Die europäischen Regulierungsbehörden meinen es ernst mit ihrer Datenschutzreform. Die Datenschutz-Grundverordnung (DS-GVO) ist eine komplette Überarbeitung der bisherigen EU-Datenschutzrichtlinie zur Verarbeitung personenbezogener Daten und steht kurz vor dem Abschluss.
In einer Aussendung des Datensicherheits- und Governance-Experten Varonis wird auf ein baldiges Ende einer "langen, episch anmutenden Reise der DS-GVO in den letzten beiden Jahren" hingewiesen. "Nachdem der EU-Rat nun der eigenen Version zugestimmt hat", heißt es, "steht einer abschließenden Diskussionsrunde zur Kompromissfindung mit dem EU-Parlament nichts mehr im Wege. Die DS-GVO wird voraussichtlich Ende 2015 (oder Anfang 2016) verabschiedet und 2017 in Kraft treten. Alle Organisationen – auch US-amerikanische multinationale Konzerne, die personenbezogene Daten aus der EU verarbeiten – müssen also bald strengere Regeln erfüllen, um nachzuweisen, dass sie die Daten aktiv schützen."
Anhand des aktuellen Vorschlags des EU-Rats lässt sich in etwa vermuten, wie die finale DS-GVO aussehen wird. Unternehmen sollten sich insbesondere zu den fünf folgenden Punkten Gedanken machen, raten die Datensicherheitsspezialisten:
1. Prinzipien des „Privacy by Design“ implementieren
Privacy by Design (PbD) wurde von der ehemaligen Informationsfreiheits- und Datenschutzbeauftragten von Ontario, Ann Cavoukian, entwickelt und hat Sicherheitsexperten, politische Entscheidungsträger und Regulierungsbehörden stark beeinflusst. Cavoukian geht davon aus, dass man Big Data und Datenschutz unter einen Hut bringen kann. Für ihre Botschaft einer PbD-Vision gilt es einige grundlegende Maßnahmen zu ergreifen: möglichst wenige Verbraucherdaten (insbesondere personenbezogene Daten) sammeln, Daten nicht länger aufbewahren als unbedingt nötig und den Konsumenten den Zugriff auf und die Kontrolle über ihre Daten ermöglichen.
Die EU schließt sich dieser Sichtweise an und befürwortet PbD. In Artikel 23 sowie an anderen Stellen der neuen Verordnung wird mehrmals darauf Bezug genommen. Man lehnt sich wohl nicht allzu weit aus dem Fenster, wenn man behauptet, dass man die DS-GVO erfüllt, sobald man PbD implementiert hat.
Da die Zeit einigermaßen knapp bemessen ist, hilft unter Umständen ein Spickzettel, der Ihnen die Prinzipien von PbD erläutert und bei Entscheidungen zum Thema Datensicherheit hilfreich sein kann.
2. Das Recht auf Vergessenwerden
Das umstrittene „Recht auf Vergessenwerden“ wird in Europa bald gesetzlich verankert. Für die meisten Unternehmen bedeutet das, dass Verbraucher das Recht haben, ihre Daten zu löschen. In Artikel 17 des aktuellen Vorschlags für die DS-GVO heißt es: „Der für die Verarbeitung Verantwortliche ist verpflichtet, personenbezogene Daten ohne ungebührliche Verzögerung zu löschen, insbesondere personenbezogene Daten, die erhoben wurden, als die betroffene Person ein Kind war, und die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen zu verlangen, dass sie [sic: die] betreffende[n] personenbezogene[n] Daten ohne ungebührliche Verzögerung gelöscht werden.“
An dieser Stelle wird das Recht des Vergessenwerdens ganz deutlich.
Doch was geschieht, wenn der für die Verarbeitung Verantwortliche die personenbezogenen Daten an Dritte wie zum Beispiel einen cloudbasierten Dienst zur Aufbewahrung oder Verarbeitung weitergibt? Der Arm der EU-Gesetze reicht auch dort hin: Die Cloud-Dienste, die personenbezogene Daten verarbeiten, müssen diese ebenfalls löschen, wenn der für die Verarbeitung Verantwortliche es verlangt.
