Die Europäische Datenschutzgrundverordnung (GDPR) ab 2018

Die europäische Datenschutzgrundverordnung (kurz EU-DSGV oder GDPR) tritt ab Mai 2018 in Kraft und sorgt für Unruhe bei den Unternehmen. Nach vier Jahren der Vorbereitung wurde die Regulierung final am 14. April 2016 vom EU Parlament abgesegnet und tritt ab dem 25. Mai 2018 in Kraft.

Aus Sicht eines EU-Bürgers eine feine Sache:
Die Tatsache, dass personenbezogene Daten nachweislich geschützt und nach Aufforderung vom Unternehmen gelöscht werden müssen, gefällt. Unternehmen unterschätzen oft das Thema Datenschutz und gehen leichtfertig mit personenbezogenen Daten um. Manch einer mag die Richtlinien der EU für überzogen halten, andere wiederum halten die GDPR (Kurzform für General Data Protection Regulation) für immens wichtig.

Jedoch ist die Unwissenheit noch sehr hoch – nach einer aktuellen Studie der ZEW (Zentrum für Europäische Wirtschaftsforschung) sind für 55,9 % der deutschen Unternehmen aus dem Bereich der wissensintensiven Dienstleistern wie Rechts-, Steuer- und Unternehmensberater, Architektur- und Ingenieurbüros, Werbung und Marktforschung die DSGVO/GDPR nicht bekannt oder haben sich mit dem Thema noch nicht befasst. Selbst in der IKT-Branche ist für 12,5 % der Unternehmen die DSGVO/GDPR unbekannt und weitere 40% haben sich mit den Herausforderungen und dem
Anpassungsbedarf der sich durch die neue EU-Datenschutzgrundverordnung ergibt nicht befasst.

Quelle: http://ftp.zew.de/pub/zew-docs/brepikt/201801BrepIKT.pdf

Welche Unternehmen sind denn nun betroffen?

Zunächst gilt die Tatsache, dass alle Unternehmen die in der EU ansässig sind, sowie Unternehmen, die Daten von EU Bürgern verarbeiten, von der Grundverordnung betroffen sind. Somit müssen dies auch Unternehmen aus der Schweiz und allen anderen NICHT-EU-Ländern berücksichtigen, sofern Sie im Besitz von personenbezogenen Daten von EU Bürgern sind. Die Grundverordnung zielt als solches auf den Schutz von personenbezogenen Daten ab, die sich mit einer natürlichen Person verknüpfen lassen. Dabei ist es unerheblich, ob es sich um Datensätze von Mitarbeitern, Partnern oder Kunden handeln, allesamt sind schützenswert.

Bei Nichteinhaltung der Datenschutzgrundverordnung können Strafen in Höhe von bis zu 4% der weltweiten Unternehmensumsätze oder 20 Millionen Euro ausgesprochen werden – je nachdem, welches Strafe höher ausfallen kann.

In diesem Zusammenhang werde ich oft von meinen Kunden gefragt, ob es denn lediglich reichen würde, einen Datenschutz-Plan bis Mai 2018 vorzustellen. Dabei gilt: Ab Mai 2018 müssen alle Unternehmen die Regularien der EU-Datenschutzgrundverordnung bereits einhalten – ein Plan reicht da nicht aus. Ebenso betrifft es auch jede Branche, in der personenbezogene Daten gespeichert werden. Unternehmen sollten bereits vertraut mit dem allgemeinen Datenschutz sein und entsprechende Compliance-Regelungen verfolgen. Besonders erwähnenswert ist jedoch, dass auch jedes Unternehmen, dass an der Unterstützung dieser Firma beteiligt ist – z.B. Cloud- oder Software-Anbieter – sich an die Datenschutz-Grundverordnung halten muss, da sie an der Datenspeicherung beteiligt sind, auch wenn keine direkte Beziehung zum Kunden besteht.

Was bedeutet dies nun für Unternehmen, die mobile Endgeräte im Einsatz haben?

Mobile Endgeräte stehen bei der Verarbeitung von personenbezogenen Daten ganz oben auf der Liste. Es gibt wenige Unternehmen, dessen Mitarbeiter nicht mit einem Smartphone, Tablet und/oder Notebook ausgestattet werden. Der europäische Datenschutzbeauftragte (European Data Protection Supervisor) hat bereits vor einem Jahr die „Guidelines on the protection of personal data in mobile Devices“ herausgegeben, dabei gelten folgende Kernaussagen:

  • Mobile Geräte stellen ein höheres Risiko für den Datenschutz dar, als Desktop Computer (Seite 9)

  • Auf mobilen Geräten gespeicherte Daten müssen jederzeit löschbar sein (Seite 9)

  • Geräte- und Applikationsmanagement sind wichtige Elemente (Seite 12/13)

  • Trennung von privaten und dienstlichen Informationen beachten (Seite 14)

  • Auch bei auf Endgeräten gespeicherten Dokumenten ist das Recht auf Löschung anzuwenden (Seite 21)

Ebenso wurde auch definiert, was ein Breach, also ein Datenschutzvergehen, ist:

  • u.a. der Verlust eines Endgeräts ohne Löschmöglichkeit sowie File-Sharing ohne Kontrolle, … (Seite 23/24)

Somit ist bereits der Verlust oder Diebstahl eines Smartphones oder eines einfachen USB Sticks ein Vergehen, dass den EU Behörden gemeldet werden muss, sofern keine Sicherheitsmechanismen die Daten schützen können.

