67. Ausgabe, 4. Quartal 2017

EU-Datenschutz-Grundverordnung

Mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DGVO) im Mai 2018 ist endlich Schluss mit dem Herausreden, Herumeiern und mit dem Finger auf andere zeigen. Ab dem Stichtag gibt es nur noch ein europäisches Datenschutzrecht. Es gilt ausnahmslos für alle Behörden und Unternehmen, die in EU-Staaten ihren Sitz haben, Daten von EU-Bürgern erheben oder verarbeiten. Wer sich dem verweigert, hat kaum noch Chancen, ungeschoren davonzukommen.

Der Gesetzgeber macht spürbar Ernst mit dem Schutz von Kundendaten. Im kommunalen Bereich sind Bürgermeister und Landräte als Leiter der jeweiligen Verwaltungen für den Datenschutz verantwortlich und haften nun direkt für etwaige Verstöße. Die Datenschutzbeauftragten der Länder bringen sich bereits seit Monaten in Stellung. Doch sind die Behörden und Unternehmen darauf schon ausreichend vorbereitet?

Die KID Magdeburg hatte Ende September Führungskräfte und IuK-Verantwortliche der Landeshauptstadt Magdeburg eingeladen, um den Digitalisierungstrend einerseits und die wachsenden Anforderungen an den Datenschutz andererseits miteinander zu diskutieren. Geschäftsführer Dr. Michael Wandersleb ließ in seinem Statement keinen Zweifel daran, dass

„alles, was digitalisiert werden kann, auch digital werden wird. Ob wir wollen oder nicht.“

Daran führt angesichts der rasant steigenden Berge an Informationen kein Weg mehr vorbei: „Anders ist das auch nicht mehr zu händeln.“ Und damit steigt der Wunsch, Daten nicht doppelt oder dreifach einzugeben, sondern gemeinsam zu nutzen. Doch sowie es sich dabei um personengebundene Daten handelt, wird es im wahrsten Wortsinn kriminell. Denn ab 25. Mai nächsten Jahres kann jeder Verstoß gegen die EU-Datenschutz-Grundverordnung sündhaft teuer werden. Allein das Aussitzen eines „Datenlecks“ kann zum Problem für den kommunalen Haushalt werden – die Aufsichtsbehörden sind angehalten, drastisch durchzugreifen und maximale Bußgelder zu verhängen. Verstöße können je nach Schweregrad mit Geldbußen bis zu 20 Mio. Euro geahndet werden.

Die Aufgabe von Peter Nehl, Bereichsleiter Technik der KID, während der Diskussionsrunde war es, auf der einen Seite die Führungskräfte mit allem Nachdruck für die neuen Anforderungen zu sensibilisieren, auf der anderen Seite aber auch das gute Gefühl zu vermitteln, mit der KID einen kompetenten Partner an der Seite zu haben: „Wir haben hausintern schon vor Monaten eine Arbeitsgruppe zum Thema gebildet und uns in vielen Projekten intensiv auf die neuen Gesetzlichkeiten vorbereitet. Ich will hier nicht mit der großen Keule drohen, aber es wird sich einiges in der täglichen Arbeit ändern.“ Insbesondere verwies Peter Nehl auf die „deutlich erhöhten Anforderungen an die Dokumentation zur Datenverarbeitung.“ Eine der wichtigsten Änderungen betrifft die Dokumentationspflicht für Verfahren, mit denen personenbezogene Daten erhoben werden. Dazu gelten künftig strenge Auflagen beim Prinzip der Datensparsamkeit. Jede Datenhaltungsapplikation, die mit personenbezogenen Daten umgeht, müsse so konzipiert sein, dass sie den Datenschutz sicherstellt („Privacy by Design“). Zum zweiten ist es „Privacy by Default“. Das bedeutet: Die technischen Voreinstellungen haben den Datenschutz zu gewährleisten. Peter Nehl: 

„Jedes Produkt aus unserem Haus erfüllt selbstverständlich diese Anforderungen.“

Peter Nehl
Peter Nehl, Bereichsleiter Technik, KID Magdeburg GmbH

In ihrem Vortrag machte Kerstin Wagner, die Datenschutzbeauftragte der Landeshauptstadt Magdeburg, klar,

„dass immer der für die Umsetzung der Datenschutz-Grundverordnung haftet, der die Daten verarbeitet“: „Das heißt also, man kann nicht mehr mit dem Finger auf andere zeigen, die die Daten irgendwann einmal eingegeben haben.“

Deshalb sei es zwingend notwendig, ab Mai 2018  „jede personengebundene Datenverarbeitung so aufzubereiten, dass sie von einem Dritten nachvollziehbar und nachprüfbar ist“. Das sei zwar ein „deutlicher Mehraufwand am Anfang, aber wir Deutschen können uns ja damit trösten, dass es viele andere Länder viel, viel härter trifft. Nämlich jene, die Datenschutz bisher für überflüssig gehalten haben.“

Durch die Nutzung standardisierter Formulare, Dokumentationshilfen und geeigneter Publikationen wie z.B. der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) sowie einen engen Informationsaustausch streben KID und die Datenschutzbeauftragte der Landeshauptstadt die Optimierung des Mehraufwandes an. Peter Nehl:

