern auch die IP-Adresse.  Alle diese zuvor genannten Beispiele für personenbezogene Daten fallen unter die sogenannten nicht-sensiblen Daten. Lassen Sie sich von dem Begriff nicht täuschen, natürlich müssen diese auch geschützt werden. Richtig heikel wird es aber, wenn es um sensible personenbezogene Daten geht, nämlich Gesundheitsdaten und religiöse oder politische Überzeugungen.

Zur Datenverarbeitung zählt nicht nur die tatsächliche Verwendung, z.B. zu Verrechnungs- oder Marketingzwecken, sondern auch das Erheben, das Speichern und Organisieren von personenbezogenen Daten.

Damit sind im Wesentlichen alle Unternehmen von der EU-DSGVO betroffen. Da es um den Schutz der Daten von permanent oder zeitweilig in der EU ansässigen Menschen geht, ist es dabei egal, ob die Webseitenbetreiber oder der Host der Website in Europa zu finden ist oder nicht. Sobald ein Europäer bzw. hier Urlaubender die Seite ansurfen kann (damit wird ja seine IP-Adresse übermittelt) und die Verarbeitung dieser Daten mit dem Absatz von Waren und / oder Dienstleistungen in Verbindung steht, greift die EU-DSGVO.

Was müssen Sie in punkto Datenschutz beachten

Ernennung bzw. Beauftragung eines Datenschutzbeauftragten

Nicht jedes Unternehmen ist verpflichtet, einen Datenschutzbeauftragten zu bestellen. Je mehr Daten Sie allerdings verarbeiten und je heikler deren Inhalt ist, desto eher sollten Sie sich einen Profi ins Haus holen. In jedem Fall müssen Sie einen Datenschutzbeauftragten bestellen, wenn

  • Ihre Kerntätigkeit umfangreiche, regelmäßige und systematische Überwachung von Personen erforderlich macht (z.B. Banken, Versicherungen, Kreditauskunfteien, Detektive, etc.),
  • Ihre Kerntätigkeit die Verarbeitung sensibler Daten oder strafrechtliche Daten beinhaltet (z.B. Krankenhäuser, Ärzte, etc.).

Dokumentationspflichten einhalten

Die Dokumentationspflichten sind umfassend, aber unbedingt zu erfüllen. Denn die Rechenschaftspflicht von den Verantwortlichen erfordert, die Einhaltung des Gesetzes nachweisen zu können. Das stellt eine Beweislastumkehr dar, da Bußgelder bei Nichteinhaltung der Dokumentations- und Rechenschaftspflicht verhängt werden können, selbst wenn die Datenverarbeitung rechtskonform ist. Ganz abgesehen davon, erleichtert Ihnen eine optimale Dokumentation im Falle eines Data Breach das Nachkommen Ihrer Meldepflichten.

Verzeichnis von Verarbeitungstätigkeiten

Ähnlich wie die bisherigen DVR-Meldungen, sollte dieses folgende Informationen enthalten:

  • Verantwortlicher
  • Zwecke der Datenverarbeitung
  • Beschreibung der Datenkategorien und der Kategorien von betroffenen Personen
  • Personenbezogene Daten / Datenkategorien
  • Kategorien der Datenempfänger (wenn Daten zur Verarbeitung weitergegeben werden)
  • Übermittlungen von Daten in Drittländer (z.B. Google-Dienste)
  • Aufbewahrungs- und Löschungsfristen
  • Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherstellung der Datensicherheit

Datenschutz-Folgenabschätzung

Wenn Sie in Ihrem Unternehmen bzw. Ihrer Organisation Datenverarbeitungsvorgänge durchführen, die aufgrund von Art, Umfang, Umständen und Zweck voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben – Stichwort Profiling und Verwendung neuer Technologien – sind Sie verpflichtet, auch eine Datenschutz-Folgenabschätzung zu erstellen. Ebenso bei der Verarbeitung sensibler Daten und bei systematischer und umfangreicher Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachung). Die Datenschutz-Folgenabschätzung muss dabei folgende inhaltliche Mindestanforderungen erfüllen:

