Fazit: 1 Jahr Datenaus­tausch und DSGVO

Im vergangenen Jahr im Mai ist die Übergangsfrist für die lange erwartete EU-Datenschutz-Grundverordnung (DSGVO) abgelaufen. Damit ist ein Regelwerk in Kraft getreten, das sich inzwischen zum zentralen Dreh- und Angelpunkt für Unternehmen entwickelt hat, wenn es um Datenaustausch und DSGVO geht. Unternehmen, die Daten von EU-Bürgern erfassen, speichern, verarbeiten oder übertragen, sind gesetzlich dazu verpflichtet, die DSGVO einzuhalten. Darunter fallen beispielsweise Kundendaten, Namen, Telefonnummern, E-Mail-Adressen oder andere Daten, mit denen Personen identifiziert werden können.

Gut ein Jahr nach ihrer Einführung haben die Datenschutzbehörden jede Menge zu tun. Wie im Juli 2019 bekannt wurde, fordert beispielsweise die britische Datenschutzbehörde wegen einer Datenpanne bei Onlinebuchungen 2018 ein Millionenbußgeld von über 2 Millionen Euro von der Fluggesellschaft British Airways. Bei einem Angriff hatten Cyberkriminelle im Jahr 2018 persönliche Daten und Kreditkarteninformationen inklusive Sicherheitscodes von Passagieren abgegriffen. Rund 500.000 Kunden waren davon betroffen. Nach Ansicht der britischen Datenschutzbehörde ICO (Information Commissioner´s Office) geschah dies, weil die Sicherheitsvorkehrungen der Airline zu schwach waren. Die Datenschutzbeauftrage des ICO, Elisabeth Denham, äußerte sich ganz klar zu diesem Fall: „Persönliche Daten von Menschen sind genau das – persönlich. Wenn eine Organisation sie nicht vor Verlust, Schaden oder Diebstahl schützen kann, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz eindeutig – wenn Sie mit personenbezogenen Daten betraut sind, müssen Sie sich darum auch kümmern. Diejenigen, die das nicht tun, werden von meiner Behörde überprüft.“

Aber auch der US-Hotelkette „Marriott“ hat in den Augen der Behörden zu wenig für den Datenschutz getan, um ihre Computersysteme ausreichend zu sichern. Im November 2018 musste sich das Unternehmen ein massives Datenleck eingestehen, über das Hacker an Informationen zu 383 Millionen Gästen gelangt war. Dabei wurden 5,25 Millionen Ausweisnummern und 385.000 gültige Zahlungskartennummern ausspioniert.

Aber man kehrt am besten vor seiner eigenen Tür: In Baden-Württemberg wurde ein Bußgeld über 50.000 Euro gegen eine Bank verhängt, die unbefugt Daten ehemaliger Kunden verarbeitet hatte.

Nach wir vor sind die Verunsicherung und Verwirrung bei den Bürgern, aber auch bei Unternehmen groß. Auch wenn die nun geltenden Vorschriften mitunter paradoxe Fälle hervorzaubern – erinnern wir uns nur einmal an die Überlegung von „Bild“ und dem Eigentümerverband Haus & Grund, ob es im Zuge der DSGVO ggf. irgendwann aus datenschutzrechtlichen Gründen notwendig sei, dass man alle Klingelschilder abmontiert – steht eigentlich der Schutz sensibler Daten im Fokus. Und den sollte man keinesfalls außer Acht lassen. Denn vorrangig geht es darum, das Recht des Einzelnen zu wahren und zu schützen.

Die DSGVO hat das Sicherheitsbewusstsein verbessert

Durch die DSGVO steht der Schutz sensibler Daten mehr denn je im Vordergrund. Die darin verankerten Grundsätze rufen dazu auf, präventive Maßnahmen zu treffen, um genau diesen Schutz umfassend zu gewährleisten. Dadurch sollen Risiken im Datenmissbrauch deutlich minimiert werden. Durch Konzepte wie Privacy by Design, Standardisierung und Zertifizierung verlagern sich die datenschutzrechtlichen Anforderungen verstärkt auf die technische Ebene. Unternehmen sollten die DSGVO als Chance nutzen, um ihre Daten zu konsolidieren und damit auch interne Abläufe nachhaltiger zu steuern. Die Anforderungen an den Datenschutz, die auf gewissen Standards und Zertifizierungen basieren, sowie die entsprechenden Nachweise zur Datenverarbeitung führen inzwischen bereits dazu, dass die mit der Datenverarbeitung verbundenen Risiken besser eingeschätzt und kontrolliert werden können. Und genau das ist ein guter Nährboden für datengetriebene Geschäftsmodelle und die weiter voranschreitende Digitalisierung.

IT-Sicherheit dank Privacy by Design und Privacy by Default

Die DSGVO legt einen starken Fokus auf das Thema technischer Datenschutz und IT-Sicherheit.

