Sie sind hier: Home » Markt » Hinweise & Tipps

Das umstrittene "Recht auf Vergessenwerden"


EU-Datenschutz-Grundverordnung: Fünf Punkte, die Sie kennen sollten
Anhand des aktuellen Vorschlags des EU-Rats lässt sich in etwa vermuten, wie die finale DS-GVO aussehen wird

Von Varonis

(28.10.15) - Die europäischen Regulierungsbehörden meinen es ernst mit ihrer Datenschutzreform. Die Datenschutz-Grundverordnung (DS-GVO) ist eine komplette Überarbeitung der bisherigen EU-Datenschutzrichtlinie zur Verarbeitung personenbezogener Daten und steht kurz vor dem Abschluss. Wir haben bereits über die lange, episch anmutende Reise der DS-GVO in den letzten beiden Jahren berichtet. Doch nachdem der EU-Rat nun der eigenen Version zugestimmt hat, steht einer abschließenden Diskussionsrunde zur Kompromissfindung mit dem EU-Parlament nichts mehr im Wege. Die DS-GVO wird voraussichtlich Ende 2015 (oder Anfang 2016) verabschiedet und 2017 in Kraft treten. Alle Organisationen – auch US-amerikanische multinationale Konzerne, die personenbezogene Daten aus der EU verarbeiten – müssen also bald strengere Regeln erfüllen, um nachzuweisen, dass sie die Daten aktiv schützen.

Anhand des aktuellen Vorschlags des EU-Rats lässt sich in etwa vermuten, wie die finale DS-GVO aussehen wird. Unternehmen sollten sich insbesondere zu den fünf folgenden Punkten Gedanken machen:

Prinzipien des "Privacy by Design" implementieren
Privacy by Design (PbD) wurde von der ehemaligen Informationsfreiheits- und Datenschutzbeauftragten von Ontario, Ann Cavoukian, entwickelt und hat Sicherheitsexperten, politische Entscheidungsträger und Regulierungsbehörden stark beeinflusst. Cavoukian geht davon aus, dass man Big Data und Datenschutz unter einen Hut bringen kann. Für ihre Botschaft einer PbD-Vision gilt es einige grundlegende Maßnahmen zu ergreifen: möglichst wenige Verbraucherdaten (insbesondere personenbezogene Daten) sammeln, Daten nicht länger aufbewahren als unbedingt nötig und den Konsumenten den Zugriff auf und die Kontrolle über ihre Daten ermöglichen.

Die EU schließt sich dieser Sichtweise an und befürwortet PbD. In Artikel 23 sowie an anderen Stellen der neuen Verordnung wird mehrmals darauf Bezug genommen. Man lehnt sich wohl nicht allzu weit aus dem Fenster, wenn man behauptet, dass man die DS-GVO erfüllt, sobald man PbD implementiert hat.

Da die Zeit einigermaßen knapp bemessen ist, hilft unter Umständen ein Spickzettel, der Ihnen die Prinzipien von PbD erläutert und bei Entscheidungen zum Thema Datensicherheit hilfreich sein kann.

Das Recht auf Vergessenwerden
Das umstrittene "Recht auf Vergessenwerden" wird in Europa bald gesetzlich verankert. Für die meisten Unternehmen bedeutet das, dass Verbraucher das Recht haben, ihre Daten zu löschen. In Artikel 17 des aktuellen Vorschlags für die DS-GVO heißt es: "Der für die Verarbeitung Verantwortliche ist verpflichtet, personenbezogene Daten ohne ungebührliche Verzögerung zu löschen, insbesondere personenbezogene Daten, die erhoben wurden, als die betroffene Person ein Kind war, und die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen zu verlangen, dass sie [sic: die] betreffende[n] personenbezogene[n] Daten ohne ungebührliche Verzögerung gelöscht werden."

An dieser Stelle wird das Recht des Vergessenwerdens ganz deutlich.

Doch was geschieht, wenn der für die Verarbeitung Verantwortliche die personenbezogenen Daten an Dritte wie zum Beispiel einen Cloud-basierten Dienst zur Aufbewahrung oder Verarbeitung weitergibt? Der Arm der EU-Gesetze reicht auch dort hin: Die Cloud-Dienste, die personenbezogene Daten verarbeiten, müssen diese ebenfalls löschen, wenn der für die Verarbeitung Verantwortliche es verlangt.

Übersetzt heißt das: Der Verbraucher beziehungsweise eine betroffene Person kann ein Unternehmen jederzeit auffordern, die Daten zu löschen. In der EU gehören die Daten dem Volk!

