Die neue Datenschutz-Grundverordnung

In der neuesten Ausgabe des Global Risk Dialogue geben die Cyber-Experten der Allianz Global Corporate & Specialty (AGCS) Christopher Rau, Jens Krickhahn und Marek Stanislawski Einblicke, womit Unternehmen rechnen sollten.

Die Datenschutz-Grundverordnung (DSGVO) legt Regeln und Mindeststandards zum Schutz der von Unternehmen und anderen Organisationen erhobenen personenbezogenen Daten fest. Derzeit gelten in jedem Land andere Datenschutzvorschriften. Die DSGVO wird den Datenschutz in allen 28 EU-Ländern harmonisieren.

Die neuen Vorgaben stärken die Rolle und Befugnisse der Datenbehörden, führen zusätzliche Rechte für Dateninhaber ein (im Prinzip alle natürlichen Personen) sowie potenziell höhere Bußgelder und schärferen Sanktionen ein und definieren zusätzliche Anforderungen an Unternehmen zum Schutz personenbezogener Daten. Unter anderem müssen die Unternehmen bestimmte Standards und Prozesse einführen, ein wirkungsvolles internes Datenschutz-Managementsystem aufbauen und einen Datenschutzbeauftragten benennen.

Mit der digitalen Verarbeitung immer mehr personenbezogener Daten – ob beim Einkauf im Internet, der Nutzung einer Smartphone-App oder dem Arztbesuch – sind die Nutzung und der Schutz dieser Daten in den vergangenen Jahren in den Brennpunkt gerückt.

Angesichts der neuen Herausforderungen des 21. Jahrhunderts durch neue Technologien, neue Geschäftsmodelle und wachsende Cyberrisiken haben die europäischen Gesetzgeber beschlossen, die europäischen Datenschutzgesetze zu überarbeiten und zu vereinheitlichen, indem sie die bestehende Richtlinie aus dem Jahr 1995 durch die DSGVO ersetzen.

Ganz allgemein soll die DSGVO die personenbezogenen, identifizierbaren Daten von Personen mit festem Wohnsitz in der EU schützen. Vermutlich werden auch die Staaten des Europäischen Wirtschaftsraums (EWR) die DSGVO einführen.

Grundsätzlich gilt die DSGVO nur für Daten natürlicher Personen und nicht für die Daten von Körperschaften. Alle Unternehmen, die personenbezogene Daten kontrollieren oder selbst beziehungsweise im Auftrag eines anderen Unternehmens verarbeiten, müssen die DSGVO befolgen – auch wenn sie außerhalb der EU ansässig sind. Die DSGVO hängt nicht zwangsläufig mit einem EU-Pass zusammen und gilt etwa nicht für EU-Bürger mit festem Wohnsitz außerhalb der EU.

Ja. Auch kleine und mittlere Unternehmen müssen sich an die DSGVO halten. Die DSGVO kann kleineren Unternehmen eine gewisse Flexibilität einräumen. Grundsätzlich gilt sie aber unabhängig von der Größe eines Unternehmens

Viele Vorgaben der DSGVO zum Schutz personenbezogener Daten sind bereits im nationalen Recht enthalten. Die DSGVO stärkt aber die Vorschriften zur Verarbeitung personenbezogener Daten, zur Rechenschaftspflicht und Verantwortung rechtlicher Einheiten, zu den Auskunftsrechten der Personen und den Befugnissen der Behörden. Bei der DSGVO handelt es sich eher um eine Evolution des bestehenden Datenschutzrechts in der EU als um eine Revolution.

Zum einen wird der geografische Geltungsbereich der DSGVO über die EU hinaus erweitert, zum anderen sind deutlich höhere Bußgelder und Sanktionen für nicht-konforme Unternehmen zu erwarten. Die DSGVO enthält einen Katalog verschiedener Datenschutzverletzungen mit Obergrenzen.

Für die Unternehmen wird es dadurch schwerer, den Überblick über die eigenen Risiken zu behalten, umso wichtiger wird das Risikomanagement. Für die Unternehmen wird der Datenschutz künftig eines der größten Risiken darstellen, vor allem im Hinblick auf die potenziellen Reputationsrisiken durch Sicherheitslücken und Datendiebstähle oder einen nicht ausreichend sorgsamen Umgang mit personenbezogenen Daten.