Das gesamte Dokument kann hier heruntergeladen werden: Guidelines on the protection of personal data in mobile Devices

Die wichtigsten Punkte, die aus der Sicht der Enterprise Mobility beachtet werden sollten

Das Thema der Europäischen Datenschutzgrundverordnung ist sehr komplex und muss kundenspezifisch betrachtet werden. Um sicherstellen zu können, dass Ihr Unternehmen mit der Europäischen Datenschutzgrundverordnung ab Mai 2018 konform ist, empfehle ich Ihnen die Konsultierung eines Unternehmensberaters und/oder Rechtsanwalts, der sich auf dieses Thema spezialisert hat. Ich möchte Ihnen hiermit einen Denkanstoss geben, was Sie beachten sollten bzw. welche Themen aus der Sicht der Enterprise Mobility berücksichtigt werden sollten:

  • Rechenschaftspflicht (Art. 5 (2)) – Ausschließlich das Unternehmen ist verantwortlich für den Schutz von personenbezogenen Daten und muss dies nachweisbar vollziehen. Eine Vereinbarung, die ein Endanwender bei der Übergabe eines mobilen Endgeräts unterzeichnen muss und in denen die gesamte Rechenschaftspflicht im Sinne des Datenschutzes auf den Endanwender übertragen wird, ist nicht mehr gültig! Das Unternehmen und dessen Führung muss somit Sorge tragen, Technologien einzusetzen, die dem Datenschutz entsprechen. Erfolgt dennoch ein beabsichtigter Datenmissbrauch des Endanwenders, ist dies weiterhin ein Vergehen des Endanwenders. Das Unternehmen muss jedoch nachweisen können, mit Ihrer eingesetzten Technologie einen ausreichenden Schutz bewerkstelligt zu haben, muss den Vorfall jedoch dennoch den Behörden melden.
    Mögliches Szenario: Verwendung von Apps auf dem Endgerät, die Zugriff auf die Kontaktdaten haben möchten, das Endgerät jedoch nicht zwischen „privaten“ und „geschäftlichen“ Kontakten unterscheiden kann.
  • Recht auf Löschung / Right to be forgotten (Art. 17 & 19) – Jeder EU Bürger hat ein Recht auf die Löschung seiner Daten, sofern diese für das Vertragsverhältnis nicht mehr benötigt werden. Ausnahmeregelungen gibt es hier nur sehr wenige. Somit muss ein Unternehmen in der Lage sein, Daten des EU Bürgers nachweislich(!) gelöscht zu haben. Die besondere Herausforderung liegt hier bei mobil verarbeiteten Dokumenten.
    Mögliches Szenario 1: Der Versicherungsmakler lädt vor dem Kundentermin alle Policen seines Kunden auf sein Notebook, die Daten liegen lokal. Das Notebook wird gestohlen oder dem Makler wird gekündigt – die Daten dürfen im Nachgang nicht mehr brauchbar für den Makler sein.
    Mögliches Szenario 2: Der Mitarbeiter speichert Unternehmensdaten auf einem vom Unternehmen nicht verwalteten Speicherplatz in der Cloud oder einem unverschlüsselten, nicht verwalteten USB-Speicher, SD-Karte, etc., die eine nachträglich beauftragte Löschung ermöglicht.
  • Dokumentationspflichten (Art. 30) – Unternehmen mit mehr als 250 Mitarbeitern müssen Aufzeichnungen über die Verarbeitung von personenbezogenen Daten vorhalten. Von besonderer Bedeutung sind hier auch Dokumentationen über notwendige Sicherheiten, Löschzyklen und Personen, die Zugang zu diesen Daten haben. Teil der Dokumentationspflichen sind auch Aufzeichnungen zu Datenschutzvorfällen und deren Auswirkungen.
    Mögliches Szenario: Die eingesetzte Verwaltungssoftware von mobilen Endgeräten muss in der Lage sein, nachweisliche Logdateien zu erstellen, die bei Vorfällen analysiert werden können. Zudem müssen Richtlinienverstöße proaktiv vom System gemeldet werden, in Form von Events und/oder Anzeigen im Admin-Dashboard.
  • Datenschutzfolgeabschätzung (Art. 35, 36, 83) – Eine DPIA (Datenschutzfolgeabschätzung) ist vorgesehen für den Einsatz neuer Technologien, welche in einem erhöhten Risiko für personenbezogene Daten resultieren. Neben der Risikoanalyse ist es auch notwendig zu belegen, wie diese Risiken adressiert werden sollen.
    Auswirkungen: Es empfiehlt sich, eine DPIA durch einen externen Berater erstellen zu lassen, da die internen Ressourcen evtl. nicht alle Aspekte überblicken können und entsprechende Schutzmaßnahmen alle möglichen Bereiche abdecken müssen. Zudem müssen bei hohen Risiken für personenbezogene Daten die Datenschutzaufsichtsbehörden involviert werden. Zusätzlich sind alle technischen- und organisatorischen Maßnahmen zu treffen und zu dokumentieren.
  • Meldepflichten (Art. 33, 34, 83) – Im Falle eines „Data Breach“ muss der Vorfall innerhalb von 72 Stunden den Datenschutzaufsichtsbehörden der EU gemeldet werden. Hier gilt: Meldung schützt vor Strafe nicht, eine korrekte Meldung wirkt sich jedoch auf die Höhe der Strafe aus. Zusätzlich müssen bereits Details über den Vorfall und die Folgen für die betroffenen Personen bei der Benachrichtigung übermittelt werden.
    Auswirkungen: Wird ein Endgerät gestohlen, verloren, infiziert oder manipuliert, kann dies bereits ein meldepflichtiger Verstoß sein, sofern das Endgerät nicht entsprechend gesichert ist. Insofern muss der Sicherheitsstatus auf mobilen Endgeräten zentral überwacht werden können. Dem Endanwender muss technisch unterbunden werden, schützenswerte Daten auf vom Unternehmen unverwaltete Ziele ablegen zu können. Der Administrator muss zudem in der Lage sein, zentral alle notwendigen Informationen über die eingesetzten Endgeräte verwalten zu können.

