Sie sind hier: HomeTelekommunikation

EU-DSGVO: Zwischen Anforderung und Wirklichkeit

Am 25. Mai 2018 findet die EU-Datenschutz-Grundverordnung Anwendung. Die Rechte der Betroffenen zum Schutz ihrer persönlichen Daten werden dabei deutlich ausgebaut, was für Unternehmen unter Umständen eine enorme Überarbeitung der Compliance-Maßnahmen bedeutet.

Sicherheit Administration Bildquelle: © Watchara Rojjanasain-123rf

Auf Anfrage müssen Daten zukünftig völlig transparent einsehbar sein und die Kette der Datenverarbeitung aufgezeigt werden – wo befinden sich welche personenbezogenen Daten, wie werden diese genutzt oder auch weitergegeben. Damit müssen Unternehmen sowohl den eigenen Umgang mit diesen Daten prüfen, als auch den von Geschäftspartnern oder Partnern, was zu einem veränderten Haftungsgefüge zwischen Unternehmen und Dienstleistern führt. Zahlreiche neue Pflichten gehen mit der Verordnung einher, insbesondere in den Bereichen Dokumentation, Risikobewertung und Kontrolle. Durch die gestiegenen Compliance-Anforderungen müssen auch die Datenschutzrisiken mit Folgeabschätzung neu bewertet werden: welche Maßnahmen muss man umsetzen? Dabei ist der „Stand der Technik“ nun die gesetzliche Maßgabe. Die Eckpfeiler des bisherigen nationalen Datenschutzrechtes bleiben erhalten. Im Kontext von „Tracing & Monitoring“ sind die Punkte Datensparsamkeit und IT-Sicherheit besonders relevant. Bezüglich der Datensparsamkeit fordert die EU-DSGVO, dass so wenig Daten wie möglich verarbeitet und, wo möglich, pseudonymisiert und anonymisiert werden sollen. Die IT-Sicherheit betreffend fordert die EU-DSGVO (Art. 5, Abs. 1f), dass personenbezogene Daten durch angemessene technische und organisatorische Maßnahmen geschützt werden. Dies umfasst auch den Schutz vor unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust („Integrität und Vertraulichkeit“).

Die Bundesregierung arbeitet mit Hochdruck daran, das Datenschutzrecht an die EU-DSGVO anzupassen. Durch die Neuregelung werden Bußgeldhöhen für Unternehmen stark angehoben. Der aktuelle Entwurf des Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (DSAnpUG) zeigt, dass es auch zur Haftungsverschärfung für natürliche Personen kommt. Bei Verstößen im Umgang mit personenbezogenen Daten drohen laut § 42 DSAnpUG Vorständen und beziehungsweise oder Geschäftsführern, Datenschutzbeauftragten, CISOs und Mitarbeitern über empfindliche Geldbußen hinaus auch strafrechtliche Sanktionen.  

Risikomanagement
Kein Unternehmen bleibt vom rasanten Einzug der Digitalisierung unerreicht. Dabei führt die zunehmende Vernetzung mit Lieferanten, Partnern und Kunden, die Automatisierung von Fertigungsprozessen und die intensive Auswertung von geschäftsrelevanten Daten zu einer immer stärkeren Kopplung des Unternehmenserfolgs an die Leistungsfähigkeit und Zuverlässigkeit der IT-Systeme und geschäftskritischen Anwendungen. Das IT-Sicherheitsgesetz fordert von Betreibern kritischer Infrastrukturen angemessene organisatorische und technische Maßnahmen zur Sicherstellung der Verfügbarkeit, der Integrität und der Authentizität ihrer IT-Systeme zu treffen. Kritis-Betreiber sind sogar gehalten, die Wirksamkeit der ergriffenen Maßnahmen zu überprüfen und bei erfolgreichen Angriffen gegebenenfalls auch Indizien zur Verfügung zu stellen. Diese Forderungen des Gesetzgebers machen aufgrund der Bedrohungslage grundsätzlich für jedes Unternehmen Sinn. Insofern ist der Einsatz von Monitoring-Systemen geradezu notwendig.

Die Verpflichtung zu Maßnahmen für die IT-Sicherheit lässt sich aber auch aus anderen Rechtsbereichen ableiten. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (§91, Abs. 2, 111 AktG sowie § 43, Abs. 1 GmbHG) verlangt entsprechend dem Begriff des „Risikomanagements“ die Einführung wirksamer Frühwarnsysteme, die Risiken im Vorfeld lokalisieren. Neben diesen rechtlichen Aspekten gibt es aber auch viele gute andere Gründe, um eine Überwachung der IT-Systeme zu implementieren: Optimierung von Performance und Qualität, Reduzierung von Ausfallzeiten, schnellere Fehlerlokalisierung und -behebung sowie Reduzierung von Risiken durch Schadsoftware, Spionage oder Sabotage.