Zwischenbilanz zur EU-DSGVO

Erst der Anfang

19. Mai 2020, 15:06 Uhr | Autor: Falk Herrmann / Redaktion: Diana Künstler | Kommentar(e)

Fortsetzung des Artikels von Teil 1

EU-DSGVO wird unterlaufen

Bitkom-Umfrage zur DSGVO-Umsetzung
Nahezu alle Unternehmen (98 Prozent) fordern Nachbesserungen der DSGVO. Gleichzeitig sind fast ebenso viele (95 Prozent) der Meinung, sie sei praktisch nicht komplett umsetzbar. Demgegenüber stehen aber auch positive Stimmen.
© Bitkom

Eine weitere Lücke in der EU-DSGVO sehen Kritiker darin, dass Hersteller nicht in die Pflicht genommen wurden, Produkte zu entwickeln, die den Datenschutz fördern. Privacy by Design – das Berücksichtigen des Datenschutzes bei der Produktion eines Gerätes – ist ein wichtiger Baustein für den sicheren Umgang mit Daten. Einige Unternehmen haben bereits begonnen, die Barriere zwischen DevOps und IT-Sicherheit einzureißen, und neuartige Methoden im Sinne von „DevSecOps“ zu etablieren. Der Gesetzgeber muss diese Entwicklung unterstützen,
damit datenschutzkonforme Produkte auf dem Markt erhältlich sind.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass
Susanne Dehmel, Bitkom
Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: „Die EU-Kommission wird die DSGVO im nächsten Jahr genau prüfen. Sie sollte Erleichterungen für KMUs vorsehen und auch die Datennutzung im Forschungsumfeld erleichtern. Im Innovationsumfeld und insbesondere für Schlüsseltechnologien wie Künstliche Intelligenz müssen dieRahmenbedingungen mit der Entwicklung Schritt halten. Wir brauchen hier die nötige Dynamik, um Datenschutz und -verarbeitung, Risikoabschätzungen und wirtschaftliche sowie gesellschaftliche Potenziale in Einklang zu bringen.” 
© Bitkom

Ähnliches gilt für das Speichern von Daten in der Cloud. Die marktbeherrschenden Cloud-Anbieter sitzen im Ausland. Die EU-DSGVO wird von dort geltenden Regelungen nicht selten ausgehebelt. Beispielsweise verpflichtet der „Clarifying Lawful Overseas Use of Data Act“ amerikanische Cloud-Provider, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO. Dies bedroht zudem die Wettbewerbsfähigkeit der deutschen Unternehmen, weil aufgrund der dafür notwendigen technischen Vorkehrungen auch das Risiko steigt, dass Cyberkriminelle und Drittstaaten Zugriff auf das technische Know-how der Unternehmen erhalten.
 
Neue IT-Sicherheitstechnologien
Ausländische Cloud-Provider bieten ihren Kunden zwar zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Auf diese Weise wollen sie europäischem Recht genügen. Das löst jedoch das Problem nicht wirklich: Die Cloud-Anbieter selbst können noch immer auf die Daten zugreifen und aufgrund gesetzlicher Gegebenheiten in ihren Herkunftsländern verpflichtet werden, Dritten Zugang zu gewähren. Um wirklich der EU-DSGVO zu genügen, braucht es stattdessen neue IT-Sicherheitstechnologien, die von Anbietern bereitgestellt werden, welche vollumfänglich europäischer Jurisdiktion unterliegen. Es sollte zudem ein datenzentrischer Ansatz gewählt werden, bei dem alle Daten verschlüsselt werden, der Kunde selbst entscheiden kann, wo seine Daten gespeichert werden und die Schlüssel ausschließlich im Besitz des Kunden sind.  

Letztlich bleibt noch die Frage, wie es mit der europaweiten Harmonisierung des Datenschutzes klappt. Grundsätzlich gilt die EU-DSGVO in allen Mitgliedsstaaten und besitzt Anwendungsvorrang vor nationalen Regelungen. Zahlreiche sogenannte „Öffnungsklauseln“ geben den Gesetzgebern der Mitgliedsstaaten aber die Möglichkeit, die EU-DSGVO durch die eigene Gesetzgebung zu konkretisieren und zu ergänzen. Beim Umgang mit Arbeitnehmerdaten sieht die EU-Datenschutzgrundverordnung zum Beispiel vor, dass spezifischere Vorschriften erlassen werden können. Für Unternehmen mit europäischen Standorten bedeutet dies eine zusätzliche Herausforderung.

Richtungsweisend
Die EU-DSGVO ist ein Meilenstein auf dem Weg zu mehr Schutz personenbezogener Daten. Nach zwei Jahren zeigt sich: Vieles wurde bereits erreicht und die Umsetzung läuft. Doch die Regelung ist erst ein Anfang. Weitere Vorgaben sind notwendig, um eine vollumfängliche digitale Souveränität zu erreichen. Die EU-DSGVO gibt dafür die grundlegende Richtung vor – Unternehmen, Gesellschaft und Politik müssen diesen Weg jetzt konsequent weitergehen.

Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity

Auf einen Blick: Bußgelder und Verstöße

Mehr Transparenz in Sachen Datenschutzgrundverordnung will der „GDPR Enforcement Tracker“ bieten. Die Webseite der Berliner Wirtschaftskanzlei CMS Hasche Sigle, eine Partnerschaft von Rechtsanwälten und Steuerberatern, enthält eine Liste und Übersicht aller Bußgelder und Strafen, die an Firmen von Datenschutzbehörden innerhalb der EU im Rahmen der Allgemeinen Datenschutzverordnung der EU verhängt wurden. Dargestellt werden können jedoch nur die Bußgelder, die veröffentlicht wurden. Die Liste lässt sich nach Land, Behörde, Kontrollinstanz und Art des Verstoßes filtern. Für Deutschland beispielsweise zeigen die aktuellsten Ergebnisse unter anderem Bußgeldbescheide gegen Delivery Hero oder gegen die Deutsche Wohnen SE in Höhe von 14,5 Millionen Euro – das Immobilienunternehmen hat aber bereits Widerspruch eingelegt. Auch N26 wurde belangt; die Berliner Datenschutzbeauftragte Maja Smoltczyk hatte gegen die App-Bank wegen DSGVO-Verstößen 50.000 Euro Geldbuße verhängt. Aktuell droht auch dem schwedischen Fashion-Händler H&M ein Bußgeld. Er soll Mitarbeiter massiv ausgespäht und auch private Daten über Krankheiten und familiäre Hintergründe gespeichert haben. Er habe ein entsprechendes Bußgeldverfahren eingeleitet, hat der Hamburgische Beauftragte für Datenschutz, Johannes Caspar gegenüber der „Frankfurter Allgemeinen Zeitung“ erklärt. Spannend sind auch Suchen nach Firmen wie „Google“: Dem Konzern wurden in Frankreich wegen Verstößen 50 Millionen Euro aufgebrummt. Unter anderem seien Informationen zur Verwendung der erhobenen Daten und dem Speicher-Zeitraum für die Nutzer nicht einfach genug zugänglich. 


  1. Erst der Anfang
  2. EU-DSGVO wird unterlaufen

Das könnte Sie auch interessieren

Verwandte Artikel

Rohde & Schwarz Cybersecurity, BITKOM e. V.

Anbieterkompass