Gastblog: DSGVO is coming

Daten sind im Lauf der letzten Jahre zu einem essentiellen Bestandteil unserer Gesellschaft geworden. Im Zuge der technologischen Entwicklung der letzten Jahre (Social Media, Smartphones, Breitbandausbau, etc.) hat die von uns produzierte Datenmenge – und damit auch die Größe unseres digitalen Fußabdruckes – ein enormes Wachstum erfahren.
In erster Linie aufgrund der immer wieder kehrenden Datenschutzskandale sind in den letzten Jahren im selben Ausmaß aber auch das Bewusstsein und die Sorge um die eigenen Daten gewachsen.

In der Absicht, das Thema Daten und Datenschutz nachhaltig und effektiv zu regeln, ist daher auch die EU aktiv geworden und hat bereits 2016 die Datenschutzgrundverordnung (in Folge DSGVO) erlassen. Diese wird ab 25. Mai 2018 anwendbar und gibt als EU-Verordnung im kompletten EU-Raum ein einheitliches Datenschutzrecht vor.

Nachfolgend sollen kurz die wesentlichen Inhalte und Neuerungen, welche die DSGVO mit sich bringt, erörtert werden:

Was schützt die DSGVO?

In den Anwendungs- und Schutzbereich der DSGVO fallen personenbezogene Daten. Die „Schutzdauer“ erstreckt sich auf deren gesamte Verarbeitung vom Zeitpunkt der Erhebung bis zu deren Löschung, Anonymisierung oder Pseudonymisierung. Insofern ist das gesamte metaphorische Leben der Daten erfasst.

Neue Rechte und Pflichten?

Aus Sicht der „Betroffenen“ – damit meint die DSGVO all jene, deren Daten „verarbeitet“ werden – gibt es eigentlich nichts Neues. Betroffene haben eine Reihe von Rechten in Bezug auf ihre Daten, von denen die wichtigsten wohl das Recht auf Löschung der sie betreffenden Daten und das Auskunftsrecht sind. Neuerungen gibt es auch in Bezug auf Einwilligung in die Datenverarbeitung, da hier strenge Anforderungen an die „Freiwilligkeit“ Einwilligung gestellt werden. Auch haben die Betroffenen in Zukunft das Recht, davon informiert zu werden, wenn Daten von ihnen verarbeitet werden.

Für die „Verantwortlichen“ – das sind jene, welche die Daten verarbeiten – bringt die DSGVO mitunter durchaus beträchtliche Dokumentationspflichten mit sich, in deren Zentrum das sog. „Verzeichnis der Verarbeitungstätigkeiten“ steht. Daneben werden den Verantwortlichen diverse Meldepflichten auferlegt, deren wichtigste wohl ist, dass ein Data-Breach (Datenschutzverletzung) binnen 72 Stunden (!) ab Bekanntwerden der Datenschutzbehörde zu melden ist.

Fairerweise muss man sagen, dass diese Rechte und Pflichten aber nicht wirklich neu sind. Auskunfts- und Löschungsrechte etc. gibt es schon seit Jahren. Der Vorgänger der DSGVO, die Datenschutz-Richtlinie kannte sie schon. Auch die Pflichten der Verantwortlichen sind per se nicht neu. Z.B. ähnelt das bisherige Datenverarbeitungsregister (kurz: DVR) vom Aufbau her stark dem Verzeichnis der Verarbeitungstätigten (kurz: VV), welches die DSGVO vorschreibt.

Und was ist jetzt neu?

Ungeachtet der (vielen) Änderungen im Detail bringt die DSGVO zwei massive Neuerungen:

Zum einen die Sanktionen: Die DSGVO sieht nämlich Bußgelder in Höhe von bis zu 4% des weltweiten (Vor-) Jahresumsatzes, bzw. bis zu 20 Mio € – je nachdem, welcher der Beträge höher ist – vor.

Zum anderen die Rechenschaftspflicht: Die Verantwortlichen trifft die Pflicht, die Rechtmäßigkeit der Datenverarbeitung nachzuweisen. Dies führt in der Sache zu einer faktischen Beweislastumkehr, dahingehend, dass in Zukunft der Verantwortliche den Nachweis zu erbringen hat, dass alles mit rechten Dingen zugeht.

Praktische Auswirkungen

Diese Kombination aus Sanktionshöhe und Nachweispflicht hat zur Folge, dass Verstöße gegen den Datenschutz in Zukunft empfindliche Folgen haben werden. Folglich wird sich das Thema Datenschutz-Compliance auch in praktischen Umsetzungs-Maßnahmen niederschlagen.

Unternehmen werden daher in Zukunft das Thema Datenschutz in die internen Abläufe miteinbeziehen müssen, was konkret bedeutet, dass Prozesse analysiert und evtl. geändert werden müssen. Um den Betroffenenrechten nachkommen zu können, wird man vielerorts überhaupt neue Prozesse schaffen müssen. Da die DSGVO den Verantwortlichen auch zu technischen und organisatorischen Maßnahmen verpflichtet, werden viele Unternehmen auch die eigene IT bzw. IT-Security evaluieren und gegebenenfalls adaptieren müssen.

NAVAX Fazit: Sie müssen aktiv werden? Besuchen Sie www.navax.com/dsgvo

Autor: Thomas Reisinger

Thomas Reisinger ist seit März 2018 bei der VACE Systemtechnik GmbH als Security Consultant tätig. Davor hat er an der JKU Linz das Diplomstudium der Rechtswissenschaften und das Masterstudium Webwissenschaften absolviert. Seine Freizeit verbringt Thomas zu gleichen Teilen im Fitnessstudio und vor PC / Playstation.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.