Europäische Datenschutz-Grundverordnung - Kontext und Abhängigkeiten

Europäische Datenschutz-Grundverordnung

Kontext und Abhängigkeiten

Flavio Gerbino
von Flavio Gerbino
am 02. Februar 2017
Lesezeit: 15 Minuten

Keypoints

  • Die EU wird die Datenschutz-Grundverordnung einführen
  • Dadurch wird eine EU-weite Harmonisierung des Datenschutzes stattfinden
  • Für Benutzer wird damit eine bessere Kontrolle über ihre Daten und Privatsphäre möglich
  • Dadurch wird zum Beispiel eine Meldepflicht bei Incidents und Portabilität von anfallenden Daten eingeführt
  • Unternehmen müssen sich dem Thema mit einem risikobasierten Ansatz nähern

Die Europäische Union hat im April 2016 mit der Datenschutz-Grundverordnung (DSGVO) einen Grundstein für ein neues Datenschutzrecht gelegt. Mit dieser werden die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit standardisiert und vereinheitlicht.

Die Reform bezweckt u.a. grundsätzlich auch die Rechte der Internet-Nutzer zu stärken, die in Zukunft mehr Kontrolle darüber haben sollen, wozu die Internet-Unternehmen (Google, Facebook, Apple, WhatsApp etc.) ihre persönlichen Daten verwenden.

Die alte EU Datenschutzrichtlinie 95/46/EG von 1995, die damit ersetzt wird, galt in vielen Punkten als nicht auf der Höhe der Zeit und aus praktischer Sicht als schwer anwendbar. Zudem wurden wichtige technische Entwicklungen gar nicht bzw. nicht ausreichend berücksichtigt. Die neue Datenschutz-Grundverordnung soll den durch die im jeweils nationalen Recht verschiedenartigen Umsetzungen entstandenen Flicken-Teppich europaweit konsolidieren. Denn im Unterschied zur alten Richtlinie, die von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste, gilt die Datenschutz-Grundverordnung unmittelbar in allen EU-Mitgliedstaaten ab dem 25. Mai 2018.

Reglungsfreiräume der Schweiz

Zugleich räumt die DSGVO den Mitgliedstaaten dennoch substanzielle Regelungsfreiräume ein. Diese aufzufüllen, ist für die nationalen Gesetzgeber angesichts der zur Verfügung stehenden Zeit aber durchaus eine Mammutaufgabe. Denn es bleibt nur noch ein Jahr, bis die Datenschutz-Grundverordnung anwendbar sein wird und damit die jeweils ausdifferenzierten nationalen Datenschutzgesetze angepasst sein müssen.

Die Schweiz hat in dieser Hinsicht einen guten Stand, da die DSGVO und das schweizerische Datenschutzgesetzes gemäss Aussagen von Juristen ‘vergleichbar’ ist. Dennoch muss die DSGVO in der zurzeit in Vorbereitung befindlichen Revision des Schweizerischen Datenschutzgesetzes adressiert werden. Nur wenn das Schweizerische Datenschutzrecht im Wesentlichen mit demjenigen der EU übereinstimmt, wird die EU das schweizerische Recht als adäquat anerkennen. Fände dies nicht statt, würde das den zentral bedeutenden Datenaustausch von Unternehmen in der Schweiz mit Unternehmen in der EU massiv beeinträchtigen und unnötig erschweren.

Politische Tragweite

Nach der Aufhebung des Safe-Harbor Abkommens im Oktober 2015, weist nun auch die neue Datenschutz-Grundverordnung eine klare Richtung für die Neuordnung des Datenschutzes in der EU. Auch wenn es nicht offensichtlich so deklariert wurde, wird die DSGVO den EU-Datenschutz auf die USA expandieren, denn auch Daten-Giganten wie Facebook, Google, Apple etc. sollen künftig deutlich stärker zur Verantwortung gezogen werden können.

Und es ist so gesehen eine erfreuliche Entwicklung, dass auch die zu recht kritisierte Praxis der amerikanischen Nachrichtendienste (z.B. NSA) endlich Gegenwind bekommt. Denn die übermittelten Daten sind bisher nie ausreichend vor dem Zugriff von US-Behörden und Geheimdiensten geschützt gewesen. Parallel zum Swiss-US Privacy Shield trägt nun auch die DSGVO dazu bei, dass für die schweizerischen Exporte von Personendaten in die USA die gleichen Standards wie für diejenigen aus der EU gelten. Dies ist für die Rechtssicherheit im Wirtschaftsverkehr und insbesondere auch für den freien Datenaustausch zwischen der Schweiz und der EU – speziell im kommerziellen Bereich – extrem bedeutungsvoll.

Ob die Situation der pauschalen Überwachung durch US-Behörden damit tatsächlich auch verbessert werden kann, ist fraglich und bleibt abzuwarten. Diese ist zu massiv und nicht zielgerichtet, da sie in generalisierter Weise alle Personen und alle elektronischen Kommunikationsmittel sowie sämtliche übertragenen Daten inklusive des Inhalts der Kommunikationen, ohne jede Differenzierung, Einschränkung oder Ausnahme, einschliesst.

