281. EU-DSGVO: Übergangsfrist endet in Kürze

Ich möchte Unternehmen gewiss nicht zusätzlich verunsichern, aber die EU-Datenschutzgrundverordnung ist bereits am 25. Mai 2016 in Kraft getreten. Seitdem gibt es jedoch eine Übergangsfrist von zwei Jahren, in denen Unternehmen ihre Prozesse anpassen können. Diese endet aber in Kürze: Ab dem 25. Mai 2018 löst die EU-DSGVO das derzeitige Bundesdatenschutzgesetz (BDSG) ab und ist ab diesem Zeitpunkt anwendbar. Die EU-Datenschutzaufsichtsbehörden und Gerichte haben dann die Möglichkeit, die Einhaltung der Verordnung zu überprüfen.

2. EU-DSGVO: Diese Unternehmen sind betroffen

Korbinian Lehner
Korbinian Lehner Korbinian Lehner (© 2017 Telekom)

Korbinian Lehner versteht sich als „Senior Digital Native“ und ist bei der Telekom Deutschland für alle IT-Themen verantwortlich. Zuvor war er in verschiedenen Positionen bei anderen IT-Dienstleistern tätig.

>> Mehr zu Korbinian Lehner auf seiner Köpfe-Seite

Für alle Unternehmer, die meinen, dass sie von der EU-DSGVO nicht betroffen sind, habe ich schlechte Nachrichten: Die Verordnung gilt für alle 28 Mitgliedsstaaten der Europäischen Union sowie sämtliche dort ansässigen Unternehmen – egal, ob Zwei-Mann-Betrieb oder Großkonzern. Auch Unternehmen, die lediglich personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich an die neuen Vorschriften halten (Marktortprinzip).

Auch interessant: Datenschutz: Wie sich Firmen gegen Strafen wappnen

 

 

3. EU-DSGVO – kein Grund zur Besorgnis

Der Stichtag rückt zwar mit großen Schritten näher, aber Sie müssen deshalb nicht in Panik verfallen! Das betont auch der Digitalverband Bitkom in seiner Publikation „Was muss ich wissen zur EU-Datenschutzgrundverordnung?“. Demnach sind viele der datenschutzrechtlichen Konzepte und Prinzipien der DSGVO im Großen und Ganzen nicht viel anders als auch bisher unter der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), deren Vorschriften in Deutschland mit dem deutschen Bundesdatenschutzgesetz (BDSG) umgesetzt wurden. „Wer sich im Unternehmen schon bisher um den Datenschutz gekümmert hat“, heißt es vom Verband, „sollte auch in Zukunft trotz der höheren Sanktionen nicht viel zu befürchten haben.“ Klar ist aber dennoch: Unternehmen müssen ihre Compliance-Maßnahmen neu aufbauen.

4. Datenschutzerklärung anpassen

Unternehmen müssen aufgrund der neuen Vorschriften auch ihre Datenschutzerklärung anpassen. Was sich konkret ändert, hat die IT-Recht-Kanzlei München übersichtlich aufgeschlüsselt. Unternehmen finden hier alle Informationen, wie ihre Datenschutzerklärung rechtssicher umzustellen ist, um hohe Bußgelder zu vermeiden.

5. Vorsicht vor hohen Geldbußen

Die möglichen Geldbußen für Verstöße wurden drastisch erhöht. Die im BDSG verhängten Bußgelder waren bislang eher moderat und auf maximal 300.000 Euro begrenzt. In den neuen Vorschriften der EU-DSGVO ist festgelegt, dass Bußgelder bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweiten Jahresumsatzes betragen können – fällig wird der jeweils höhere Betrag.

6. Augen auf bei der Auswahl eines Cloud-Anbieters

Der Cloud-Nutzer bleibt für den Datenschutz verantwortlich. Laut Artikel 28 Absatz 1 der EU-DSGVO ist er dazu verpflichtet, nur solche Cloud-Anbieter zu beauftragen, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“.

