Am 28. Mai 2018 ist der Stichtag, ab dann gilt die EU-Datenschutz-Grundverordnung (DSGVO). Sie bringt einige neue Anforderungen an die technische und organisatorische Umsetzung des Datenschutzes, die nur durch Anpassungen an Prozessen und IT-Infrastruktur erreicht werden können. Die Zeit drängt, die Unternehmen müssen bereits jetzt mit Hochdruck an der Umsetzung der Verordnung arbeiten. Viele Firmen sind aber noch nicht so weit: Nach aktuellen Zahlen hat etwa jedes zweite Unternehmen noch überhaupt nicht mit der Umsetzung der Maßnahmen begonnen und kann gar nicht abschätzen, welcher Aufwand dafür notwendig ist.

Das ist fast schon fahrlässig, denn der Aufwand kann relativ hoch sein. Die Verordnung der Europäischen Kommission vereinheitlicht den Datenschutz in Europa und führt neue Regeln ein. Kern der Neuerungen sind die stärkeren Rechte der Nutzer. Sie haben zukünftig das Recht zu erfahren, welche Daten über sie gesammelt werden. Darüber hinaus müssen die Unternehmen den Nutzern klare und leicht verständliche Informationen geben, welche Daten zu welchem Zweck und auf welche Weise verarbeitet werden. Dazu gehört auch eine intensivere Information im Falle von Cyberangriffen und Sicherheitsbrüchen.

Grundsätze des Datenschutzes nach DSGVO

Es ist sehr wichtig, die bei den neuen Datenschutzregeln im Vordergrund stehende Perspektive des Verbrauchers umzukehren. Denn aus Sicht der Unternehmen entstehen hier neue Aufgaben für die IT-Organisation. Die DSGVO verwirklicht eine Reihe von teils neuen, teils altbekannten Datenschutzgrundsätzen, die unterschiedliche Konsequenzen für die Verarbeitung und Speicherung von Daten haben. Der folgende Überblick zeigt deutlich, dass viele Details beachtet werden müssen:

• Daten sollen ausschließlich zweckgebunden gespeichert und verarbeiten werden und zwar nur die notwendigen Daten. Sie müssen zudem sachlich richtig und auf dem neuesten Stand sein.
• Daten sind grundsätzlich nur so lange zu speichern, wie es für die Verarbeitungszwecke erforderlich ist. Dies bedeutet, dass nicht mehr notwendige Daten gelöscht werden müssen.
• Die DSGVO erfordert ein transparentes Zugriffsmanagement, sodass sich die Datenverarbeitung lückenlos verfolgen lässt.
• Die Grundsätze der Integrität und Vertraulichkeit von Daten erfordern ein Identity & Access-Management (IAM), bei dem nur zulässige Zugriffe anhand von Rollenkonzepten möglich sind.
• Die IT-Organisation muss darüber hinaus in der Lage sein, die Daten zu pseudonymisieren, zu verschlüsseln, Auskünfte über die gespeicherten Daten zu geben und sie auch wieder zu löschen.

Diese Grundsätze sind entweder bereits Bestandteil des alten Bundesdatenschutzgesetzes gewesen oder entsprechen den Anforderungen für Datensicherheit – die meisten Unternehmen werden also bereits in weiten Teilen DSGVO-konform vorgehen. Doch es gibt einige Neuerungen, die nicht zu unterschätzen sind, beispielsweise die Auskunfts- und Löschrechte. Die IT muss sich auf entsprechende Anfragen einstellen und die Prozesse und technischen Vorkehrungen dafür schaffen. Es ist davon auszugehen, dass nach Mai 2018 allmählich, aber zunehmend Anfragen dieser Art an die Unternehmen gestellt werden. Allerdings ist im Moment noch nicht absehbar, wie viele Kunden eines Unternehmens ihre neuen Rechte auch tatsächlich nutzen wollen. Hier ist es wichtig, in Zusammenarbeit mit dem Rechenzentrum frühzeitig vorzusorgen und eine möglichst leicht skalierbare Lösung zu schaffen.