„Wir beraten und begleiten Sie gern.“

Fazit

Die DSGVO führt einige vollständig neue Grundprinzipien in die Datenverarbeitung ein und verschärft einige andere, bereits bestehende. Aber angesichts der Vielzahl von notwendigen Änderungen in den datenschutzrechtlichen Prozessen und den zu erwartenden Überprüfungen durch die Datenschutzbehörden wäre es unverantwortlich, die Herausforderungen, die die DSGVO an uns stellt, nicht anzunehmen. Denn die DSGVO ist nicht irgendeine weitere Verordnung, sondern europaweit Grundlage des Datenschutzes und zwar für Unternehmen und Behörden jeder Größe. Die Vorbereitungen auf die EU-Datenschutz-Grundverordnung sind die beste Gelegenheit für Organisationen aller Art, das eigene interne Sicherheitssystem einer kritischen Prüfung zu unterziehen sowie Sicherheitslücken zu identifizieren und zu schließen.

Autor: juj

Bildautor: KID

Die wichtigsten Anforderungen der Verordnung:

  1. Recht auf Vergessen: Organisationen müssen personenbezogene Daten auf Anfrage unverzüglich löschen.
  2. Privacy by Design: Die in Organisationen eingesetzten Systeme und Technologien müssen das Prinzip der Datensparsamkeit befolgen.
  3. Melden von Datenpannen: Organisationen müssen bei einer Datenpanne die Aufsichtsbehörden und die Betroffenen innerhalb von 72 Stunden informieren.
  4. Datenschutz-Folgeabschätzung: Organisationen müssen Risiken und mögliche Folgen für die Betroffenen bei der Verarbeitung von sensiblen personenbezogenen Daten bewerten.
  5. Freiwillige Einwilligung: Organisationen müssen eine Einwilligung zur Sammlung personenbezogener Daten einholen; Betroffene können diese jederzeit widerrufen.
  6. Datenübertragbarkeit: Organisationen müssen Betroffenen ihre personenbezogenen Daten in einem gebräuchlichen Format bereitstellen.

Das sollte bis zum Stichtag erledigt sein:

  1. Benennung eines dedizierten EU-DSGVO-Experten, der die Abläufe und Prozesse der Verwaltung sowie die interne Technologielandschaft genau kennt.
  2. Verschaffung eines Überblicks über die vorhandene Sicherheitsorganisation und die Sicherheitssysteme.
  3. Entscheidung zur Implementierung eines Informationssicherheitsmanagementsystem (ISMS). Für den kommunalen Bereich empfiehlt sich idealerweise das pragmatische Vorgehensmodell gem. ISIS12, welches auf einem ggü. dem BSI-Grundschutzmodell reduzierten Maßnahmenkatalog basiert.
  4. Kritische Prüfung der eingesetzten Maßnahmen für den Schutz sensibler Daten: So bietet beispielsweise eine Kombination aus Benutzername und Passwort längst keinen ausreichenden Schutz mehr vor dem Zugriff auf sensible Daten. Eine sichere Zwei-Faktor-Authentifizierung erhöht nicht nur die Datensicherheit, sondern kann auch Risiken vorbeugen, wie z.B. der versehentlichen Löschung von Kundendaten.
  5. Die Schaffung der technischen Voraussetzungen für die Umsetzung der Verordnung schaffen (beispielsweise für das Löschen personenbezogener Daten nach Aufforderung).
  6. Kommunikationsabläufe definieren und dokumentieren – mit Betroffenen, deren Daten gelöscht oder transferiert werden sollen, sowie intern hinsichtlich der eigenen Mitarbeiter.
  7. Vereinbarungen und Verträge mit Lieferanten daraufhin überprüfen, ob auch sie von den Vorgaben der EU-DSGVO betroffen sind und sie einhalten.
  8. Sensible Daten klassifizieren, um eine Datenschutz-Folgenabschätzung erstellen zu können.
  9. Alle relevanten Sachgebiete und Fachbereiche der Verwaltung einbinden, um Lücken im System zu verhindern und zu gewährleisten, dass alle Anforderungen mitberücksichtigt werden.

Das fällt unter „besonders schützenswerte Daten“:

  1. Persönliche Merkmale, wie ethnische Herkunft, Wohnort, Größe, Gewicht, Augenfarbe, Konfession, Sexualleben und sexuelle Ausrichtung sowie vergleichbare Daten im höchstpersönlichen Lebensbereich des Betroffenen einschließlich Datenformaten, die solche Daten anderer Form wiedergeben, wie zum Beispiel Bilder, Videos
  2. Gesundheitsdaten, einschließlich Daten aus der Erbringung von Gesundheitsdienstleistungen und Daten, aus denen auf den Gesundheitszustand des Betroffenen geschlossen werden kann.
  3. Persönliche Vorlieben, wie zum Beispiel Einkaufsverhalten, Zahlungsverhalten, Bonitätsauskünfte (auch solche, die von Dritten bezogen werden).
  4. Kreditkarten-, Bankinformationen.
  5. Fingerabdruckinformation aus entsprechenden Smartphones.
  6. Geo-Daten, wie regelmäßige Aufenthaltsorte, gesuchte und tatsächliche Fahrtziele, Daten aus ortsbasierten Diensten.
  7. Weltanschauliche Überzeugungen und politische Meinungen sowie Zugehörigkeit zu einer Gewerkschaft (z.B. als Information in Bewerbungen).
  8. Informationen über Aufenthaltsorte von Personen während der Arbeitszeit.