Datenschutz auf Europäisch

Ab 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung der Europäischen Union. Unternehmen müssen sich rechtzeitig auf die strengeren Regeln zum Schutz persönlicher Daten einstellen – zumal bei Verstößen drastische Strafen drohen.

Cybersicherheit

er Skandal war noch weitaus größer als zunächst angenommen: 2016 räumte der US-amerikanische Internetkonzern Yahoo ein, dass Hacker bereits 2013 die persönlichen Daten von rund einer Milliarde Nutzer erbeutet hatten. Kreditkarten- oder Kontodaten waren nach Angaben des Unternehmens zwar nicht unter den erbeuteten Daten, doch die Cyberkriminellen hatten sich Zugriff auf Namen, E-Mail-Adressen oder auch Telefonnummern der Yahoo-Kunden verschafft. Im Oktober 2017 ließ der neue Yahoo-Eigentümer Verizon dann die Bombe platzen: Es seien nicht „nur“ eine Milliarde Datensätze in die Hände der Kriminellen gefallen – sondern sämtliche drei Milliarden Nutzerkonten vom Datendiebstahl betroffen. Die Täter? Noch immer unbekannt. Experten gehen mittlerweile von einer „staatlichen Stelle“ als Angreifer aus.

 

Um die Gefahr solcher Datendiebstähle zumindest ein Stück weit zu verringern und die persönlichen Daten der europäischen Bürger besser zu schützen, tritt am 25. Mai 2018 die neue „Datenschutz-Grundverordnung“ (DSGVO) der Europäischen Union in Kraft. Sie löst in Deutschland das bisher geltende Bundesdatenschutzgesetz ab und beinhaltet neue Pflichten für alle Unternehmen, die persönliche Daten von EU-Bürgern verwalten. Sie gilt also genauso für US-amerikanische Techgiganten wie für deutsche Handwerksunternehmen, die Daten ihrer Auftraggeber digital abspeichern.

 

Herausforderung für deutsche Unternehmen
Mit dem neuen Gesetz gehen zum Teil deutliche Anpassungen der bisherigen Datenschutzpraxis einher. Trotz der zweijährigen Übergangsphase vor dem Inkrafttreten der DSGVO schienen zuletzt noch viele deutsche Unternehmen auf die neuen Herausforderungen in Sachen Datenschutz unzureichend vorbereitet: In einer repräsentativen Umfrage des IT-Verbands Bitkom über unterschiedliche Branchen hinweg gab im September 2017 ein Drittel der Unternehmen an, sich bisher noch nicht mit den neuen Regelungen beschäftigt zu haben. Nur 19 Prozent der Firmen, die sich bereits mit der DSGVO befasst haben, gehen davon aus, dass sie die neuen Vorgaben bis Ende Mai vollständig umsetzen können – knapp die Hälfte ist der Ansicht, die neuen Regelungen nur zu etwa 10 Prozent erfüllen zu können.

 

Dass sich viele deutsche Unternehmen noch nicht umfassender mit der DSGVO befasst haben, ist überraschend. Und es birgt Gefahren nicht nur für die Kunden, deren Daten möglichst schnell besser geschützt werden sollen, sondern auch für die Unternehmen selbst. Denn mit den neuen Regelungen sind auch die möglichen Sanktionen für Verstöße deutlich ausgeweitet worden: Bisher konnten diese laut Bundesdatenschutzgesetz bereits mit Bußgeldern von bis zu 300.000 Euro geahndet werden. Die DSGVO sieht nun sogar Geldstrafen von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes vor. Wichtig ist in diesem Zusammenhang auch die mit der DSGVO einhergehende Umkehr der Beweislast: Verstöße müssen nicht länger von den Behörden nachgewiesen werden, sondern die Unternehmen müssen nachweisen, dass sie die geltenden Regeln einhalten. Nicht zuletzt aus diesem Grund erscheint es mehr als ratsam, die Umsetzung der neuen Vorgaben möglichst schnell anzugehen.

D

Spionage, Sabotage, Datendiebstahl

Durch Cyberkriminalität ist deutschen Unternehmen in den vergangenen beiden Jahren ein Schaden in Höhe von rund
55 Milliarden Euro pro Jahr entstanden.

Das sind die Täter

53%
aller deutschen Unternehmen sind in den vergangenen

zwei Jahren Opfer von Hacker-Angriffen geworden.

Das wird gestohlen

Aktuelle oder ehemalige Mitarbeiter

62%

Wettbewerber, Kunden usw.

41%

Hobby-Hacker

21%

Organisierte Kriminalität

7%

E-Mails

41%

Finanzdaten

36%

Kundendaten

17%

Patente o.Ä.