Die DSGVO wirft zahlreiche schwierige organisatorische und technische Fragen auf. Außerdem ist der Umsetzungszeitplan sehr ehrgeizig und nur schwer einzuhalten, zumal viele Vorschriften von der DSGVO selbst oder den Aufsichtsbehörden vor Mai 2018 nicht ausreichend klar definiert sein werden.

Die wichtigste und komplexeste Änderung betrifft das ‚Recht auf Vergessen‘, demzufolge eine betroffene Person von einem Unternehmen die Löschung ihrer personenbezogenen Daten verlangen kann. Die Unternehmen müssen Prozesse entwickeln, um die entsprechenden Daten ermitteln und Löschungen umsetzen zu können. Aufzeichnungen zu löschen, die möglicherweise in verschiedenen Datenbanken gespeichert, aggregiert oder mit Dritten geteilt wurden, ist alles andere als einfach.

Laut der DSGVO müssen die Behörden innerhalb von 72 Stunden von einer Datenschutzverletzung unterrichtet werden. Auch dies stellt eine beträchtliche Herausforderung dar. Die Vorgabe wird Auswirkungen auf das Risikomanagement haben. Die Unternehmen müssen geeignete Prozesse und Systeme entwickeln, um feststellen zu können, welche Daten betroffen sind, bevor sie die Behörden informieren. Das erfordert intensive interne Zusammenarbeit. Wiederholte Datenschutzverletzungen werden künftig höhere Strafen und eine strengere Überwachung durch die Behörden nach sich ziehen.

Zwar können die Regulierungsbehörden in den einzelnen Ländern unterschiedlich auf Datenschutzverletzungen reagieren; insgesamt ist jedoch damit zu rechnen, dass im Zuge der DSGVO mehr und höhere Bußgelder für Datenschutzverletzungen verhängt werden.

Im Rahmen der neuen Vorschriften können die Behörden ein Bußgeld von bis zu 20 Millionen Euro oder 4 Prozent der weltweiten Umsätze eines Unternehmens verhängen (auf Konzernebene, nicht nur auf Ebene der Einzelgesellschaften). Dieser Betrag liegt deutlich über den derzeit geltenden Obergrenzen von 500.000 Pfund Sterling in Großbritannien bzw. 300.000 Euro in Deutschland. Zudem haften die Verantwortlichen bei Verstößen nun unter Umständen auch mit ihrem Privatvermögen.

Die nationalen Aufsichtsbehörden der einzelnen EU-Staaten sind für die Umsetzung der DSGVO im jeweiligen Mitgliedstaat verantwortlich. Dadurch könnten manche Staaten zum Beispiel bei Bußgeldern künftig aggressiver vorgehen als andere.

Zusätzlich wird der Europäische Datenschutzbeauftragte (EDSB) als Schlichter bei Streitigkeiten zwischen nationalen Behörden agieren und mehr oder weniger rechtlich verbindliche Beschlüsse über die Beilegung von Streitigkeiten veröffentlichen. Zur abschließenden Klärung von Streitigkeiten können Betroffene, Unternehmen und Aufsichtsbehörden den Europäischen Gerichtshof anrufen.

Das hängt vom jeweiligen Unternehmen und seiner Größe ab. Für einige EULänder beziehungsweise bestimmte Sektoren wie zum Beispiel die Telekommunikationsbranche und den Finanzsektor gelten bereits strengere Datenschutzanforderungen. Insgesamt machen die meisten Unternehmen zwar Fortschritte, halten die Vorgaben der DSGVO aber noch nicht in vollem Umfang ein. So haben zahlreiche Unternehmen noch nicht die erforderlichen Systeme und Prozesse für das „Recht auf Vergessen“ eingeführt, und manche sind auf den DSGVOkonformen Umgang mit Bestandsdaten noch nicht gut vorbereitet.

Wenn ein Unternehmen feststellt, dass es die Vorgaben bis Mai 2018 nicht erfüllen kann, sollte es sich an die Aufsichtsbehörde wenden und frühzeitig in einen Dialog eintreten und nicht einfach den Kopf in den Sand stecken. Allerdings sieht die DSGVO keine generellen Übergangsfristen vor; die zuständige Behörde beurteilt jeweils den Einzelfall.

Sie müssen sich einen genauen Überblick über die von ihnen verarbeiteten personenbezogenen Daten verschaffen: Wie viele Daten besitzen sie, welche Angaben besitzen sie, wo sind diese Daten gespeichert und mit wem wurden sie geteilt? Falls ein Unternehmen feststellt, dass seine Tätigkeiten bei der Datenverarbeitung als hohes Risiko im Hinblick auf die DSGVO-Vorgaben sowie für die „Rechte und Freiheiten“ von natürlichen Personen anzusehen sind, muss es außerdem die Datenschutzauswirkungen im Einzelnen beurteilen und dies dokumentieren. Wohlgemerkt hängt es generell vom Wohnort der betroffenen Person und nicht vom Sitz des Unternehmens ab, ob die DSGVO Geltung hat.

So wäre zum Beispiel der Datendiebstahl im Rahmen der „Paradise Papers“-Affäre in den Geltungsbereich der DSGVO gefallen, da auch personenbezogene Daten von Kunden einer Offshore-Kanzlei, die in der EU ihren Wohnsitz haben, betroffen waren.

Eine gute Vorbereitung kann dazu beitragen, sowohl die Schäden für den Ruf eines Unternehmens als auch die Betriebsunterbrechungen durch eine Sicherheitslücke möglichst gering zu halten. In der Vergangenheit bestand ein direkter Zusammenhang zwischen dem Umgang eines Unternehmens mit einer Datenschutzverletzung und den entsprechenden Kosten. Dieser Zusammenhang sollte sich durch die DSGVO noch verstärken.

Die Aufsichtsbehörden dürften höhere Bußgelder verhängen, wenn ein Unternehmen nicht gut vorbereitet ist und mit einer Sicherheitslücke nicht gemäß Best-Practice-Standards umgeht.

Es hat einige Zeit gedauert, bis die Unternehmen den Umfang der entsprechenden Risiken erkannt haben. Inzwischen ist jedoch klar, dass das Risikomanagement eng in die DSGVO-Projekte eines Unternehmens eingebunden sein sollte. Der Datenschutz sollte für das Risikomanagement auch nach Abschluss der DSGVO-Vorbereitungen noch ein Thema sein. Zudem führt die DSGVO die Grundsätze des Datenschutzes bei der Technikentwicklung („privacy by design“) und datenschutzfreundlicher Voreinstellungen („privacy by default“) ein, damit Produkte oder Systeme frühzeitig um angemessene Datenschutzfunktionen ergänzt werden.

Eine umfassende Datenschutzprüfung zu Beginn jedes Projektes oder neuen Prozesses wird damit zu einer verbindlichen internen Anforderung. Die DSGVO ist kein einmaliges Ereignis und wird daher einen kontinuierlichen Risikoansatz erfordern.

Cyberversicherungen können dabei helfen, die Vorgaben einzuhalten. Häufig umfassen Versicherungen auch Beratungsleistungen sowie Serviceleistungen im Zusammenhang mit der Vorbereitung auf einen Zwischenfall und der Reaktion auf eine Datenschutzverletzung.

Tritt eine solche ein, muss das betroffene Unternehmen auf spezielle Expertise zurückgreifen können, zum Beispiel von spezialisierten Rechtsanwälten, IT-Forensikern oder Krisenmanagement-Beratern. Versicherungen können einen raschen Zugang zu solchen Spezialisten bieten. So kann das Unternehmen gegenüber der Aufsichtsbehörde demonstrieren, dass es unverzüglich und angemessen gehandelt hat, um die Auswirkungen einer Datenschutzverletzung so gering wie möglich zu halten und die regulatorischen Vorgaben und Fristen zu erfüllen. 

In der Branche kursiert folgendes Bonmot: „Man kann Sicherheit ohne Schutz der Privatsphäre haben, nicht aber Schutz der Privatsphäre ohne Sicherheit“. Wenn die Unternehmen die Anforderungen der DSGVO mit angemessener Sorgfalt angehen, werden sie ihre Cybersicherheit dadurch automatisch erhöhen, indem sie ihre Prozesse verbessern, das Risikobewusstsein schärfen und in zahlreichen Fällen auch die Sicherheitsbudgets aufstocken, um zusätzliche Sicherheitsmaßnahmen zu ergreifen.

Die DSGVO sollte zu einem größeren Interesse an Cyberversicherungen führen. Letztendlich liegt die Entscheidung über den optimalen Einsatz der Risikomanagement- und Sicherheitsbudgets jedoch bei den einzelnen Unternehmen.

Diese Aussagen stehen, wie immer, unter unserem Vorbehalt bei Zukunftsaussagen: