General Data Protection Regulation: Countdown läuft Das Spiel mit dem Feuer wird gefährlicher

11. August 2017

Wer den Anforderungen durch die Europäische Datenschutzgrundverordnung erfüllen will, der sollte auch die richtigen Werkzeuge ins Haus zu holen. Hierbei ist zum einen eine Lösung für die Pseudonymisierung ausgewählter Daten gefragt, wie etwa die Interessenprofile einzelner Kunden. Zum anderen geht es um eine Verschlüsselungslösung für „data-in-transit“, „data-at-rest“ und „data-in-processing“.

Rechtliches Novum

Am 25. Mai 2018 tritt mit der Europäischen Datengrundschutz-Verordnung (EU DGSVO, auch bekannt unter GDPR, „General Data Protection Regulation“) ein rechtliches Novum in Kraft: Zum ersten Mal existieren verbindliche europäische Vorgaben im Datenschutz. Das ist grundsätzlich eine gute Nachricht. Denn es vereinfacht die Sache im Vergleich zu vielen nationalen Einzelregelungen, die es zu beachten gilt.

Wie hoch der individuelle Aufwand für Unternehmen wird, die neuen EU-Vorgaben zu erfüllen, hängt vor allem von den bisher relevanten Märkten ab. So sind in den nationalen Vorgaben von Deutschland und Österreich bereits heute zahlreiche Vorgaben der GDPR enthalten. Auch die britische Regierung hat aktuell das Umsetzen einiger Punkte angekündigt.

Einige Elemente kommen jedoch für alle neu hinzu, etwa das Einbeziehen von Cloud-Infrastrukturen oder das „Recht auf Vergessen“. Auch die deutlich höheren Strafen, die strengen Aufsichtspflichten und -rechte, sowohl durch den nun zu verpflichtenden eigenen Datenschutzbeauftragten als auch durch die Behörden, sind neu. Die Verordnung bezieht sich auf alle Prozesse, bei denen Daten von Partnern, Kunden oder Mitarbeitern verarbeitet werden. Dies ist im Zweifelsfall sehr weitreichend auszulegen.

Daher stellt sich die Frage, wo Unternehmen am besten anfangen sollten. Folgende drei Aufgaben sollten ganz oben auf der Agenda stehen:

•    Sämtliche Prozesse, bei denen Daten verarbeitet werden, sorgfältig durchleuchten und anpassen.
•    Weitreichend planen, wo persönlich identifizierbare Daten anfallen und diese frühzeitig im Prozess entweder durch starke Verschlüsselung schützen oder sorgfältig „pseudonymisieren“.
•    Einen qualifizierten Datenschutzbeauftragten einsetzen, der alle Prozesse auf Compliance überprüft.

Die Auswirkungen

Grundsätzlich gilt ab 25. Mai 2018: Kann ein Unternehmen die ausreichende Pseudonymisierung nicht sicherstellen und nachweisen, ist es voll GDPR-pflichtig. Das bedeutet, es muss beispielsweise in der Lage sein, Nutzer jederzeit zu informieren, jede Verletzung der GDPR-Vorgaben zu registrieren und im Fall des Falles zu melden. Darüber hinaus müssen Prozesse etabliert sein, um auf Antrag das „Recht auf Vergessen“ zu gewähren.

Das dürfte sich auch auf einige IT-Trends und -Anwendungen wie Webservices oder Werbe-Tools auswirken, insbesondere mit Blick auf Usability und Personalisierung – ein unvermeidlicher Preis für den verbesserten Schutz der Privatsphäre.

In Anbetracht des Umfangs und des verfügbaren Zeitraums überlegen viele Unternehmen, das Thema GDPR auszulagern. Das hat zwar den Vorteil, dass sich technische Maßnahmen einfacher umsetzen lassen. Doch auch beim Outsourcing bleiben die rechtliche Haftungssituation sowie die Compliance-Anforderungen bestehen. Unternehmen sind verpflichtet, mit allen Outsourcern Vereinbarungen zur Datenübertragung und -verarbeitung zu treffen. Denn als Kundenschnittstelle bleiben sie immer in der Rolle des „Data Controllers“.

Trotzdem kann sich externe Unterstützung schnell lohnen: Es gibt – gerade in Deutschland mit einem historisch hohen Datenschutzniveau – eine Vielzahl von kompetenten IT-Dienstleistern, die mit der Umsetzung von GDPR-Projekten vertraut sind. Gerade wenn es um komplexe Fragen wie eine holistische Datensicherheitsstrategie, Privacy-by-Design oder und um die technische Implementierung von Verschlüsselung, Key-Management und sicherem Schlüsselspeicher geht, ist Expertenrat hilfreich.

Pseudonymisierung

Malte Pollmann ist CEO bei der Utimaco GmbH; Quelle: Utimaco

Dennoch: Es führt kein Weg daran vorbei, sich die richtigen Werkzeuge ins Haus zu holen. Zum einen eine Lösung für die Pseudonymisierung ausgewählter Daten wie etwa die Interessenprofile einzelner Kunden. Zum anderen eine Verschlüsselungslösung für data-in-transit, data-at-rest und data-in-processing. Diese sollte auf hochsicheren, zertifizierten Verschlüsselungsalgorithmen, sicherem Schlüsselmaterial und hochsicherem Schlüsselspeicher basieren. Wichtig ist zudem, dass die Lösung eine Möglichkeit zur Auditierbarkeit bietet, um Haftungsprobleme auszuschließen.

Speziell für in Deutschland ansässige Unternehmen gibt es eine Reihe von guten Informationsbroschüren und Weiterbildungen, sowohl der deutschen IT-Sicherheitshersteller als auch der Verbände bitkom e.V. und Teletrust e.V.. Sie haben sich bereits sehr frühzeitig mit der praktischen Umsetzung der Themen beschäftigt. Darüber hinaus bieten die nationalen Datenschutzbehörden und die unabhängigen Landesämter für Datenschutz offizielle Hilfe und Informationen an.

Mittel und Wege sind also vorhanden. Unternehmen, die jetzt die Aufgabe GDPR-Compliance fokussieren, können sich bis zum Inkrafttreten der Verordnung ausreichend absichern. Also: (noch) kein Grund zur Panik.

Malte Pollmann

ist CEO bei der Utimaco GmbH

Hier geht es zu Utimaco

Lesen Sie auch