Übersetzt heißt das: Der Verbraucher beziehungsweise eine betroffene Person kann ein Unternehmen jederzeit auffordern, die Daten zu löschen. In der EU gehören die Daten dem Volk!
3. US-amerikanische Konzerne müssen Daten schützen
Ich möchte hier auf einen Blog-Beitrag von Andy Green verweisen, in dem er an große US-amerikanische Konzerne appelliert, die Daten von EU-Bürgern erfassen, ihre Datenschutzrichtlinien so zu implementieren, als ob sich die Server in der EU befänden.
Um dieses „extraterritoriale“ Prinzip geht es zu Anfang der vorgeschlagenen DS-GVO. Für alle, die es interessiert, hier der Originaltext in seiner ganzen bürokratischen Schönheit:
Der grenzüberschreitende Fluss personenbezogener Daten (...) ist für die Entwicklung des internationalen Handels und der grenzüberschreitenden Zusammenarbeit notwendig. (...) Der durch diese Verordnung unionsweit garantierte Schutz natürlicher Personen sollte jedoch bei der Übermittlung personenbezogener Daten aus der Union an für die Verarbeitung Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen nicht unterminiert werden.
Es gibt zwar noch einige Schwierigkeiten bei der Umsetzung dieser Bestimmungen. Doch nachdem die USA behaupten, dass ihre Datenschutzgesetze auch für Daten auf irischen Servern gelten, scheint es nur natürlich, dass die EU eine ähnliche Aussage über die in den USA gespeicherten Daten ihrer Bürger treffen kann!
4. Mit welchen Geldbußen ist zu rechnen?
Für ernsthafte Verstöße (zum Beispiel die Verarbeitung sensibler Daten ohne Zustimmung der jeweiligen Person oder aufgrund sonstiger Rechtsgründe) können die Regulierungsbehörden Strafen verhängen. Hier gibt es Unterschiede zwischen der Version des EU-Rats und der des Parlaments. Der EU-Rat sieht Geldbußen von bis zu einer Million Euro beziehungsweise zwei Prozent des weltweit erzielten Jahresumsatzes – also der Einnahmen – eines Unternehmens vor. Das vom Parlament vorgesehene Strafmaß wäre mit bis zu 100 Millionen Euro beziehungsweise fünf Prozent des weltweiten Jahresumsatzes deutlich höher. Darüber werden sich die beiden EU-Organe in den nächsten Monaten noch einigen müssen.
Fakt ist, dass es sich um beträchtliche Summen handeln wird – auch für US-amerikanische Konzerne.
5. Ziehen Sie in Erwägung, einen Datenschutzbeauftragten zu ernennen
Für wichtige Projekte – und die DS-GVO der EU ist ein riesiges Projekt – braucht man einen Verantwortlichen. Im aktuellen Vorschlag für die DS-GVO soll der Datenschutzbeauftragte dafür zuständig sein, Zugriffskontrollen einzurichten, Risiken einzudämmen, Compliance sicherzustellen, Anfragen zu beantworten, Sicherheitsverletzungen innerhalb von 72 Stunden zu melden und sogar verlässliche Sicherheitsrichtlinien zu erstellen.
Heißt das nun, dass Ihr Unternehmen einen Datenschutzbeauftragten benennen muss oder nicht? Hier sind sich der EU-Rat und das Parlament ebenfalls uneinig. Der Rat würde es gerne jedem Mitgliedsstaat selbst überlassen, ob dies eine obligatorische Anforderung sein soll oder nicht.
Empfehlenswert ist auf jeden Fall, einen Mitarbeiter im Unternehmen inoffiziell als Datenschutzbeauftragten zu benennen. Es ist absolut sinnvoll, dass sich ein Manager oder eine hochrangige Führungskraft, schwerpunktmäßig um die Umsetzung der EU-Regeln kümmert.