Man könnte es dennoch mit einem optimistischen Zitat aus dem Referat des Philosophen Peter Sloterdijk zum Thema: Digitaler Kolonialismus – Europas Mühen mit dem Internet ausdrücken:

Die Datensouveränität Europas wurde wiederhergestellt.

Und weiter:

Wäre Europa imstande, mit einer Stimme zu sprechen, es stünde seit einer Weile an erster Stelle unter den ökonomischen Grossmächten. Längst hätte es, wäre es einig, eigene Suchmaschinen und Social Media entwickelt, die nicht der massiven Bürgerausspähung durch paranoische Sicherheitsdienste unterliegen. Unsere gern so bezeichneten “amerikanischen Freunde” hingegen scheinen weiterhin jede Entwicklung zu fördern, die aus der Schwäche Europas einen zusätzlichen Grund für ihre Stärke macht.

So gesehen könnte man die Ziele des DSGVO dahingehend interpretieren, dass sie eben auch dazu beitragen soll diese neu gewonnene Datensouverenität zu festigen.

Doch vor zu viel Euphorie sei auch gewarnt: Denn auch das zur Stunde schwer angeschlagene Europa wird im Rahmen der Terrorismusbekämpfung sein berechtigtes Sicherheitsinteresse aufgrund des übergeordneten Staatsziels der Gewährleistung von Sicherheit zunehmend höher einstufen, als entsprechende Freiheitsrechte wie z.B. eben auch das informationelle Selbstbestimmungsrecht der Bürger. Daran wird auch die DSGVO nichts ändern. (Obwohl der Europäische Gerichtshofs die Norm zur Vorratsdatenspeicherung zur Terrorabwehr schon 2014 für ungültig erklärt hat und somit formell die Grundrechte stärker gewichtet als die Terrorbekämpfung.)

Gesellschaftliche Treiber oder die Informationsgesellschaft und der Datenschutz

Dem Datenschutz muss hinsichtlich der Entwicklungen hin zu einer ausgeprägten Informationsgesellschaft eine fundamentale Rolle zugesprochen werden.

Mit dem elementaren Grundrecht auf informationelle Selbstbestimmung schützt der Datenschutz die Betroffenen vor der unrechtmässigen und unsachgemässen Verwendung ihrer personenbezogenen, persönlichen Daten und nimmt auch vermehrt Unternehmen in die verbindliche Pflicht. Zudem stellen die stetig strenger werdenden gesetzlichen Anpassungen und die steigenden Erwartungen der Kunden die Unternehmen dabei vor wachsende Herausforderungen.

Die Nichteinhaltung bzw. Nichtbeachtung des Datenschutzes ist heute ein gewaltiger Risikofaktor, der nebst Sanktionen wie Image- bzw. Reputationsschäden, auch persönliche Haftungen von Mitgliedern des Managements zur Folge haben kann. Andererseits ist der Nachweis der eigenen Datenschutzkonformität für Unternehmen auch ein hervorragendes Distinktionsmittel und gleichzeitig ein Wettbewerbsvorteil.

Die Unternehmen befinden sich heute damit in ihrer Rolle als Datenverarbeiter verstärkt im Fokus der Öffentlichkeit. Diverse aktuelle Datenschutzskandale haben dazu geführt, dass Kunden global zunehmend kritischer reagieren und langsam realisieren, dass Datenschutzkonformität ein wichtiges Qualitätsmerkmal ist, welches sie akkurat nachgewiesen sehen wollen. Diese Entwicklungen verlangen von den Verantwortlichen in den Unternehmen ein neues Bewusstsein und darauf basierend neue Ideen und die Entwicklung angemessener Strategien im Umgang mit den neuen Herausforderungen des Datenschutzes.

Technologische Treiber

Die Informationstechnologien sind heute omnipräsent ubiquitäre IT und durchdringen pervasive IT alle Lebensberieche. Damit findet auch die Erhebung, Verarbeitung und Verwendung personenbezogener Daten inzwischen quasi überall statt. Darüber hinaus führen Technische Innovationen vor allem auch in den Bereichen Internet-of-Things (Evernet), Cloud-Computing und Mobile-Computing mit Big Data zu exponentiellem Wachstum der Datenvolumina. Die starke Kontextsensitivität trägt dazu bei, dass z.B. IoT-Komponenten sich durch Sensoren und spezielle Kommunikation Informationen über die Nutzer und ihre Gewohnheiten, Umgebung, Position und viele anderer sensitive Daten (z.B. Gesundheitsinformationen wie Herzfrequenz, Gewicht, Blutdruck etc.) verschaffen und ihr Verhalten danach ausrichten. Diese Trends führen zunehmend dazu, dass reale Bedrohungen für das informationelle Selbstbestimmungsrecht gar nicht oder zu spät bzw. mit beträchtlicher zeitlicher Verzögerung erkannt werden (Data Breaches).

Auf der anderen Seite ist aber zugleich auch eine neue Sorglosigkeit und unbekümmerte Leichtigkeit im Umgang mit eigenen und fremden personenbezogenen Daten zu Beobachten (Social Media). Z.B. bieten sorgfältig erstellte Einträge in den Plattformen für Social Networking simple Angriffsflächen für Social Engineering, oder auch das systematische Ausforschen und Aggregieren sozialer Beziehungen und persönlicher Daten, um damit beispielsweise Identitätsdiebstahl oder Vorspiegelung falscher Identitäten, durch Ausnutzung detailierter preisgegebener Informationen zu betreiben.

Bedingt durch diese Tendenzen und den rapiden technischen Fortschritt ist der Bezug von relevanten Personendaten einfacher denn je geworden: Mit Hilfe moderner Analysetools und Big-Data-Aggregationen ist der gläserne Konsument, Patient, Kunde, Mitarbeiter, Bürger leider bereits längst zur Realität geworden.

Als Zielsetzung des Datenschutzes rückt nun der Schutz des Einzelnen vor dem unbefugten und unsachgemässen Umgang seiner persönlichen Daten an dieser Stelle mit der neuen EU-DSGVO wieder verstärkt in den Brennpunkt. Viele haben mittlerweile erkannt, dass das Recht der Betroffenen auf informationelle Selbstbestimmung ein elementares demokratisches Grundrecht bildet, das die Gesellschaft und die Bürger verstärkt einfordern müssen, damit es nicht verloren geht.

Neuerungen in der EU Datenschutz-Grundverordnung

Im Folgenden werden einige wichtige Aspekte beleuchtet, die für Unternehmen aber auch für das informationelle Selbstbestimmungsrecht des Einzelnen besonders wichtig sind. Der komplette Gesetzestext kann unter privacy-regulation.eu inhaltlich strukturiert eingesehen werden.

Damit wird unter dem Motto der EU-Reform Besserer Schutz der Privatsphäre online und neue Geschäftsmöglichkeiten einerseits die Kommunikationen mit Datengiganten wie Facebook, Google, Apple, WhatsApp etc. vor fremden Augen geschützt – Und andererseits wirtschaftsfreundliche Regeln für den digitalen Binnenmarkt ausgebaut.

Fazit

Die Neuerungen im Datenschutz werden die Unternehmen auch in Zukunft intensiv beschäftigen und vor grosse Herausforderungen stellen. Als erstes muss nun im Zusammenhang mit der DSGVO eine zwingende Anpassung bestehender obligatorischen Dokumentationen und Verfahren bis zum Mai 2018 in Angriff genommen werden.

Dabei muss klar sein, dass die Verordnung bei weitem nicht nur die Rechtsabteilungen betrifft. Auch das Top-Management muss direkt miteinbezogen werden. Insbesondere ist die Unternehmensführung in der Pflicht, den nötigen Stellenwert des Datenschutzes und den benötigen Druck dafür aufzubauen, sowie Unterstützung anzubieten, um interne Regeln anzupassen, Fallbeispiele und konkrete Szenarien auszuarbeiten und die nötige technische Hilfsmittel und Ressourcen bereitzustellen. Dabei ist ein risikobasierter Ansatz essentiell.

Daher sollten sich Unternehmen ganz grundsätzlich und frühzeitig mit Fragen des Datenschutzes auseinander setzen:

Je nach Geschäftstätigkeit sind zudem weitere internationale Normen zu berücksichtigen, die im schlimmstenfalls im Konflikt untereinander oder mit nationalen Regeln sowie der DSGVO stehen könnten. Als bekanntes Beispiel ist hier z.B. der Sarbanes-Oxley-Act (SOX) aus den USA zu erwähnen, der basierend auf der bereits kritisierten angelsächsischen Kultur dem Privatsphärenschutz im Vergleich zur jeweiligen kontinentaleuropäischen Praxis deutlich weniger Gewicht zukommen lässt.

Datenschutzvorfälle müssen als bedeutender Risikofaktor innerhalb des Risikomangements erkannt werden. Dabei beschränkt sich dieser nicht nur auf die direkten Folgen eines Verstosses gegen die oben genannten Normen und Gesetze. Der Umgang mit den erwähnten Risiken verlangt ein adäquates Risikomanagement von den Unternehmen. Der Datenschutz ist heutzutage ein gewichtiger Qualitätsfaktor, den jedes Unternehmen ernst nehmen muss.

Bei der Aktualisierung der bestehenden internen Weisungen, Reglemente und Policies zur Datenschutz-Compliance geht es also nicht um eine einmalige Aktion hinsichtlich der DSGVO Umstellung per Mai 2018, sondern vielmehr darum, den Datenschutz in Zukunft kontinuierlich und permanent in die Geschäftsprozesse zu implementieren und dort zu gewährleisten. Dies kann nur gelingen, wenn das Management von Datenschutzrisiken unternehmensweit durch alle Unternehmensebenen und Stellen hindurch institutionalisiert wird.

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

Herausforderung Datenschutz-Grundverordnung DSGVO?

Unsere Spezialisten kontaktieren Sie gern!

×
Crypto-Malware

Crypto-Malware

Ahmet Hrnjadovic

TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv