Sie sind hier: Home » Markt » Hinweise & Tipps

Das umstrittene "Recht auf Vergessenwerden"


EU-Datenschutz-Grundverordnung: Fünf Punkte, die Sie kennen sollten
Anhand des aktuellen Vorschlags des EU-Rats lässt sich in etwa vermuten, wie die finale DS-GVO aussehen wird

Von Varonis

(28.10.15) - Die europäischen Regulierungsbehörden meinen es ernst mit ihrer Datenschutzreform. Die Datenschutz-Grundverordnung (DS-GVO) ist eine komplette Überarbeitung der bisherigen EU-Datenschutzrichtlinie zur Verarbeitung personenbezogener Daten und steht kurz vor dem Abschluss. Wir haben bereits über die lange, episch anmutende Reise der DS-GVO in den letzten beiden Jahren berichtet. Doch nachdem der EU-Rat nun der eigenen Version zugestimmt hat, steht einer abschließenden Diskussionsrunde zur Kompromissfindung mit dem EU-Parlament nichts mehr im Wege. Die DS-GVO wird voraussichtlich Ende 2015 (oder Anfang 2016) verabschiedet und 2017 in Kraft treten. Alle Organisationen – auch US-amerikanische multinationale Konzerne, die personenbezogene Daten aus der EU verarbeiten – müssen also bald strengere Regeln erfüllen, um nachzuweisen, dass sie die Daten aktiv schützen.

Anhand des aktuellen Vorschlags des EU-Rats lässt sich in etwa vermuten, wie die finale DS-GVO aussehen wird. Unternehmen sollten sich insbesondere zu den fünf folgenden Punkten Gedanken machen:

Prinzipien des "Privacy by Design" implementieren
Privacy by Design (PbD) wurde von der ehemaligen Informationsfreiheits- und Datenschutzbeauftragten von Ontario, Ann Cavoukian, entwickelt und hat Sicherheitsexperten, politische Entscheidungsträger und Regulierungsbehörden stark beeinflusst. Cavoukian geht davon aus, dass man Big Data und Datenschutz unter einen Hut bringen kann. Für ihre Botschaft einer PbD-Vision gilt es einige grundlegende Maßnahmen zu ergreifen: möglichst wenige Verbraucherdaten (insbesondere personenbezogene Daten) sammeln, Daten nicht länger aufbewahren als unbedingt nötig und den Konsumenten den Zugriff auf und die Kontrolle über ihre Daten ermöglichen.

Die EU schließt sich dieser Sichtweise an und befürwortet PbD. In Artikel 23 sowie an anderen Stellen der neuen Verordnung wird mehrmals darauf Bezug genommen. Man lehnt sich wohl nicht allzu weit aus dem Fenster, wenn man behauptet, dass man die DS-GVO erfüllt, sobald man PbD implementiert hat.

Da die Zeit einigermaßen knapp bemessen ist, hilft unter Umständen ein Spickzettel, der Ihnen die Prinzipien von PbD erläutert und bei Entscheidungen zum Thema Datensicherheit hilfreich sein kann.

Das Recht auf Vergessenwerden
Das umstrittene "Recht auf Vergessenwerden" wird in Europa bald gesetzlich verankert. Für die meisten Unternehmen bedeutet das, dass Verbraucher das Recht haben, ihre Daten zu löschen. In Artikel 17 des aktuellen Vorschlags für die DS-GVO heißt es: "Der für die Verarbeitung Verantwortliche ist verpflichtet, personenbezogene Daten ohne ungebührliche Verzögerung zu löschen, insbesondere personenbezogene Daten, die erhoben wurden, als die betroffene Person ein Kind war, und die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen zu verlangen, dass sie [sic: die] betreffende[n] personenbezogene[n] Daten ohne ungebührliche Verzögerung gelöscht werden."

An dieser Stelle wird das Recht des Vergessenwerdens ganz deutlich.

Doch was geschieht, wenn der für die Verarbeitung Verantwortliche die personenbezogenen Daten an Dritte wie zum Beispiel einen Cloud-basierten Dienst zur Aufbewahrung oder Verarbeitung weitergibt? Der Arm der EU-Gesetze reicht auch dort hin: Die Cloud-Dienste, die personenbezogene Daten verarbeiten, müssen diese ebenfalls löschen, wenn der für die Verarbeitung Verantwortliche es verlangt.

Übersetzt heißt das: Der Verbraucher beziehungsweise eine betroffene Person kann ein Unternehmen jederzeit auffordern, die Daten zu löschen. In der EU gehören die Daten dem Volk!

US-amerikanische Konzerne müssen Daten schützen
Ich möchte hier auf einen Blog-Beitrag von Andy Green verweisen, in dem er an große US-amerikanische Konzerne appelliert, die Daten von EU-Bürgern erfassen, ihre Datenschutzrichtlinien so zu implementieren, als ob sich die Server in der EU befänden.