  • Systematische Beschreibung der geplanten Verarbeitungsvorgänge
  • Beschreibung der Verarbeitungszwecke
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck
  • Bewertung der Risiken für Rechte und Freiheiten der betroffenen Personen
  • Maßnahmen, die den Risiken entgegenwirken, wie z.B. Garantien, Sicherheitsvorkehrungen, Verfahren zum Schutz und zum Nachweis
  • Empfehlungen des Datenschutzbeauftragten und die dazu getroffenen Entscheidungen
  • Standpunkt der Betroffenen bzw. deren Vertreter
  • Begründung falls die endgültige Entscheidung des Verantwortlichen vom Standpunkt der Betroffenen und ihrer Vertreter abweicht

Technisch-organisatorische Maßnahmen (TOMs)

Wenn es um Datensicherheit geht, sollten die folgenden Schutzziele gewährleistet sein:

  • Vertraulichkeit: Daten sollen für unberechtigte Dritte nicht zugänglich sein. Pseudonymisierung und Verschlüsselung fallen genauso unter diesen Punkt wie Zugangs- und Zugriffsbeschränkungen – Stichwort „Auftragsprinzip“.
  • Integrität: Daten sollen nicht verfälscht werden können
  • Verfügbarkeit: Die Daten stehen zur Verfügung, wenn sie gebraucht werden.
  • Belastbarkeit der Systeme und Dienste
  • Rasche Wiederherstellbarkeit: Nach physischem oder technischem Zwischenfall müssen personenbezogene Daten schnell wiederhergestellt werden können. Eine gute Backup-Strategie ist hier von Vorteil.

Sie sind dafür verantwortlich, dass Ihr Unternehmen bzw. Ihre Organisation geeignete technische & organisatorische Maßnahmen zum Schutz der Daten, die Sie erheben und mit denen Sie arbeiten, getroffen werden. Dabei müssen Art, Umfang, Umstände, Zwecke, Eintrittswahrscheinlichkeit & Schwere von Risiken der Datenverarbeitung berücksichtigt werden.

Um ein angemessenes Schutzniveau in punkto Datenverarbeitung sicherstellen zu können, sollten Sie eine Schutzbedarfsfeststellung vornehmen. Dabei werden die verschiedenen Schadensszenarien und die nach BSI-Standard 100-2 festgelegten Schutzbedarfskategorien festgelegt. Auch eine Risikobewertung ist in diesem Zusammenhang eine notwendige Maßnahme.

Privacy by Design & Privacy by Default

Datenschutz und Datensicherheit sollen bereits in der Entwicklung (dem Design) von IT-Systemen eingeplant und implementiert werden – zum Beispiel durch Authentifizierungs- und Verschlüsselungslösungen. Es geht einfach darum, ein dem Risiko angemessenes Schutzniveau für die im Unternehmen bzw. der Organisation verarbeiteten Daten zu gewährleisten.

Privacy by Default bedeutet, dass standardmäßig besonders datenschutzfreundliche Einstellungen vorgenommen werden müssen, ohne dass eine Aktion des Nutzers technischer Geräte, Software oder Websites dazu notwendig ist. Ein Beispiel: Diverse Checkboxen müssen so gestaltet sein, dass dort, wo für einen Vorgang nicht relevante Daten abgefragt würden, kein Häkchen gesetzt ist, dort, wo es um erweiterten Datenschutz geht aber schon.

Konsultation der Datenschutzbehörde

Wenn Sie auf Basis der Datenschutz-Folgenabschätzung ein hohes Risiko für Rechte und Freiheiten der betroffenen Personen feststellen mussten und Ihr für den Datenschutz Verantwortlicher keine Maßnahmen zur Eindämmung des Risikos treffen kann, dann müssen Sie ein Konsultationsansuchen an die Datenschutzbehörde stellen.

Dabei sollten folgende Informationen bereits im Ansuchen enthalten sein:

  • Zuständigkeiten des Verantwortlichen
  • Zwecke und Mittel der beabsichtigten Verarbeitung
  • Vorgesehene Maßnahmen und Garantien zum Schutz der Rechte und Freiheiten der betroffenen Personen
  • Kontaktdaten des betrieblichen Datenschutzbeauftragten
  • Datenschutzfolgeabschätzung
  • von der Aufsichtsbehörde angeforderte Unterlagen

Informationspflichten und Betroffenenrechte

Informationspflichten und die Erfüllung der Betroffenenrechte sind ohne Verzögerung, spätestens aber innerhalb eines Monats zu erledigen (wobei diese Frist um höchstens weitere 2 Monate verlängert werden kann).

Einwilligung und Information

Datenverarbeitung ist grundsätzlich verboten solange sie nicht durch ein Gesetz ausdrücklich erlaubt ist und der Betroffene in die Verarbeitung eingewilligt hat. Alles klar? Für eine rechtsgültige Einwilligung braucht es dabei Folgendes:

  • die freie Entscheidung des Betroffenen (d.h. keine Zwangsbeglückung durch Newsletter, etc.)
  • die ausführliche Information des Betroffenen zu den zutreffenden Punkten:
    • Identität des Verantwortlichen (Name, Funktion, Kontaktmöglichkeit)
    • Kontaktdaten des Datenschutzbeauftragten
    • Verarbeitungszwecke und Rechtsgrundlage (was, wie & wieso darf ich denn das)
    • Berechtigtes Interesse
    • Empfänger
    • Übermittlung in Drittstaaten
    • Dauer der Speicherung
    • Rechte der Betroffenen
    • Widerrufbarkeit von Einwilligungen
    • Beschwerderecht bei der Aufsichtsbehörde
    • Verpflichtung zur Bereitstellung personenbezogener Daten
    • Automatisierte Entscheidungsfindung und Profiling
  • Eine Einwilligungserklärung in Schriftform
  • Widerruflichkeit der Einwilligungserklärung

Auskunftsrecht

Jeder betroffenen Person steht ein Auskunftsrecht zu, d.h. der Verantwortliche muss der Person schriftlich innerhalb eines Monats Auskunft über die verarbeiteten Daten, Speicherfristen, etc. geben. Eventuell mitbetroffene Auftragsdatenverarbeiter haben eine Unterstützungspflicht gegenüber dem Verantwortlichen.

Die Auskunft muss Punkte enthalten:

  • Kopien der Daten
  • Verarbeitungszwecke
  • Kategorien der verarbeiteten Daten
  • Empfänger oder Kategorien von Empfängern
  • Geplante Speicherfrist
  • Informationen über die Herkunft der Daten
  • Logik und Tragweite automatisierter Verarbeitung
  • Garantien bei internationalen Datentransfers

Pflicht zur Berichtigung, Löschung („Recht auf Vergessenwerden“) & Einschränkung der Verarbeitung

Entsprechend der DSGVO haben betroffenen Personen ein Recht auf Berichtigung und Ergänzung über alle zu ihrer Person verarbeiteten Daten, auch steht ihnen ein Löschungsrecht und ein Recht auf Einschränkung der Verarbeitung zu. Vergessen Sie allerdings nicht, dass das Steuerrecht mit seinen Aufbewahrungspflichten oder das Strafrecht über dem Datenschutzgesetz angesiedelt sind, was das Recht auf Vergessenwerden und Löschen angeht.

Ein entsprechender Antrag kann formlos gestellt werden. Sollten Sie berechtigte Zweifel hinsichtlich einer Anfrage haben, können Sie einen Identitätsnachweis verlangen (Ausweiskopie). Sollten die Daten an Dritte weitergegeben worden sein, müssen auch diese vom Verantwortlichen über die Ansprüche in Kenntnis gesetzt werden.

Die betroffene Person ist von der gesetzten Maßnahme zu informieren. Die Berichtigung, Löschung und Einschränkung muss dabei kostenfrei erfolgen. Ein angemessenes Entgelt kann allerdings bei offenkundig unbegründeten oder exzessiven Anträgen verlangt werden.

Recht auf Datenübertragbarkeit

Dieses Recht soll sicherstellen, dass die von einem Betroffenen zur Verfügung gestellten personenbezogene Daten, sofern die Verarbeitung mittels automatisierter Verfahren erfolgt, bei einem Anbieterwechsel in einem strukturierten, gängigen und maschinenlesbaren Format (z.B. XML) übertragen werden können.

a

Textquellen & Links

Mehr zur EU-DSGVO können Sie in unserem Interview mit unserem DSGVO-Experten Marco Gschaider nachlesen:
blog.iphos.com

Wie Sie mit den Sicherheitslösungen von ESET eine bessere DSGVO-Compliance erreichen, lesen Sie hier:
blog.iphos.com

Die WKO bietet einen Textbaustein-Generator für das DSGVO-Verarbeitungsverzeichnis:
dsgvo-informationsverpflichtungen.wkoratgeber.at

Hier finden Sie den Volltext der Europäischen Datenschutz-Grundverordnung:
eur-lex.europa.eu

 

a

Zur Seite ...