Auch interessant: Korbinian Lehner: Fehlendes Cloud-Wissen kostet

7. Die Rolle der Cloud-Zertifizierungen in der DSGVO

Zertifizierungen werden durch die DSGVO wichtiger. Anhand von Cloud-Zertifizierungen erkennen Nutzer in der Menge der Cloud-Anbieter diejenigen, die DSGVO-konform sind. Ein Gütesiegel für vertrauenswürdige Cloud-Services ist etwa das Trusted Cloud Datenschutz-Profil (TCDP) des Bundesministeriums für Wirtschaft und Energie (BMWi). Der TCDP-Standard wurde an die neuen Vorgaben der EU-DSGVO angepasst und bescheinigt etwa der Open Telekom Cloud höchste Sicherheit bei der Verarbeitung personenbezogener Daten.

Auch interessant: DSGVO: IT-Unternehmen kommen langsam in Fahrt

8. Die Bedeutung der DSGVO für bestehende Verträge mit Dienstleistern für die Auftragsdatenverarbeitung (ADV)

Unternehmen müssen bisherige Verträge für die ADV mit den Dienstleistern an die neuen Regelungen anpassen oder neu schließen. Dies gilt sowohl für den Umgang mit personenbezogenen Daten als auch für den erweiterten Anwendungsbereich des Datenschutzrechts außerhalb der EU – sofern Dienstleister personenbezogene Daten von EU-Bürgern verarbeiten. Auch Verfahrensbeschreibungen sind zu überarbeiten, da die neuen Vorschriften die Dokumentationspflichten erweitern und die Betroffenenrechte ausdehnen.

9. Änderungen in Bezug auf die Cloud-Migration

Hilfe zur Open Telekom Cloud

Für sein Public-Cloud-Angebot Open Telekom Cloud stellt die Telekom verschiedene Hilfestellungen zur Verfügung:

  • Eine Schritt-für-Schritt-Anleitung für Anfänger
  • Eine kostenlose Hotline, bei der Experten bei der Einrichtung, Konfiguration oder Fragen zur Open Telekom Cloud helfen
  • Videoanleitungen oder Tutorials, die zeigen, wie verschiedene Dinge in der Open Telekom Cloud funktionieren. Zum Beispiel, wie man eine relationale Datenbank anlegt oder wie die Cloud Container Engine (CCE) funktioniert.
  • Anwenderstorys, die exemplarisch zeigen, wie andere Unternehmen die Open Telekom Cloud nutzen
  • Einen Preisrechner, der genau aufzeigt, welche Kosten wann anfallen

Die neue DSGVO räumt Nutzern ein Recht auf Datenübertragbarkeit ein. Das bedeutet, dass Cloud-Nutzern ermöglicht werden muss, Daten von einem Cloud-Anbieter auf einen anderen Anbieter zu übertragen, etwa bei einem Anbieterwechsel. Dabei muss der bisherige Cloud-Anbieter die Daten an den neuen Provider übertragen, sofern dies technisch möglich ist. Der alte Provider ist zudem verpflichtet, dem Cloud-Nutzer die Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitzustellen.

10. Herausforderungen für Unternehmen durch das „Recht auf Vergessenwerden“

Das „Recht auf Vergessenwerden“ – gemeint ist das Recht auf Löschung von Daten – ist zwar nicht gänzlich neu. Doch mit Inkrafttreten der DSGVO im Mai 2018 wird es nun europaweit kodifiziert. In der Cloud-Umgebung bedeutet das: Unternehmen müssen nicht nur die Daten löschen, sondern auch Links auf die betreffenden Daten sowie Datenkopien in der Cloud. Dazu müssen Unternehmen auch wissen, wo sich die zu löschenden Daten befinden und wohin sie übertragen worden sind.

Auch interessant: Umsetzung der DSGVO: Deutschland ist Vorbild