Rechte für Verbraucher, Pflichten für die Wirtschaft

Neben den Auskunftsrechten der Verbraucher gibt es zudem eine neue Rechenschaftspflicht (Art. 22) der Unternehmen, die durch die Haftung der Datenschutzbeauftragten ergänzt wird. Dadurch entsteht de facto eine Beweislastumkehr: Die Unternehmen müssen beweisen können, dass sie ihre Daten im Sinne der DSGVO verarbeiten und speichern. Verstöße sind mit empfindlichen Strafen bewehrt, Schadensersatzforderungen sind im Einzelfall ebenfalls möglich. Deshalb sollten die Unternehmen noch vor dem Stichdatum in einer Art „Transparenzbericht“ die Umsetzung aller in der DSGVO empfohlenen Maßnahmen erläutern, um so jederzeit schnell Auskunft geben zu können.

Hierzu wird es sicher in naher Zukunft Zertifizierungsverfahren geben, die von den Unternehmen auch genutzt werden sollten. Leider haben die EU-Behörden bisher noch keine Zertifizierungsverfahren genehmigt, sodass diese vergleichsweise einfache Lösung für die Unternehmen derzeit nicht möglich ist. Die vor allem bei größeren Unternehmen verbreiteten ISO-Zertifizierung 27001 und IT-Grundschutz enthalten zwar bereits wesentliche Elemente der DSGVO-Anforderungen, sind allerdings nach Ansicht von Datenschutzexperten nicht ausreichend.

Hier kann nur die Empfehlung gegeben werden, alle notwendigen Maßnahmen umzusetzen und ausführlich zu dokumentieren. Um diese Imitation zu erleichtern, haben einzelne IT-Unternehmen interne Zertifizierungsprozesse für ihre Dienstleister und Geschäftspartner entwickelt. Ein Beispiel ist das von der Deutschen Telekom und ihren Konzerngesellschaften genutzte PSA-Verfahren (Privacy and Security Assessment). Es berücksichtigt alle für die DSGVO notwendigen Punkte und muss von Lieferanten der Telekom durchlaufen werden.

Ein weiterer wichtiger Aspekt ist die Auftragsdatenverarbeitung, also das Outsourcing von IT-Leistungen an Dienstleister und Cloudprovider. Die unterschiedlichen Pflichten aus der DSGVO müssen wie bisher vom Auftraggeber erfüllt werden, erfordern aber die Zusammenarbeit mit dem Auftragnehmer. Cloudprovider und Kommunikationsanbieter wie die Telekom-Tochter Itenos haben bereits sehr früh reagiert und sind dabei, ihre Prozesse und Sicherheitsstandards sowie das Vertrags- und Dokumentationsmanagement auf die Anforderungen der EU-Datenschutzverordnung umzustellen.

Nutzer von Managed Services haben Vorteile

Unternehmen, die Cloud inklusive Managed Services nutzen, haben bei der Umsetzung der DSGVO einen großen Vorteil. Denn Anbieter von Hosting, Cloud Services und zusätzlichen Managed Services für Anwendungen sind in aller Regel für Informationssicherheit zertifiziert, sodass die Rechenschaftspflicht bereits zu wichtigen Teilen erfüllt ist. Lediglich die genutzten Anwendungen und die Prozesse für die Bearbeitung und Speicherung der Daten müssen bei Bedarf an die neuen Datenschutzregeln angepasst werden.

Dienstleister und auftraggebendes Unternehmen müssen hier in einer Partnerschaft zusammenarbeiten. Die neuen Anforderungen der DSGVO erfordern ein gemeinschaftliches Auftreten bei Vertragsgestaltung, Dokumentation und Sicherheitsmaßnahmen. Grundsätzlich ist beispielsweise die Umsetzung der Kundenauskünfte nach DSGVO eine Sache des Unternehmens und nicht seines Dienstleisters. Allerdings muss hierzu das Auslesen der Daten geregelt werden. Ebenfalls möglich ist die Entwicklung einer hierfür geeigneten Anwendung, die vom Datenschutzbeauftragten genutzt werden kann. In beiden Fällen müssen Cloudprovider und Unternehmen Hand in Hand arbeiten, um eine möglichst effiziente Behandlung solcher Anfragen zu gewährleisten.