Eine weitere Rechtssprechung, die zwar nicht direkt in Verbindung mit der GDPR steht, jedoch in diesem Kontext sehr gut passt:

  • Geheimnisschutz von sensiblen Unternehmensdaten / Geschäftsgeheimnisse – bislang kam ein Unternehmen die deutsche geheimnisträgerfreundliche Rechtsprechung entgegen. Ab dem 05.Juli 2018 gilt die EU Richtlinie (2016/943), dass die bisherige Rechtsprechung verschärft. Sie dient hauptsächlich, um den rechtswidrigen Erwerb sowie die rechtswidrige Nutzung und Offenlegung von Geschäftsgeheimnissen zu schützen und diese Regelung europaweit zu harmonisieren. Das von der EU definierte „Geschäftsgeheimnis“ umfasst drei Elemente:1. Die Information muss vertraulich sein
    2. Sie sollte aufgrund Ihrer Vertraulichkeit von kommerziellen Wert sein
    3. Der Inhaber des Geheimnisses muss angemessene Maßnahmen zur Geheimhaltung der Information unternehmen. Diese Anforderung ist im Gegensatz zur deutschen Rechtssprechung neu!Auswirkungen: Dies hat zur Folge, dass ein Unternehmen verpflichtet ist, technische Vorkehrungen im Sinne von Überwachung und Bewertung zu treffen, um Geschäftsgeheimnisse auch vor der EU Rechtssprechung in den Genuss des Know-How Schutzes zu kommen, andernfalls dürfen diese Informationen von Dritten „legal verwendet“ werden. Quelle und weitere Informationen hierzu: DeutscherArbeitgeberVerband.de

Fazit

Man kann von der Datenschutzgrundverordnung begeistert sein, oder auch nicht – Fakt ist, sie gilt ab Mai 2018 und trifft alle Unternehmen, die Daten von EU Bürgern verarbeiten. Wer aktuelle Technologien im Einsatz hat oder diese gerade implementiert, kann der Verordnung beruhigt entgegen sehen. Jedoch sollte das Thema keinesfalls unterschätzt werden. Workshops und externe Unterstützung können Unternehmen dabei helfen, sich optimal darauf vorzubereiten. Ich empfehle immer die Sicht aus der anderen Perspektive – als Bürger möchte man seine Daten an Unternehmen anvertrauen können und sicher sein, dass diese mit größter Sorgfalt geschützt werden und nicht absichtlich oder unabsichtlich an Dritte weitergegeben werden.

Wie ist Ihre Meinung hierzu? Hinterlassen Sie mir hierzu gerne einen Kommentar auf YouTube, Facebook, Twitter oder direkt hier unter meinem Artikel. Ich freue mich auf Ihr Feedback!

Links

Ein Gedanke zu „Die Europäische Datenschutzgrundverordnung (GDPR) ab 2018

  1. Ich möchte an der Stelle auch auf die Vorteile für Unternehmen hinweisen. Lösungen wie SecureContact Pro (https://itunes.apple.com/de/app/securecontact-pro/id1280275868 ) zeigen, dass der erhöhte Datenschutz auch mehr Bedienkomfort bedeuten können. Es gibt soweit ich weiß keine andere App die einem z.B. Erlaubt die komplette GAL aus Exchange mobil offline mitzunehmen und Anrufe identifiziert zu bekommen. Ferner kann man dank der SecureContact Tastatur auch die Informationen in jeder App eigenverantwortlich nutzen. Das geht nicht mal mit Boardmitteln!!!! Damit wird das auch für die interessant, die denken das iOS 11.3 ja die Kontaktetrennung bereits bietet.

    Weitere Infos: https://www.mobilebox-consulting.de/app/download/12770916031/Flyer+ohne+Partner.pdf?t=1523216708

    Gefällt mir

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.