Rechtsanwältin Dr. Bettina Kähler hat im Auftrag von Sophos einen Blick hinter die Kulissen der neuen EU-Datenschutzverordnung geworfen. Was es mit den neuen Vorschlägen auf sich hat und welche Auswirkungen sie auf Unternehmen haben, beschreibt sie in einer kleinen Blogserie.
Während wir im ersten Teil des EU-Datenschutz-Artikels auf die Inhalte der neuen Verordnung eingegangen sind, stehen dieses Mal die Auswirkungen für Unternehmen sowie potentielle To-Dos auf dem Programm.
Womit ist bei Datenschutzverstößen zu rechnen?
Die Sanktionen für Datenschutzverstöße sind noch Gegenstand der weiteren Verhandlungen. Sah der Entwurf des Parlaments noch eine deutliche Anhebung der finanziellen Sanktionen bei Datenschutzverstößen vor, schlug der Rat niedrigere Strafen vor. Im Fall eines erstmaligen
nicht-vorsätzlichen Verstoßes sind lediglich eine Verwarnung und nachfolgend regelmäßige Datenschutz-Audits vorgesehen. In anderen Fällen sollen die Datenschutzaufsichtsbehörden für Verstöße gegen die Einhaltung der Vorgaben der Verordnung Bußgelder verhängen können. Nach der Entschließung des Parlaments ist die Höhe der Geldbuße bis zu 100 Millionen Euro oder 5 % des weltweiten Jahresumsatzes des betroffenen Unternehmens vorgesehen (je nachdem, welcher Betrag höher ist), während der Rat es Presseberichten zufolge bei 250.000 EUR Höchststrafe und 0,5% des Jahresumsatzes belassen möchte. In beiden Vorschlägen ist enthalten, dass u.a. der Einsatz von datenschutzfreundlichen Techniken und
generell die datenschutzkonforme Organisation der Prozesse und Verfahren im Unternehmen bei der Bestimmung des Betrages „strafmildernd“ berücksichtigt werden kann.
Die Bedeutung des neuen EU-Rechts für die Schweiz
Die Schweiz verfügt als Nicht-EU-Mitglied über ein Datenschutzgesetz , das in seinen wesentlichen Inhalten den noch geltenden deutschen und österreichischen Datenschutzgesetzen entspricht. Dies gilt insbesondere für die Vorgabe, personenbezogene Daten durch angemessene technische und organisatorische Maßnahmen gegen unbefugtes Verarbeiten, Vernichtung und Verlust zu schützen. Die Anforderungen unterscheiden sich also schon jetzt nicht wesentlich vom Rest Europas. Wichtiger ist allerdings die Tatsache, dass die Schweiz in den EU-Staaten ihre wichtigsten Handelspartner hat. Nach der EU-Datenschutzverordnung gelten deren Vorschriften auch für Unternehmen außerhalb der EU unter
anderem dann, wenn die Datenverarbeitung in der EU „ansässige“ Personen betrifft und „dazu dient, diesen Personen in der Union Waren oder Dienstleistungen anzubieten“ oder „die Personen zu überwachen“. Der räumliche Kontext von Datenverarbeitung ist damit weitgehend aufgehoben und Schweizer Unternehmen müssen schon dann das neue EURecht berücksichtigen, wenn sie personenbezogene Daten von EU-Bürgern verarbeiten, um beispielsweise Dienstleistungen in der EU anzubieten.
Wie sollten Unternehmen sich vorbereiten?
Voraussichtlich werden noch mehr als zwei Jahre ins Land gehen, bevor die EU-Datenschutzverordnung in Kraft tritt. Zeit für die Unternehmen also, sich auf die neue Rechtslage einzustellen. Eine gute Vorbereitung bezieht alle datenschutzrechtlich relevanten Abläufe im Unternehmen ein und legt den Schwerpunkt auf die Etablierung technischer Sicherheitsmaßnahmen sowie deren Dokumentation und Nachweisbarkeit und den Einsatz datenschutzfreundlicher Technologien von Anfang an. Weder die zurzeit gültigen Datenschutzgesetze noch die geplante EU-Datenschutzverordnung
schreiben konkret bezeichnete technische Kontrollmechanismen vor. Zentral ist aber in beiden Fällen die von den Datenschutzgesetzen geforderte Absicherung der personenbezogenen Daten gegen unbefugte Verarbeitung, Zerstörung und Verlust. Insofern sind Unternehmen gut beraten, moderne technische Kontrollmechanismen zu implementieren, die von Anfang an verhindern, dass Unbefugte personenbezogene Daten lesen, kopieren, verändern oder vernichten können. Vorbild kann das Vorgehen der Unternehmen sein, die aufgrund ähnlich strenger gesetzlicher Vorgaben schon heute hohe technische Sicherheitsstandards umsetzen müssen. Der Payment Card Industry Data Security Standard (PCI DSS) und das
US-Bundesgesetz Health Insurance Portability and Accountability Act (HIPAA) für das Gesundheitswesen in den USA sind nur zwei Beispiele für Vorschriften, die Datenschutzkontrollen ähnlich wie diejenigen im Vorschlag zur Reform des EU-Datenschutzrechts vorsehen. An diesen Standards können sich Unternehmen bei der Auswahl konkreter Sicherheitsmaßnahmen daher orientieren.
Verschlüsselung
Verschlüsselung stellt immer noch die beste Methode dar, personenbezogene Daten für unbefugte Personen unbrauchbar zu machen. Bei Verlust oder Diebstahl sind Daten, die im Vorfeld – vor der Übertragung und/oder Speicherung – verschlüsselt wurden, für jeden wertlos, der nicht über den Schlüssel verfügt. Mit dem Einsatz einer starken Verschlüsselung hat ein Unternehmen dann gleichzeitig auch einige der Anforderungen des neuen EU-Datenschutzrechts abgedeckt: Die „Verletzung des Schutzes personenbezogener Daten“ wird von dem Entwurf der EU-Datenschutzverordnung definiert als „die Vernichtung, der Verlust, die Veränderung, ob unbeabsichtigt oder widerrechtlich, oder die unbefugte Weitergabe von beziehungsweise der unbefugte Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. An dem Wortlaut ist unschwer erkennbar, dass Verschlüsselung vor den meisten Varianten der Verletzung des Schutzes personenbezogener Daten und
damit auch vor unangenehmen Folgen schützen kann. Ebenso ist Verschlüsselung ein geeignetes Mittel, die Anforderungen in Bezug auf die von der EU-Datenschutzverordnung geforderte „Folgenabschätzung“ und die Vorgaben zum „Datenschutz durch Technik“ in großen Teilen zu erfüllen. Moderne Verschlüsselungstechnologien sind nicht mehr die „Ressourcenfresser“ in der IT, als die sie oftmals noch gelten. Sie sind benutzerfreundlich und laufen unauffällig mehr oder weniger im Hintergrund, so dass Unternehmen durch ihren Einsatz nur Verbesserungen erzielen können.
Mehr Informationen zu der leicht bedienbaren Verschlüsselungslösung SafeGuard gibt es hier.
Antwort hinterlassen