Die neue Datenschutz-Grundverordnung der Europäischen Union (GDPR) ist beschlossene Sache. Sie sorgt allerdings mit ihren Übergangsregelungen bis 2018 für viele Verwirrrungen. Was wird sich ändern und auf was muss ich als Cloudnutzer achten? Hierzu finden sich kontroverse Aussagen und einige Mythen um die neue Verordnung im Netz.
Anzeige
Die neue Datenschutz-Grundverordnung der EU definiert Regeln für die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. In Kraft trat die Verordnung am 25. Mai 2016, die Umsetzung durch die EU-Mitgliedstaaten beträgt zwei Jahre (bis 25. Mai 2018).
In einem Newsletter von medialab.com hat man versucht, das EU-Werk folgendermaßen zu charakterisieren.
Mit 173 Erwägungsgründen und 99 Artikeln ist die EU-Datenschutzgrundverordnung (EU-DSGVO) wahrlich kein Schmalhans. …Hierzulande, wo der Schutz persönlicher Daten sehr hoch gehalten wird, muss man sich nun mit einer Verordnung auseinandersetzen, die wesentlich umfangreicher als das Bundesdatenschutzgesetz ausfällt. Wie mag das erst in anderen Ländern aussehen?
Kein Stein bleibt auf dem anderen
Experten schätzen, dass rund 120 deutsche Gesetze aufgrund der EU-DSGVO umgeschrieben werden müssen. Es lässt sich erahnen, dass sich nicht nur die Datenschutzbeauftragten aus Bund und Ländern mit der Verordnung befassen müssen. Und das alles bis zum 25. Mai 2018, denn dann endet die zweijährige Übergangszeit. Bis dato müssen die nationalen Gesetzgebungsverfahren laut EU-DSGVO abgeschlossen sein.
Angesichts der Mammutaufgabe eine zu kurze Frist, wie der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) meint. Auf seiner Webseite läuft ein Timer rückwärts, der die Tage bis zum 25. Mai 2018 zählt. "Die Herausforderung bestehe laut BvD darin, "sich mit dem Regelungswerk der DSGVO vertraut zu machen, den individuellen Umstellungsbedarf festzustellen und dabei die laufende Gesetzgebung zum Datenschutz auf nationaler Ebene nicht unberücksichtigt zu lassen."
Zur EU-Datenschutz-Grundverordnung hatte heise.de bereits im Dezember 2015 den Beitrag Neue EU-Datenschutzregeln: Facebook erst ab 16 Jahren und vor einigen Tagen gab es den Artikel Neue Datenschutz-Grundverordnung der EU laut Experten ohne Wirkung. Tenor: Die Verordnung funktioniere nicht.
Wie dem auch immer sei, vom Anwendungssicherheits-Spezialist Veracode habe ich einen Text, der sich mit den vier häufigsten Missverständnissen zur EU-Datenschutz-Grundverordnung aus Sicht von Cloud-Nutzern befasst. Das ist in meinen Augen auch ganz interessant im Hinblick "ich setze Software xyz ein, die dann irgendwelche Daten im Hintergrund 'in der Cloud' speichert". Das könnte für Unternehmen dann teuer werden – wenn die Daten dort "verlustig" werden. Hier die vier Thesen von Veracode.
Missverständnis Nr. 1: Die Datenschutz-Grundverordnung verbietet Unternehmen, personenbezogene Daten in der Cloud zu speichern
Was müssen Unternehmen beachten, die personenbezogene Daten erheben, archivieren und verarbeiten? Dass sie in Zukunft vollends auf Cloud-Services und SaaS verzichten müssen, ist natürlich eine Fehlinformation. Es besteht neuerdings jedoch die Pflicht, den Datenaustausch mit der Cloud exakt zu dokumentieren. Außerdem sollen Unternehmen „geeignete technische und organisatorische Maßnahmen" ergreifen, um die unrechtmäßige Verarbeitung personenbezogener Daten und vergleichbares Fehlverhalten zu verhindern. Im Hinblick auf Daten, die nicht als personenbezogen klassifiziert werden können, ist die Richtlinie übrigens weniger strikt – spezifische Maßnahmen oder Vorkehrungen werden hier nicht gefordert.
Missverständnis Nr. 2: Unternehmen aus der Europäischen Union dürfen fortan keine Verträge mehr mit Cloud- oder SaaS-Anbietern abschließen
Die herrschende Verwirrung hat einige Unternehmen dazu bewogen, von Verträgen mit SaaS- und Cloud-Providern vorerst Abstand zu nehmen. Sie verzichten damit auf eine der wichtigsten Innovationen des digitalen Zeitalters – und das letztlich grundlos. Denn entscheidend ist lediglich, dass Unternehmen personenbezogene Daten in der Cloud angemessen schützen und den Datenaustausch dokumentieren. Sind diese Voraussetzungen erfüllt, steht der Nutzung entsprechender Services nichts im Weg.
Anzeige
Missverständnis Nr. 3: Unternehmen, die Daten in der Cloud speichern, erwartet eine Strafe
Wer in der Cloud mit personenbezogenen Daten hantiert, dabei seine Sorgfaltspflicht verletzt und dann Opfer eines Datendiebstahls wird, den erwartet tatsächlich eine Strafe. Sofern diese drei Bedingungen jedoch nicht gleichzeitig gegeben sind, haben Unternehmen nichts zu befürchten. Das einfache Speichern von Daten in der Cloud ist selbstverständlich nicht verboten und wird auch nicht bestraft.
Missverständnis Nr. 4: Kommt es zu einem Datendiebstahl, sehen Cloudnutzer hohen Geldstrafen entgegen
Die neue Datenschutz-Grundverordnung verlangt von Unternehmen, geeignete Maßnahmen zu ergreifen um sicherzustellen, dass alle persönlichen Daten in der Cloud ausreichend geschützt sind. Kommen sie dieser Verpflichtung nicht nach, erwarten sie im Falle einer Kompromittierung der Daten tatsächlich schwerwiegende Geldstrafen. Wer unverschuldet Opfer eines Datendiebstahls wird, hat jedoch keine zusätzliche Bestrafung zu befürchten. Es reicht deshalb aus, in Zukunft ein verstärktes Augenmerk auf Sicherheit zu legen.
Fazit: Die Cloud besser absichern
Die Datenschutz-Grundverordnung der Europäischen Union trifft Cloud-Nutzer (nach Ansicht von Veracode) weniger hart als oftmals befürchtet. Doch trotz aller Missverständnisse: Das neue Gesetz konfrontiert Unternehmen mit neuen Anforderungen. Wenn sie personenbezogene Daten in der Cloud speichern wollen, müssen sie in Zukunft verstärkt dafür sorgen, dass diese auch ausreichend geschützt sind. Außerdem muss der Datenaustausch sorgfältig dokumentiert werden. Kommen sie diesen Verpflichtungen nicht nach, erwarten sie Bußgelder in erheblicher Höhe. Das notwendige Know-how müssen entweder die eigenen Mitarbeiter bereitstellen oder externe Dienstleister, die auf Datenschutz und Sicherheit spezialisiert sind. Angesichts der gestiegenen Anforderungen auf die Cloud zu verzichten, wäre natürlich keine gute Idee: Unternehmen würden sich damit der wichtigsten Plattform für die Digitalisierung ihrer Geschäftsprozesse berauben – und somit zwangsläufig hinter ihre Konkurrenz zurückfallen.
2015