In Abhängigkeit vom jeweiligen Schutzbedarf müssen konkrete technische und organisatorische Sicherheitsmaßnahmen implementiert werden (Artikel 32 DSGVO).
Die erforderlichen technischen und organisatorischen Maßnahmen umfassen:

• Pseudonymisierung und Verschlüsselung von Daten,
• Maßnahmen zur dauerhaften Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der mit der Datenverarbeitung befassten Systeme und Dienste,
• Maßnahmen, die es ermöglichen, im Falle eines physischen oder technischen Zwischenfalls die personenbezogenen Daten und den Zugang zu ihnen rasch wiederherzustellen,
• Maßnahmen, die sicherstellen, dass Daten nur auf Anweisung des Verantwortlichen verarbeitet werden und
• das Aufsetzen eines Verfahrens, anhand dessen die Sicherheit der Datenverarbeitung regelmäßig überprüft, bewertet und evaluiert wird.

Bei der Ermittlung des individuellen Schutzbedarfs müssen Sie darauf achten, welche Risiken Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugter Zugang zu den personenbezogenen Daten für den Betroffenen mit sich bringt.

PRIVACY BY DESIGN

Nach Artikel 25 DSGVO sollen Sie die Grundsätze des Datenschutzes bereits bei der Implementierung und Entwicklung von Produkten, Diensten, Anwendungen und technischen Prozessen, die personenbezogene Daten verarbeiten, berücksichtigen (Privacy by Design). Durch entsprechende technische Implementierung soll sichergestellt werden, dass

• nur bestimmte Daten erhoben werden,
• diese schnellstmöglich pseudonymisiert und verschlüsselt und
• diese nur in dem erforderlichen Umfang verarbeitet werden,
• sie nach Ablauf der Speicherfrist gelöscht werden und
• nur bestimmte Personen Zugriff auf die Daten haben.

PRIVACY BY DEFAULT

Der Grundsatz der datenschutzfreundlichen Voreinstellungen (Privacy by Default) in Artikel 25 DSGVO sieht vor, dass IT-Systeme und Anwendungen so voreingestellt sind, dass sie nur solche personenbezogenen Daten verarbeiten, deren Verarbeitung für den jeweils verfolgten Zweck erforderlich sind.

Diese Grundsätze sollten Sie als zukunftsweisende Grundentscheidung unbedingt beachten. Die DSGVO setzt hier auf Prävention statt nachgelagerter Abhilfe, Datenschutz per Default, eine Einbettung von Datenschutz und Datensicherheit im Design, volle Funktionalität, Schutz über den gesamten Lebenszyklus, Sichtbarkeit und Transparenz und ein Respektieren der Privatsphäre. Wenn Sie bereits auf technischer Ebene für eine Minimierung der zu verarbeitenden Daten und ihren Schutz durch technische und organisatorische Maßnahmen sorgen, sinkt das Verarbeitungsrisiko deutlich.

Welche konkreten Sicherheitsmaßnahmen Sie treffen müssen, wird durch eine individuelle Analyse von Art, Umfang und Inhalt der verarbeiteten Daten, den Zwecken der Datenverarbeitung und den Umständen der Datenverarbeitung, einschließlich der jeweiligen Geschäftsprozesse, IT-Systeme, Anwendungen und Infrastrukturen festgestellt. Für Unternehmen bietet es sich an, das Thema IT-Sicherheit und Privacy by Design mit Hilfe entsprechender Compliance Audits, Zertifizierungen nach Artikel 42 DSGVO und Best Practice Guidelines anzugehen. Die DSGVO sieht auch die Möglichkeit vor, sich hierbei an genehmigte branchenspezifische Verhaltensregeln nach Artikel 40 DSGVO zu halten.

Was können Sie tun, um Ihre Daten sicher und DSGVO-konform auszutauschen und zu speichern?

Für jedes Unternehmen weltweit, das Daten von EU-Bürgern speichert, verwaltet oder damit arbeitet, ist die Europäische Datenschutz-Grundverordnung bindend. Hier ist es erst einmal unerheblich, wo sich der Hauptsitz eines Unternehmens befindet. Wurden in den vergangenen Jahren Daten an verschiedensten Stellen gespeichert, schiebt nun die EU-DSGVO einen Riegel vor, in dem sie einen permanenten Überblick über im Unternehmen verteilte Daten fordert. Im Zuge dessen wird die Hoheit über gespeicherte Daten immer wichtiger.

