Pflicht und Kür beim Datenschutz

Digitales

Recht - Am 25. Mai tritt die europäische Datenschutzgrundverordnung in Kraft. Mit der Richtlinie können Unternehmen ihr Vertrauensverhältnis zu Kunden und Mitarbeitern stärken.

28. März 2018

Die neue Verordnung ist eine Modernisierung für wirksamen und konkreten Schutz personenbezogener Daten in Europa. Unternehmen haben die Chance, ihr Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern zu untermauern, wenn sie die Richtlinie umsetzen.

Um nachweisen zu können, dass ein Unternehmen datenschutzrechtliche Vorgaben einhält, muss es ein Datenschutzmanagementsystem einführen. Ein solches Verzeichnis gewährleistet Transparenz und Qualität, auch gegenüber Dritten.

Die EU-DSGVO schließt Backdoor-Lösungen rigoros aus. Damit verschafft sie europäischen Unternehmen einen Vorteil gegenüber dem Wettbewerb. Backdoors bezeichnen einen Teil einer Software, der es ermöglicht, die normale Zugriffssicherung zu einem Computer oder einer sonst geschützten Funktion eines Computerprogramms zu umgehen und unbefugten Zugang zu erlangen.

Grundsätze

Konkret wird die Modernisierung des Datenschutzes durch mehrere Grundsätze gewährleistet, die in Art. 5 der EU-DSGVO festgelegt sind. Erstens: Rechtmäßigkeit und Transparenz. Ohne eine Ermächtigungs- beziehungsweise Rechtsgrundlage dürfen keine personenbezogenen Daten erhoben und benutzt werden.

Zweitens: Zweckbindung. Die personenbezogenen Daten, für die eine Ermächtigungsgrundlage vorhanden ist, dürfen nur zu dem Zweck verwendet werden, für den ebendiese Ermächtigung erteilt wurde.

Drittens: Datenminimierung. Die Datenverarbeitung muss auf das notwendigste Maß beschränkt werden. Viertens: Richtigkeit von Daten. Bei falschen und unsachlichen Daten hat das Datensubjekt sofortigen Anspruch auf Berichtigung beziehungsweise Löschung. Fünftens: Speicherbegrenzung. Die neue Verordnung besagt, dass die Datenspeicherung auf den Zeitraum der Verarbeitung beschränkt ist und unbegrenzte Datenspeicherung vermieden werden muss. Sechstens: Integrität und Vertraulichkeit. Die personenbezogenen Daten müssen angemessen vor Manipulation oder Fälschung geschützt werden. Da die Zahl der Cyberangriffe steigt, hat dieses Prinzip einen neuen Stellenwert. Siebtens: Rechenschaftspflicht. Die Einhaltung dieser Grundsätze muss nachgewiesen werden. Unternehmen müssen die Vertraulichkeit, Integrität und Belastbarkeit der Systeme und Dienste sicherstellen und die Verfügbarkeit der personenbezogenen Daten gewährleisten sowie eine Wiederherstellung der Daten ermöglichen.

Herausforderungen

Die Wahl der Technologien und Maßnahmen soll gemäß der Wahrscheinlichkeit und Schwere des Risikos für die Rechte der Betroffenen abgewogen werden. Vor allem diese Risikoabschätzung stellt eine erhöhte Anforderung an Unternehmen dar. Eine weitere Herausforderung sind die erweiterten Informations- und Auskunftspflichten gegenüber Betroffenen sowie eine generelle Ausweitung der Betroffenenrechte.

Abhilfe

Es empfiehlt sich die Einführung eines Informationssicherheitsmanagementsystems. Darin werden Verfahren und Regeln aufgestellt, die dafür sorgen, dass die Informationssicherheit im Unternehmen definiert, umgesetzt und kontinuierlich verbessert wird. Um dem erhöhten Anspruch der EU-DSGVO gerecht zu werden, bedarf es zudem IT-Sicherheitslösungen, die auf allen Ebenen zusammenarbeiten. Dazu gehört das Einrichten sicherer Netzwerke, des Monitorings, der Endpoints, Applikationen und Clouds. Datenschutz und Informationssicherheit werden berücksichtigt und die EU-DSGVO zur Chance für das Unternehmen.

Helko Kögel, Rohde & Schwarz Cybersecurity

Erschienen in Ausgabe: 03/2018