11%

Nachrichtendienste

3%

In 17% der Unternehmen wurden sensible Daten gestohlen.

Mitarbeiterdaten

10%

Quelle: Bitkom. Stand: Juli 2017

Die Regelungen im Überblick

  • Einwilligung

    Unternehmen dürfen persönliche Daten grundsätzlich erfassen, verarbeiten und speichern, sofern dies für die Erfüllung vereinbarter Leistungen erforderlich ist. Wie bisher setzt die darüber hinausgehende Verarbeitung das Einverständnis der jeweiligen Person voraus. Die Anforderungen an die Einwilligung steigen jedoch mit der DSGVO. So muss der Nutzer aktiv seine Zustimmung signalisieren – etwa indem er im Internet ein Häkchen im entsprechenden Feld setzt. Eine stillschweigende Zustimmung oder das Entfernen eines voreingestellten Häkchens, falls die weitere Verarbeitung nicht  gewünscht wird, reichen nicht mehr aus. Darüber hinaus dürfen die Daten nach wie vor nur für den im Vorfeld festgelegten Zweck verarbeitet werden, wenngleich Ausnahmen möglich sind. Eine wichtige Neuerung gibt es bei Jugendlichen: Das Mindestalter für die Einwilligung kann national von 16 auf 13 Jahre herabgesetzt werden.

     

    E-Mail-Werbung ist nach der DSGVO grundsätzlich auch ohne Einwilligung erlaubt. Demgegenüber steht jedoch das deutsche Gesetz gegen den unlauteren Wettbewerb (UWG), das E-Mail-Werbung ohne vorherige Zustimmung des Betroffenen als „unzumutbare Belästigung“ einstuft. Das UWG ist vorrangig zu beachten. Grundsätzlich bleiben die aktuellen Anforderungen also bestehen – wenngleich die Anforderungen an die Einwilligung des Betroffenen steigen. In diesem Zusammenhang gilt es jedoch, die weiteren Entwicklungen hinsichtlich der geplanten neuen ePrivacy-Verordnung zu beobachten (siehe unten).

  • Informations- und Auskunftspflichten

    Unternehmen müssen ihren Kunden künftig umfassende Informationen über die gespeicherten Daten zur Verfügung stellen können. Dazu gehören beispielsweise die Rechtsgrundlage, auf der die Daten gespeichert werden, sowie Angaben zur Dauer der Speicherung – oder, falls dies nicht möglich ist, zu den Kriterien für die Speicherdauer.

  • Löschpflicht

    Mit der DSGVO führt die EU das sogenannte „Recht auf Vergessenwerden“ ein: Möchte ein Bürger nicht, dass seine Daten gespeichert werden, so müssen diese gelöscht werden, sofern kein berechtigter Grund für die Speicherung vorliegt.

  • Meldepflicht bei Datenpannen

    Nach den Vorschriften des Bundesdatenschutzgesetzes musste ein Unternehmen Datenpannen nur melden, wenn besonders sensible Informationen wie Gesundheits- oder Kontoinformationen betroffen waren. Mit Inkrafttreten der DSGVO muss nun jeder Vorfall innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden, wenn er ein „Risiko“ für die Rechte der Betroffenen darstellt. Außerdem muss der Betroffene selbst informiert werden, wenn die Datenpanne „voraussichtlich“ zu einem hohen Risiko führt.

  • Datenschutz-Folgenabschätzung

    Birgt ein Datenverarbeitungsverfahren ein besonders hohes Risiko – etwa weil es um sensible Daten geht –, so muss gemäß DSGVO eine Datenschutz-Folgenabschätzung durchgeführt werden. Dabei wird überprüft, ob die geplanten Sicherheitsverfahren ausreichen, um die Daten wirksam zu schützen. Besteht ein hohes Risiko, muss die Aufsichtsbehörde konsultiert werden. Auch bei der Einführung neuer Technologien in der Datenverarbeitung ist eine Datenschutz-Folgenabschätzung notwendig.

  • Datenschutzbeauftragter

    Mit Blick auf die Ernennung eines Datenschutzbeauftragten sieht die DSGVO eine sogenannte Öffnungsklausel vor: EU-Mitgliedstaaten können nationale Sonderregelungen schaffen. Die Bundesregierung hat bereits signalisiert, das bisher bestehende System im Grundsatz weiterführen zu wollen.

Datenschutz-Grundverordnung: Unternehmen sollten jetzt handeln
Unternehmer, die sich bisher noch nicht mit der DSGVO beschäftigt haben, sollten dementsprechend rasch handeln. Dabei gilt es zunächst zu prüfen, welche Bereiche des Unternehmens von der neuen Gesetzgebung betroffen sein können – und inwiefern die aktuellen Datenschutzverfahren ausreichen. Alleine dieser Prozess kann je nach Unternehmensgröße viel Zeit in Anspruch nehmen. Im Anschluss an die Risikoanalyse gilt es, einen Plan für die notwendigen Anpassungen aufzustellen und entsprechende personelle sowie finanzielle Ressourcen für die Umsetzung zur Verfügung zu stellen. Den größten Aufwand erfordert dabei nach Bitkom-Angaben die Erstellung eines Verfahrensverzeichnisses, in dem alle Datenverarbeitungsverfahren dokumentiert werden müssen. Zwar war dies auch unter dem bisher geltenden Datenschutzrecht vorgeschrieben. Allerdings haben laut Bitkom zahlreiche Betriebe noch keine entsprechende Dokumentation. Aufgrund der hohen Komplexität und des engen Zeitfensters kann es ratsam sein, einen auf Datenschutzrecht spezialisierten Juristen oder externen Datenschutzbeauftragten einzubinden. Sind entsprechende Prozesse etabliert, gilt es, diese permanent zu überprüfen und bei Bedarf anzupassen.

 

Bei ihren Vorbereitungen sollten die Unternehmen darüber hinaus die Diskussion um die sogenannte ePrivacy-Richtlinie im Auge behalten. Dabei handelt es sich um eine geplante Ergänzung zur DSGVO für die elektronische Kommunikation. So ist beispielsweise vorgesehen, für die Betreiber von Internetseiten die Hürden zu erhöhen, über sogenannte Cookies Nutzerprofile auf pseudonymer Basis erstellen zu dürfen. Künftig soll dies nicht mehr ohne die ausdrückliche Erlaubnis des Nutzers geschehen dürfen. Während Datenschützer der ePrivacy-Richtlinie positiv gegenüberstehen, kritisieren Wirtschaftsverbände sie als unnötig. Wie das Gesetz schließlich aussehen wird, war bei Redaktionsschluss dieser Perspektiven-Ausgabe noch offen: Zwar hat das EU-Parlament Ende Oktober 2017 einem ersten Entwurf zugestimmt – die Verhandlungen zwischen dem Parlament und den EU-Mitgliedstaaten stehen allerdings noch aus.

Spektakuläre Datendiebstähle

145

Millionen …

Millionen ...

143

... US-Amerikaner waren vom Cyberangriff auf den US-Finanzdienstleister Equifax im Frühjahr 2017 betroffen. Besonders heikel: Unter den erbeuteten Daten befanden sich  zahlreiche sensible Daten wie Sozialversicherungs- oder Kreditkartennummern.

Millionen …

117

... gehackte Accounts von Nutzern des Karrierenetzwerks LinkedIn wurden im vergangenen Jahr zum Kauf angeboten. Der Preis: 5 Bitcoins – damals umgerechnet knapp 2.000 Euro. Offensichtlich stammten die Daten aus einem Cyberangriff aus dem Jahr 2012.

... Nutzer des Online-Auktionshauses eBay wurden im Jahr 2014 vonseiten des Unternehmens aufgefordert, ihre Passwörter zu ändern. Über gehackte Mitarbeiterzugänge waren Kriminelle ins Firmennetz und an die Daten von bis zu 145 Millionen Kunden gelangt.

Checkliste

Wie Sie sich vor einem Angriff auf Ihre Daten besser schützen können, erfahren Sie hier. (22 kB)

  • Linkliste

    Informationen des Bundesbeauftragten für Datenschutz zur DSGVO sowie die Verordnung im Wortlaut finden Sie hier als PDF.

    FAQ zur DSGVO des Technologieverbands Bitkom finden Sie hier.

    Aktuelle Informationen des Bundesverbands Digitale Wirtschaft zur ePrivacy-Verordnung finden Sie hier.

    Informationen rund um Datenschutz finden Sie auf der Homepage der Gesellschaft für Datenschutz und Datensicherheit.

  • Bildnachweise

    Aufmacher-Video: iStockphoto / saginbay; Grfik: iStockphoto / IconicBestiary

Weitere Artikel

Deutschlandkarte unter der Lupe

Strategien

Wettbewerbsrecht: Wie viel Germany es sein muss

Was sich „Made in Germany“ nennt, muss auch im Wesentlichen aus Deutschland kommen. Die Rechtslage.

Panorama

Ausblick 2018: Was für Unternehmer wichtig ist

Der Jahresausblick in Sachen Gesetze, Steuern und Finanzen für mittelständische Unternehmer.

Serverraum im Tresor

Strategien

IT-Sicherheit: Effektiver Schutz vor Cyberattacken

Mit der zunehmenden Digitalisierung steigt auch die Zahl von Hackerangriffen. Wie Unternehmen ihre Daten schützen.

Perspektiven