Die europäische Datenschutzgrundverordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Während der Stichtag immer näher rückt, müssen sich die Verantwortlichen durch eine Informationsflut kämpfen. Zusammen mit den Auflagen und Bußgelder schüren die kursierenden Informationen oftmals nur Angst vor den bevorstehenden Änderungen. Ein Beitrag von Helko Kögel, Director Consulting bei Rohde & Schwarz Cybersecurity.

Die EU-DSGVO führt zu einem Paradigmenwechsel und birgt große Chancen: Die Verordnung ist eine Modernisierung für wirksamen und konkreten Schutz personenbezogener Daten in Europa. Unternehmen haben die Chance mit Einhaltung der Richtlinien ihr Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern zu untermauern. Im Zeitalter rasanter Digitalisierung und daten-getriebener Wirtschaft ist ein gewissenhafter und integrer Umgang mit Informationen unabdingbar – Geschäfte und Prozesse im Einklang mit der EU-DSGVO garantieren einen solchen Umgang.

Der Wandel der europäischen Rahmenbedingungen führt zu einem Datenschutz (Privacy) by Design, der auf Technikgestaltung und datenschutzfreundlichen Voreinstellungen basiert.

Hinzu kommt: Die EU-DSGVO schließt Backdoor-Lösungen rigoros aus (Backdoors bezeichnen einen Teil einer Software, der es ermöglicht, die normale Zugriffssicherung zu einem Computer oder einer sonst geschützten Funktion eines Computerprogramms zu umgehen und so einen unbefugten Zugang zu erlangen). Damit gibt sie europäischen Unternehmen einen Vorteil gegenüber dem globalen Wettbewerb und Software, die in Deutschland bzw. Europa hergestellt wird, lässt das Feld bezüglich Datensicherheit klar hinter sich.

Grundsätze zur Gewährleistung der Datenverordnung
Mehrere Grundsätze sollen den verbesserten Schutz für Bürger gewährleisten: Festgelegt sind sie in Art. 5 der EU-DSGVO. Dabei handelt es sich um Prinzipien, die bereits seit längerer Zeit in der Europäischen Union unter dem Stichwort Datenschutz Rang haben.

Zum Ersten sollen die Begriffe Rechtmäßigkeit und Transparenz das Bestehen einer Ermächtigungs- bzw. Rechtsgrundlage garantieren, ohne die keine personenbezogenen Daten erhoben und benutzt werden dürfen. Ein weiteres Prinzip, dessen Bedeutung durch die EU-DSGVO steigt, ist das der Zweckbindung. Die personenbezogenen Daten, für die eine Ermächtigungsgrundlage vorhanden ist, dürfen nur zu dem Zweck verwendet werden, für den ebendiese Ermächtigung erteilt wurde. Der Grundsatz der Datenminimierung soll sicherstellen, dass die Datenverarbeitung auf das notwendigste Maß beschränkt ist. Das Gebot der Richtigkeit von Daten kann als das Grundrecht in der Welt des Datenschutzes gesehen werden. Bei falschen und unsachlichen Daten hat das Datensubjekt sofortigen Anspruch auf Berichtigung bzw. Löschung.

Beim Prinzip der Speicherbegrenzung geht es um die Frage, wie lange Daten gespeichert werden dürfen. Hier besagt die neue Verordnung, dass die Datenspeicherung auf den Zeitraum der Verarbeitung beschränkt ist und unbegrenzte Datenspeicherung vermieden werden muss. Die Grundsätze Integrität und Vertraulichkeit gewährleisten, dass die personenbezogenen Daten einer Person angemessen gesichert sind und somit nicht manipuliert oder gefälscht werden können. Vor dem Hintergrund, dass die Zahl der Cyberangriffe auf Datenbanken und Zugangsberechtigungen stetig steigt, erhalten diese Prinzipien in der EU-Verordnung einen neuen Stellenwert.

Schlussendlich soll das Prinzip Rechenschaftspflicht, eines der Grundsätze des gesamten europäischen Datenschutzrechts, dafür sorgen, dass die Verantwortlichkeit und Nachweisbarkeit der Einhaltung der Grundsätze gesichert ist.

Zentrales Thema: Sicherheit der Datenverarbeitung
Das zentrale Thema der EU-DSGVO ist die Sicherheit der Datenverarbeitung. Grund hierfür ist die Annahme, dass durch die Erfüllung der Mindestanforderungen an Sicherheit bei Datenhaltungs- und Datennutzungssysteme von personenbezogenen Daten weniger Datenschutzvorfälle auftreten. Die Verordnung besagt nun, dass bei der Verarbeitung solcher Daten ein dem Risiko angemessenes Schutzniveau gewährleistet werden soll.

Für den oben eingeführten Grundsatz der Integrität und Vertraulichkeit sieht die Verordnung vor, dass Unternehmen bei der Verarbeitung personenbezogener Daten die notwendigen technischen und organisatorischen Maßnahmen gewährleisten müssen. Dies garantiert den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung der Daten, ihren Verlust sowie ihre unbeabsichtigte Zerstörung oder Schädigung. Unter den technischen Maßnahmen für Datensicherheit werden explizit die Verschlüsselung und Pseudonymisierung von personenbezogenen Daten sowie ihre Verarbeitung unter Berücksichtigung des aktuellen Stands der Technik, sprich die real existierenden Technologien und Produkte auf dem Markt, der Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Betroffenenrechte, genannt. Letzteres erfordert einen Datenschutz, der in Korrespondenz zum Risiko steht. Alle Maßnahmen unterliegen, falls erforderlich, einer laufenden Überprüfung und Aktualisierung.