Um dieses "extraterritoriale" Prinzip geht es zu Anfang der vorgeschlagenen DS-GVO. Für alle, die es interessiert, hier der Originaltext in seiner ganzen bürokratischen Schönheit:

Der grenzüberschreitende Fluss personenbezogener Daten (...) ist für die Entwicklung des internationalen Handels und der grenzüberschreitenden Zusammenarbeit notwendig. (...) Der durch diese Verordnung unionsweit garantierte Schutz natürlicher Personen sollte jedoch bei der Übermittlung personenbezogener Daten aus der Union an für die Verarbeitung Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen nicht unterminiert werden.

Es gibt zwar noch einige Schwierigkeiten bei der Umsetzung dieser Bestimmungen. Doch nachdem die USA behaupten, dass ihre Datenschutzgesetze auch für Daten auf irischen Servern gelten, scheint es nur natürlich, dass die EU eine ähnliche Aussage über die in den USA gespeicherten Daten ihrer Bürger treffen kann!

Mit welchen Geldbußen ist zu rechnen?
Für ernsthafte Verstöße (zum Beispiel die Verarbeitung sensibler Daten ohne Zustimmung der jeweiligen Person oder aufgrund sonstiger Rechtsgründe) können die Regulierungsbehörden Strafen verhängen. Hier gibt es Unterschiede zwischen der Version des EU-Rats und der des Parlaments. Der EU-Rat sieht Geldbußen von bis zu einer Million Euro beziehungsweise zwei Prozent des weltweit erzielten Jahresumsatzes – also der Einnahmen – eines Unternehmens vor. Das vom Parlament vorgesehene Strafmaß wäre mit bis zu 100 Millionen Euro beziehungsweise fünf Prozent des weltweiten Jahresumsatzes deutlich höher. Darüber werden sich die beiden EU-Organe in den nächsten Monaten noch einigen müssen.

Fakt ist, dass es sich um beträchtliche Summen handeln wird – auch für US-amerikanische Konzerne.

Ziehen Sie in Erwägung, einen Datenschutzbeauftragten zu ernennen
Für wichtige Projekte – und die DS-GVO der EU ist ein riesiges Projekt – braucht man einen Verantwortlichen. Im aktuellen Vorschlag für die DS-GVO soll der Datenschutzbeauftragte dafür zuständig sein, Zugriffskontrollen einzurichten, Risiken einzudämmen, Compliance sicherzustellen, Anfragen zu beantworten, Sicherheitsverletzungen innerhalb von 72 Stunden zu melden und sogar verlässliche Sicherheitsrichtlinien zu erstellen.

Heißt das nun, dass Ihr Unternehmen einen Datenschutzbeauftragten benennen muss oder nicht? Hier sind sich der EU-Rat und das Parlament ebenfalls uneinig. Der Rat würde es gerne jedem Mitgliedsstaat selbst überlassen, ob dies eine obligatorische Anforderung sein soll oder nicht.

Empfehlenswert ist auf jeden Fall, einen Mitarbeiter im Unternehmen inoffiziell als Datenschutzbeauftragten zu benennen. Es ist absolut sinnvoll, dass sich ein Manager oder eine hochrangige Führungskraft, schwerpunktmäßig um die Umsetzung der EU-Regeln kümmert. (Varonis: ra)

Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Ethik für KI-Technologien ein Muss

    Das Europäische Parlament hat kürzlich mit dem "AI-Act" die weltweit erste staatliche Regulierung von KI verabschiedet. Die Verordnung soll die Entwicklung und den Einsatz von KI-Technologien maßgeblich regeln, indem sie Transparenz, Rechenschaftspflichten und Sicherheitsstandards vorschreibt.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld. "Mit einer gründlichen Vorbereitung können Firmen, Freiberufler und Selbstständige der Kontrolle ihrer Buchführung durch das Finanzamt aber in aller Regel gelassen entgegenblicken", betont Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Bausteine für ein erfolgreiches ESG-Reporting

    Das Europäische Parlament hat bereits zum Jahresende 2022 die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, kurz CSRD) angenommen. Zahlreiche Unternehmen - kapitalmarktorientierte, aber auch viele aus dem Mittelstand - sind spätestens Anfang 2025 rechtlich dazu verpflichtet, Informationen über die gesellschaftlichen und ökologischen Auswirkungen ihres Handelns zu veröffentlichen und nach einem klar vorgegebenen Kriterienkatalog Rechenschaft abzulegen.

  • Chaos bei der Umsetzung von NIS-2 droht

    Ein Blick zurück kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft - genauer gesagt endete die 24-monatige Übergangsfrist. Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen.

  • Die Uhr für DORA-Compliance tickt

    Ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt.

EuGH-Urteil zum Safe Harbor-Abkommen Aus Whale-Phishing-Aktivitäten lernen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen