Die Europäische Datenschutzgrundverordnung
kurz: EU-DSGVO

EU-DSGVO

In diesem Beitrag wollen wir Ihnen die wichtigsten Fragen zum Thema PKI beantworten: Was ist die EU-DSGVO? Für wen gelten die Vorgaben der EU-DSGVO? Was müssen Unternehmen hinsichtlich Datenschutz ab dem 25. Mai 2018 beachten? Welche Maßnahmen müssen im Schadensfall ergriffen werden?

Inhalt:

  1. Was verbirgt sich hinter der EU-DSGVO?
  2. Für den gilt die EU-DSGVO?
  3. Was müssen Unternehmen bzgl. der EU-DSGVO beachten?
  4. Was passiert im Schadensfall?

Was verbirgt sich hinter der EU-DSGVO? Definition und Grundlagen.

Nach einer Übergangsphase von zwei Jahren tritt am 25. Mai 2018 die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft und hebt damit die ursprüngliche Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr auf. Während bis dahin der Mindeststandard des Datenschutzes in den EU-Mitgliedsstaaten durch nationale Gesetze sichergestellt werden muss (in Deutschland durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze im Mai 2001 vollzogen), wird dies europaweit verbindlich sein.

Die Verordnung regelt unter anderem die Rechtsgrundlagen der Datenverarbeitung (Kapitel 2), die Rechte der betroffenen Personen (Kapitel 3), definiert die Verantwortlichen inklusive deren Pflichten (Kapitel 4), die Vorschriften für die Übermittlung personenbezogener Daten an Drittländer (Kapitel 5) sowie im Rahmen besonderer Verarbeitungssituationen (Kapitel 9) und die Haftung und Sanktionen im Fall von Verstößen (Kapitel 8).

Ziel ist es, die bisher unterschiedlichen Gesetze und Standards in den EU-Mitgliedsstaaten zu vereinheitlichen. Hierbei ist unerheblich, ob die Unternehmen ihren Sitz innerhalb oder außerhalb der EU haben, denn sie gilt für alle Unternehmen, die Daten von Personen aus der EU verarbeiten.

Für wen gilt die EU-DSGVO? Die betroffenen Unternehmen.

Die EU-DSGVO gilt grundsätzlich für alle Unternehmen mit Sitz in der EU. Darüber hinaus aber auch für alle Unternehmen, die entweder eine Niederlassung in der EU haben oder aber personenbezogene Daten von EU-Bürgern verarbeiten.

Als personenbezogene Daten gelten dabei alle Informationen, mit deren Hilfe Personen sowohl direkt, als auch indirekt identifiziert werden können, wie beispielsweise Name, (E-Mail-)Adresse oder Kontodaten. Aber auch Informationen, die online gesammelt werden wie Standortdaten, IP-Adressen oder Cookies. Hierbei reicht es bereits aus, wenn auch nur die Möglichkeit besteht, eine Person darüber zu identifizieren.

Was müssen Unternehmen bzgl. der EU-DSGVO beachten? Notwendige Maßnahmen.

Art. 32 der EU-DSGVO „Sicherheit der Verarbeitung“ ist einer der wesentlichen Artikel, da hier recht ausführlich beschrieben wird, was zu tun ist, um eine angemessenes Schutzniveau zu erreichen: nämlich „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ […] sind „geeignete technische und organisatorische Maßnahmen“ zu treffen. Hierzu zählen unter anderem:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

All diese Aspekte werden von einem Informationssicherheitsmanagementsystem (ISMS) – richtig implementiert – berücksichtigt. Bei Vorhandensein eines ISMS in einem Unternehmen kann dieses um die Aspekte der EU-DSGVO erweitert und so Synergien genutzt werden.

Alexander Scherf

Alexander Scherf

Vertriebsbeauftragter
1843

Sind Sie schon auf die Anforderungen der EU-DSGVO vorbereitet?! Sie sind sich nicht sicher?! Dann finden Sie es mit unserem kostenlosen Datenschutz-Quick Check heraus.

Zum Datenschutz-Quick Check

Was aber bedeutet „angemessenes Schutzniveau“?! Um diese Frage zu beantworten, ist zunächst zu klären

  • welchen Schutzbedarf die vorliegenden personenbezogenen Daten haben
  • wie hoch der wahrscheinliche Schaden bei einem Verlust der Daten ist und
  • wie groß die Wahrscheinlichkeit eines Schadensfalles ist.

Erst wenn das festgelegt ist, können die erwähnten geeigneten technischen und organisatorischen Maßnahmen definiert werden. Da diese „unter Berücksichtigung des Stands der Technik“ und „der Implementierungskosten“ auszuwählen sind, muss immer im Einzelfall geprüft werden, was als Stand der Technik angesehen wird und wie die Verhältnismäßigkeit zwischen Maßnahme und Aufwand ist.

Sven-Torsten Scherz

Sven-Torsten Scherz

Produktmanager
1847

Erfüllen Sie mit unserer Datei-Verschlüsselungslösung die Anforderungen der EU-DSGVO hinsichtlich Verschlüsselung von personenbezogenen Daten und erbringen Sie gleichzeitig mit den integrierten Management Views den dazugehörigen Nachweis.

Jetzt informieren

Was passiert im Schadensfall? Meldepflicht und mögliche Strafen.

Art. 33 Abs. 1 der EU-DSGVO regelt, wie die Meldung einer Verletzung des Schutzes personenbezogener Daten an Aufsichtsbehörden vorzunehmen ist: „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der […] zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. […]“. Weiterhin wird in Abs. 3 geregelt, welche Informationen bei der Meldung mindestens enthalten sein müssen. Hier unter anderem auch wieder die „Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes der personenbezogenen Daten“.

Kommt es zu Verstößen, stellt „jede Aufsichtsbehörde sicher, dass die Verhängung von Geldbußen gemäß […] den Art. 83 Absätze 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist“. Das bedeutet konkret, dass bis zu 20 Millionen Euro bzw. bis zu 4% des gesamten weltweit erzielten Jahresumsatzes – je nachdem welcher Betrag höher ist – als Bußgeld oder gar Freiheitsstrafen bis zu drei Jahren möglich sind.

Ansprechpartner

Claus Möhler

Claus Möhler

Leiter Consulting
1821

Unsere ISMS-Beratung

Jetzt informieren

Fazit zur EU-DSGVO

  • Die EU-DSGVO regelt den Umgang von Unternehmen mit personenbezogenen Daten.
  • Von der EU-DSGVO sind alle Unternehmen betroffen, die in der EU ansässig sind, eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten.
  • Unternehmen müssen zukünftig darauf achten, dass der Schutzbedarf der personenbezogenen Daten eingehalten wird, eine entsprechende Risikobewertung vorliegt, technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden und die Konformität nachgewiesen wird.
  • Kommt es zum Schadensfall, ist dieser binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden.
  • Bei Verstößen können Bußgelder in Höhe von bis zu 20 Millionen Euro bzw. bis zu 4% des gesamten weltweit erzielten Jahresumsatzes oder Freiheitsstrafen bis zu drei Jahren verhängt werden.