Denn gerade Einzelpersonen haben verschiedenste Rechte, die Sie und Ihr Unternehmen auf Anfrage jederzeit erfüllen müssen:

• Auskunftsrecht
• Zugriffsrecht
• Nachbesserungsrecht
• Recht auf Löschung
• Recht auf eingeschränkte Verarbeitung
• Recht auf Datenübertragbarkeit
• Widerspruchsrecht

Untrennbar damit verbunden steht, dass Sie nachweisen müssen, dass der Datenschutz und die Datensicherheit (auch durch den Einsatz einer entsprechend EU-DSGVO-konformen Software) eingehalten wird. Laut DSGVO gilt der sogenannte „eingebaute“ Datenschutz „Privacy by Design“ als verpflichtend. Er besagt, dass nur eine Software eingesetzt werden darf, die diese Voraussetzungen automatisch erfüllt. Insgesamt stellt die DSGVO stärker auf das Prinzip des risikobasierten Datenschutzes ab.

Mit der Umsetzung der neuen EU-DSGVO ist das Haftungsrisiko bei Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für deren CIOs, Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte enorm gestiegen. Seit dem 25. Mai 2018 müssen alle Beteiligten bei Verstößen gegen die Datenschutzvorschriften oder ihre Aufsichtspflichten mit viel höheren Strafen als bislang rechnen. Bei Verstößen im Umgang mit personenbezogenen Daten drohen lt. § 42 DSAnpUG (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU) über die Geldbußen hinaus strafrechtliche Sanktionen wie eine Freiheitsstrafe von bis zu drei Jahren.

Um sich vor diesen schwerwiegenden Strafen zu schützen, müssen Sie eine entsprechende Compliance-Struktur aufbauen und konkrete Maßnahmen zur Einhaltung der EU-DSGVO entwickeln. Schulen Sie Ihre Mitarbeiter und bereiten Sie diese auf die geänderten Bestimmungen vor. Ein externer Datenschutzbeauftragter mindert Ihr persönliches Risiko, weil sich dadurch die Haftung verlagert. Regelmäßige Audits dienen dazu, um zu prüfen, inwieweit Sie und Ihr Unternehmen den datenschutzrechtlichen Anforderungen entsprechen.

Ein DSGVO-konformer IT-Partner kann vieles erleichtern, wenn die Infrastruktur bei diesem betrieben wird. Nutzen Sie technische Lösungen, die sich an die Grundsätze „Privacy by Design“ und „Privacy by Default“ halten sowie in Deutschland oder Europa hergestellt und betrieben werden. Diese Lösungen unterliegen den strengen europäischen Datenschutzgesetzen und sichern Ihnen eine DSGVO-konforme Datenverarbeitung. Verfügt die Software über eine Ende-zu-Ende-Verschlüsselung inklusive clientseitiger Verschlüsselung, können Sie außerdem sicher sein, dass Ihre Daten maximal geschützt sind. Denn in diesem Fall werden die Daten bereits am Endgerät verschlüsselt. Auf dem Server selbst besteht keine Möglichkeit, die Daten zu entschlüsseln, da sich das Schlüsselmaterial auf dem Client befindet. So wird sichergestellt, dass weder der Cloud-Anbieter selbst noch Dritte in der Lage sind, auf gespeicherte Daten zuzugreifen.

DRACOON ERMÖGLICHT EINEN DATENSCHUTZKONFORMEN DATENAUSTAUSCH

Unternehmen sollten die DSGVO nutzen, um sich für die Risiken, die eine Digitalisierung mit sich bringt, sicher aufzustellen. Die deutsche Cloud-Lösungen DRACOON unterstützt Firmen dabei, eine sichere und EU-DSGVO-konforme Datenverarbeitung zu gewährleisten.

Das findet auch Christian Volkmer, Datenschutzexperte und Geschäftsführer der Projekt 29 GmbH & Co. KG: „Ich sehe in der DSGVO die Chance für Unternehmen, um sich für die Herausforderungen, die eine Digitalisierung mit sich bringt, gut aufzustellen. Dabei liefern deutsche Cloud-Lösungen wie DRACOON die perfekte elektronische Basis, um Daten DSGVO-konform auszutauschen und zu speichern.“

DRACOON wird in Deutschland entwickelt und in ISO27001-zertifizierten Rechenzentren betrieben. Durch die integrierte clientseitige Verschlüsselung vermeiden Sie, dass Daten abfliessen. Dank datenschutzfreundlicher Technikgestaltung (Privacy by Design) und datenschutzfreundlicher Voreinstellungen (Privacy by Default) arbeiten Ihre Nutzer zudem von Beginn an datenschutzkonform. Das universell einsetzbare API ermöglicht außerdem eine Anbindung oder Integration zu anderen Anwendungen wie MS Office oder auch spezieller Branchensoftware – DRACOON dient Ihnen so als zentraler Datenspeicher für alle (sensiblen) Unternehmensdaten. Über die DRACOON Web App und Mobile Apps haben berechtige Benutzer jederzeit und überall Zugriff auf die Daten.

IM ÜBERBLICK: SO ERFÜLLT DRACOON DIE KONKRETEN GRUNDSÄTZE DER DSGVO

IM ÜBERBLICK: SO ERFÜLLT DRACOON DIE KONKRETEN RECHTLICHEN VORGABEN DER DSGVO