Konkrete Herausforderungen für Unternehmen
Der Paradigmenwechsel stellt Unternehmen vor konkrete Herausforderungen – von der Einhaltung der Standards hin zu einem datenzentrierten und risikoorientierten Ansatz mit allen Verpflichtungen. Maßnahmen, welche die Vertraulichkeit, Integrität und Belastbarkeit der Systeme und Dienste sicherstellen, zählen genauso dazu, wie die Gewährleistung der Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei physischen oder technischen Zwischenfällen, also die Fähigkeit zu deren Wiederherstellung. Neben der Führung eines Verarbeitungsverzeichnisses und erweiterten Anforderungen an ebendieses stehen neue verpflichtende Datenschutzfolgenabschätzungen als erhöhte Anforderungen ans Unternehmen. Hierfür wird eine festgelegte Risikomethodik gefordert. Eine weitere Herausforderung stellen die erweiterten Informations- und Auskunftspflichten gegenüber Betroffenen sowie eine generelle Ausweitung der Betroffenenrechte dar.

Ein konzeptioneller Ansatz schafft Abhilfe
Um sich diesen Herausforderungen zu stellen, sollten Unternehmen konzeptionelle Ansätze in Betracht ziehen, die Datenschutz und Informationssicherheit gleichermaßen betrachten. Es empfiehlt sich die Einführung eines Informationssicherheitsmanagementsystems (ISMS) und Erstellung eines IT-Sicherheitskonzeptes, um die notwendigen Maßnahmen auszuarbeiten und die gesetzten Sicherheitsziele und Risikofolgenabschätzung zu erreichen.

In einer vorausgehenden Vorbereitungsphase wird in einem Kick-off-Workshop der Status Quo in puncto Datenschutz und Informationssicherheit identifiziert. Hier können Verfahrensbeschreibungen, Verträge, Berichte und bereits vorangegangene Audits in Arbeitspakete überführt werden. Diese führen in der Analysephase zur konkreten Aufnahme des Informations- und Datenverbunds. Dadurch wird neben der Risikoanalyse inklusive möglicher Abweichungen (Gap-Analyse) die Planung der tatsächlichen Umsetzung in Gang gebracht. In der letzten Phase, der Umsetzung, geht es um die risikobasierte Realisierung auf Basis des Konzeptes. An dessen Ende steht die detaillierte Inventur der Werte und Klassifizierungen zum Verarbeitungsverzeichnis. Die aufgestellten Risikoanalysen resultieren hierbei typischerweise in der Anpassung der Informationssicherheit und des Datenschutzkonzeptes.

Um dem erhöhten Anspruch der EU-DSGVO gerecht zu werden, bedarf es eines breit aufgestellten Lösungsportfolios, dessen Bestandteile auf allen Ebenen zusammenarbeiten und ineinandergreifen. Auf der Grundlage guter Beratung ist die Einrichtung sicherer Netzwerke, Endpoints, Applikationen und Clouds unumgänglich. Verantwortlich für die Initiierung und Umsetzung der oben genannten Maßnahmen ist immer der Datenschutzbeauftragte und teilweise der IT-Sicherheitsbeauftragte.

Neben den Herausforderungen bringen die zu ergreifenden Maßnahmen viele Vorteile für das Unternehmen. Die eingeführte Nachweis- und Rechenschaftspflicht, nach der Unternehmen nachweisen müssen, dass sie datenschutzrechtliche Vorgaben einhalten, erfordert die Implementierung eines Datenschutzmanagementsystems. Obwohl es sich hier um eine notwendige Bedingung der Verordnung handelt, stellt ein gut aufgestelltes Managementsystem einen hohen Nutzen für das Unternehmen dar. Der Datenschutzbeauftragte erhält schnell eine Übersicht über die laufenden Verarbeitungen von personenbezogenen Daten und kann darauf seine datenschutz-rechtliche Prüfung aufbauen. Zudem ist eine toolgestützte Vorlage des Verfahrensverzeichnisses zur Prüfung durch die zuständige Aufsichtsbehörde für den Datenschutz ohne Vorlaufzeit möglich. Darüber hinaus gewährleistet ein solches Verzeichnis Transparenz und Qualität – auch gegenüber Dritten.

Fazit
Unternehmen bietet die EU-DSGVO neben den neuen Vorlagen viele Chancen: Das Vertrauen seitens der Kunden kann gestärkt werden und die nötige Transparenz gegenüber Dritten wird untermauert. Um sich den konkreten Herausforderungen der EU-DSGVO erfolgreich zu stellen, empfiehlt sich ein Ansatz, der Datenschutz und Informationssicherheit gleichermaßen betrachtet. Ein breit aufgestelltes auf allen Ebenen nahtlos zusammenarbeitendes Lösungsportfolio, bestehend aus sicheren Netzwerken, Endpoints, Applikationen und Clouds, ist dabei unabdingbar.