9. - 11. Oktober 2018 // Nürnberg

it-sa Newsroom

Europäische Datenschutz-Grundverordnung ante portas

© © istockphoto.com/froxx

In rund einem halben Jahr endet die Übergangsfrist, ab dann gilt die europäische Datenschutz-Grundverordnung. Doch noch existieren eklatante Mängel bei notwendigen innerbetrieblichen Anpassungen. Das kann teuer werden.

 

Auf die kommende europaweite Datenschutzneuregelung sind viele Unternehmen noch nicht hinreichend vorbereitet; eine neue Studie bescheinigt insbesondere deutschen Firmen deutlichen Nachholbedarf. Demnach räumen fast die Hälfte der dazu befragten Führungskräfte Defizite in der Vorbereitung ein. Das sei der schlechteste Wert in der EMEA-Region, heißt es dazu in der Untersuchung. „Viele Unternehmen scheitern schon am ersten Schritt in Richtung DSGVO-Compliance: Am Wissen, wo Daten lagern, was sie enthalten und inwieweit sie relevant sind“, schreiben die Marktforscher.

Besondere Probleme bereitet den Befragten demnach die Meldepflicht bei Datenschutzverstößen. In solchen Fällen bleibt betroffenen Unternehmen zukünftig nur 72 Stunden Zeit, um diese zu melden. Große Schwierigkeiten verursache laut der Erhebung auch das sogenannte Recht auf Vergessen, dem gemäß Nutzer oder Kunden auf Löschung veröffentlichter Daten bestehen können.

Studie zeigt Mängel auf

Für die Studie wurden 900 Führungskräfte aus Unternehmen verschiedener Branchen mit mindestens 1.000 Mitarbeitern in EU- und Nicht-EU-Ländern befragt. Weitere Voraussetzung war, dass geschäftliche Beziehungen im EU-Raum bestehen. Denn die neue europäische Datenschutz-Grundverordnung (DSGVO) betrifft nicht nur Unternehmen und Einrichtungen innerhalb der EU, sondern alle, die Daten von EU-Bürgern speichern. Also etwa auch die großen Internet-Giganten wie Amazon oder Facebook. Ein Firmensitz in Dublin hilft ihnen zukünftig nicht mehr, denn auch Irland ist dann keine Datenschutzoase mehr. „Selbst wenn man seinen Server auf die Fidschi-Insel stellt, nützt das niemandem mehr etwas“, kommentierte Bundesjustizminister Heiko Maas zur Verabschiedung der Verordnung.

Den Betroffenen bleibt nur noch bis Mai 2018 Zeit, die Kriterien zu erfüllen, denn dann endet die Übergangsfrist und die DSGVO, im Englischen als General Data Protection Regulation (GDPR) bezeichnet, wird wirksam. Bei Verletzungen der Verordnung drohen empfindliche Geldbußen: Bis zu zwei Prozent des weltweit erzielten Jahresumsatzes oder bis zu zehn Millionen Euro können fällig werden, in einigen Fällen sogar das Doppelte. Bei einem Unternehmen wie Google entspräche das einem Milliardenbetrag, denn der Umsatz des Konzerns lag laut der Nachrichtenagentur dpa im vorletzten Jahr bei 66 Milliarden US-Dollar.

Vorteile durch Datenschutz

Für international tätige europäische Unternehmen bringt die DSGVO durchaus Vorteile: Bisher beklagten viele von ihnen den kostenintensiven Aufwand, um ihre Geschäftstätigkeiten an die unterschiedlichen Datenschutzgesetze der 28 EU-Mitgliedsstaaten anzupassen. Die Europäische Kommission erwartet daher durch die EU-DSGV Einsparungen von insgesamt bis zu 2,3 Milliarden Euro pro Jahr.

Inzwischen haben Bundesregierung und Bundesrat auch die notwendige Novellierung des deutschen Datenschutzgesetzes, BDSG, verabschiedet. Denn einzelne Regeln des bisherigen Gesetzes mussten an die DSGVO angepasst werden. Außerdem blieb es den Mitgliedsstaaten vorbehalten, Ergänzungs- und Ausgestaltungsvorschriften festzulegen.

Abweichungen in Deutschland

Deutschland weicht insbesondere beim Schutz von Kindern und Jugendlichen von den europäischen Vorgaben ab. Die sehen vor, dass diese Personengruppe Online-Dienste wie Facebook oder WhatsApp schon ab 13 Jahren nutzen darf. Denn das ist das Mindestalter für eine rechtsverbindliche Einwilligungserklärung zur Datenverarbeitung. Nationales Recht darf aber davon abweichen – und das tut Deutschland: Das Mindestalter bleibt wie bisher bei 16 Jahren. Die Altersfrage zählte zu den größten Streitpunkten bei den Verhandlungen zur DSGVO.

Auch die Bestellung eines betrieblichen Datenschutzbeauftragten war ein solcher Streitpunkt und auch hier nutzt Deutschland die Möglichkeit, von den europäischen Regelungen abzuweichen. Im Wesentlichen bleibt für Deutschland die Vorgabe des bisherigen Datenschutzgesetzes bestehen, nach der Betriebe mit mehr als zehn Mitarbeitern einen Zuständigen bestellen müssen. Lediglich in den Details gibt es diverse Änderungen. Dafür stellt der hessische Landesdatenschutzbeauftragte einen Ratgeber zur Verfügung. Seine niedersächsische Kollegin bietet auf ihren Webseiten ein 10-Punktepapier zur Umsetzung der neuen Datenschutzregeln an. Ergänzend dazu hat die Gesellschaft für Datenschutz und Datensicherheit (GDD) eine sehr empfehlenswerte Gegenüberstellung von DSGVO und BDSG erstellt.

Die Komplexität der neuen Gesetze kann insbesondere kleine und mittlere Unternehmen überfordern. Auf der it-sa bieten zahlreiche Dienstleister Unterstützung zur Erzielung von Datenschutz-Compliance an.

_______________

Neuheiten rund um die it-sa und News aus der IT-Sicherheitswelt finden Sie auch im it-sa Security Newsletter.

Zur Newsletter-Anmeldung

top