US-amerikanische Konzerne müssen Daten schützen
Ich möchte hier auf einen Blog-Beitrag von Andy Green verweisen, in dem er an große US-amerikanische Konzerne appelliert, die Daten von EU-Bürgern erfassen, ihre Datenschutzrichtlinien so zu implementieren, als ob sich die Server in der EU befänden.

Um dieses "extraterritoriale" Prinzip geht es zu Anfang der vorgeschlagenen DS-GVO. Für alle, die es interessiert, hier der Originaltext in seiner ganzen bürokratischen Schönheit:

Der grenzüberschreitende Fluss personenbezogener Daten (...) ist für die Entwicklung des internationalen Handels und der grenzüberschreitenden Zusammenarbeit notwendig. (...) Der durch diese Verordnung unionsweit garantierte Schutz natürlicher Personen sollte jedoch bei der Übermittlung personenbezogener Daten aus der Union an für die Verarbeitung Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen nicht unterminiert werden.

Es gibt zwar noch einige Schwierigkeiten bei der Umsetzung dieser Bestimmungen. Doch nachdem die USA behaupten, dass ihre Datenschutzgesetze auch für Daten auf irischen Servern gelten, scheint es nur natürlich, dass die EU eine ähnliche Aussage über die in den USA gespeicherten Daten ihrer Bürger treffen kann!

Mit welchen Geldbußen ist zu rechnen?
Für ernsthafte Verstöße (zum Beispiel die Verarbeitung sensibler Daten ohne Zustimmung der jeweiligen Person oder aufgrund sonstiger Rechtsgründe) können die Regulierungsbehörden Strafen verhängen. Hier gibt es Unterschiede zwischen der Version des EU-Rats und der des Parlaments. Der EU-Rat sieht Geldbußen von bis zu einer Million Euro beziehungsweise zwei Prozent des weltweit erzielten Jahresumsatzes – also der Einnahmen – eines Unternehmens vor. Das vom Parlament vorgesehene Strafmaß wäre mit bis zu 100 Millionen Euro beziehungsweise fünf Prozent des weltweiten Jahresumsatzes deutlich höher. Darüber werden sich die beiden EU-Organe in den nächsten Monaten noch einigen müssen.

Fakt ist, dass es sich um beträchtliche Summen handeln wird – auch für US-amerikanische Konzerne.

Ziehen Sie in Erwägung, einen Datenschutzbeauftragten zu ernennen
Für wichtige Projekte – und die DS-GVO der EU ist ein riesiges Projekt – braucht man einen Verantwortlichen. Im aktuellen Vorschlag für die DS-GVO soll der Datenschutzbeauftragte dafür zuständig sein, Zugriffskontrollen einzurichten, Risiken einzudämmen, Compliance sicherzustellen, Anfragen zu beantworten, Sicherheitsverletzungen innerhalb von 72 Stunden zu melden und sogar verlässliche Sicherheitsrichtlinien zu erstellen.

Heißt das nun, dass Ihr Unternehmen einen Datenschutzbeauftragten benennen muss oder nicht? Hier sind sich der EU-Rat und das Parlament ebenfalls uneinig. Der Rat würde es gerne jedem Mitgliedsstaat selbst überlassen, ob dies eine obligatorische Anforderung sein soll oder nicht.

Empfehlenswert ist auf jeden Fall, einen Mitarbeiter im Unternehmen inoffiziell als Datenschutzbeauftragten zu benennen. Es ist absolut sinnvoll, dass sich ein Manager oder eine hochrangige Führungskraft, schwerpunktmäßig um die Umsetzung der EU-Regeln kümmert. (Varonis: ra)

Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

  • NIS-2-Umsetzung in Deutschland

    Mit dem neuen für NIS-2-Gesetz kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen zu - doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben. Jetzt ist die Zeit zum Handeln. Seit der Verabschiedung der NIS-2-Richtlinie durch die EU im Jahr 2022 war die Umsetzung in den Mitgliedstaaten ein komplexer Prozess.

  • Dem Fiskus drei Schritte voraus

    Teure Materialien sowie steigende Energie- und Transportpreise sind nur zwei Gründe, warum in zahlreichen Unternehmen der Sparzwang wächst. "Unvorhergesehene und potenziell kostspielige Steuernachzahlungen können in einer ohnehin angespannten Situation den Druck auf die finanziellen Ressourcen empfindlich erhöhen", weiß Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld.

  • Gesetze über Gesetze

    Der Countdown läuft: Die NIS2-Richtlinie steht praktisch schon vor der Tür und Betreiber kritischer Infrastrukturen (KRITIS) arbeiten auf Hochtouren daran, bis Oktober alle notwendigen Maßnahmen zu treffen.

EuGH-Urteil zum Safe Harbor-Abkommen Aus Whale-Phishing-Aktivitäten lernen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen