Die geplante EU-Datenschutzverordnung

Transkript

1 Die geplante EU-Datenschutzverordnung Seit 1995 hat sich der Datenschutz in Europa drastisch verändert, so dass die europäische Rechtsvorschrift zum Datenschutz (Datenschutzrichtlinie 95/46/EG) einfach nicht mehr die aktuellen Gegebenheiten wiederspiegeln. Soziale Netzwerke sind in aller Munde und Nutzer geben sehr offenherzig Ihre persönlichen Daten ohne große Bedenken in der Öffentlichkeit weiter. Seit der NSA Affäre werden die Nutzer Gottseidank inzwischen sehr für das Thema Datenschutz sensibilisiert. Doch welche Auswirkungen haben die geplanten Änderungen in der Europaweiten Datenschutzverordnung für Firmen und Unternehmen? Besonders Firmen werden von der neuen Datenschutzverordnung getroffen werden, da der Handlungsspielraum für die Verarbeitung von personenbezogenen Daten deutlich eingeschränkt werden und Verstöße mit hohen Geldstrafen geahndet werden. Aber schauen wir uns erst einmal die Vergangenheit an. Viele Länder der Europäischen Union (EU) haben ihre eigenen Datenschutzgesetze eingeführt, um dieser neuen Realität der verschwimmenden Netzwerkgrenzen Rechnung zu tragen. Die europäischen Datenschutzgesetze sind von Land zu Land verschieden und können stark voneinander abweichen. Hinzu kommt die flutartige Verbreitung von Daten über neue Medien und Technologien, was eine Modernisierung und Vereinheitlichung der EU-Datenschutzvorschriften erforderlich macht. In den letzten zwei Jahren hat die EU Vorschläge zur EU-Datenschutzreform erarbeitet, mit der anstelle des bisherigen Flickenteppichs aus nationalen Gesetzen ein EU-weiter Rahmen geschaffen werden soll. Mit der neuen EU-Datenschutzverordnung sollen die Datenschutzrechte von EU-Bürgern gestärkt, das Vertrauen in Online-Aktivitäten wiederhergestellt und Kundendaten durch Einführung neuer Datenschutzprozesse und - kontrollen in Unternehmen besser geschützt werden. Als dieses Whitepaper verfasst wurde, bestand der Vorschlag aus 91 Artikeln. Wie jedes andere Gesetzeswerk wirft auch die geplante Datenschutzreform viele Fragen auf. Mit diesem Whitepaper möchten wir nicht auf alle Einzelheiten der Reform eingehen, sondern konzentrieren uns auf den Schutz der Vertraulichkeit von Daten, deren Verletzung mit den höchsten Geldbußen geahndet werden soll. Um mehr über die Reformbemühungen zu erfahren, lesen Sie in den im Anhang dieses Dokuments genannten Ressourcen nach. Seite 1 von 6

2 Kernelemente der Reform Der Vorschlag für die Datenschutz-Grundverordnung stellt mit Änderungen und Ergänzungen auf seinem Weg zum Gesetz einen neuen Rekord auf. Nachdem der Vorschlag in einem langwierigen Verfahren gründlich geprüft worden war, stellte sich das EU-Parlament hinter die Datenschutzbemühungen und segnete die Datenschutz- Neuregelung im März 2014 nahezu einstimmig mit 621 Ja-Stimmen, 10 Gegenstimmen und 22 Enthaltungen ab. Auch wenn jetzt eine neuerliche Prüfung und Billigung durch den Rat der Europäischen Union ansteht, ist es wahrscheinlich, dass die zukünftige Gesetzgebung dem jetzigen Vorschlag folgt. Wir greifen im Folgenden einige Artikel heraus, um beispielhaft zu erläutern, was der Vorschlag für den Schutz sensibler Daten vorsieht: Artikel 30 betrifft die Sicherheit der Datenverarbeitung: Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik und der Implementierungskosten technische und organisatorische Maßnahmen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken unter Berücksichtigung der Ergebnisse der Datenschutz- Folgenabschätzung gemäß Artikel 33 angemessen ist. 1a. Eine solche Sicherheitspolitik umfasst unter Berücksichtigung des Stands der Technik und der Implementierungskosten Folgendes: a) die Fähigkeit zu gewährleisten, dass die Vollständigkeit der personenbezogenen Daten bestätigt wird; b) die Fähigkeit, die Vertraulichkeit, Vollständigkeit, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen c) die Fähigkeit, die Verfügbarkeit und den Zugang zu Daten rasch im Falle eines physischen oder technischen Vorfalls (...) wiederherzustellen (...) Die in Absatz 1 genannten Maßnahmen bewirken zumindest, dass a) sichergestellt wird, dass nur ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten erhalten, b) gespeicherte oder übermittelte personenbezogene Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust oder unbeabsichtigter Veränderung und unbefugter oder unrechtmäßiger Speicherung oder Verarbeitung, unbefugtem oder unberechtigtem Zugang oder unbefugter oder unrechtmäßiger Weitergabe geschützt werden, und c) die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten gewährleistet wird. Seite 2 von 6

3 Kurzum: Dieser Artikel schreibt vor, dass Unternehmen dem aktuellen Stand der Technik entsprechende technische Kontrollmechanismen zum Schutz von Daten einführen müssen. Der Artikel schreibt nicht vor, welche Technologien für diese Mechanismen verwendet werden sollen, aber in einem dritten Abschnitt heißt es, dass der Europäische Datenschutzausschuss das Recht hat, zu einem späteren Zeitpunkt den aktuellen Stand der Technik für bestimmte Sektoren und Datenverarbeitungssituationen zu bestimmen. Bei einer Verletzung des Schutzes personenbezogener Daten schreibt Artikel 316 des Vorschlags vor, dass das Unternehmen unverzüglich die Aufsichtsbehörde benachrichtigt. Das Unternehmen ist unter Umständen verpflichtet, die von einer Verletzung des Schutzes ihrer personenbezogenen Daten betroffenen Personen zu benachrichtigen. In Artikel 32 heißt es: 1. Der für die Verarbeitung Verantwortliche benachrichtigt im Anschluss an die Meldung nach Artikel 31 die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten, die Privatsphäre, die Rechte oder die berechtigten Interessen der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird. 2. (...) 3. Die Benachrichtigung der betroffenen Person über die Verletzung des Schutzes personenbezogener Daten ist nicht erforderlich, wenn der für die Verarbeitung Verantwortliche zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er geeignete technische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Durch diese technischen Sicherheitsvorkehrungen sind die betreffenden Daten für alle Personen zu verschlüsseln, die nicht zum Zugriff auf die Daten befugt sind. Wenn die Daten zum Zeitpunkt des Verlusts so geschützt waren, dass sie für unbefugte Personen unbrauchbar sind und das Unternehmen dies gegenüber der Aufsichtsbehörde nachweisen kann, muss das Unternehmen die Personen, deren Daten von dem Verlust oder Diebstahl betroffen sind, nicht benachrichtigen. Wenn ein Unternehmen diese Vorschriften (d. h. Einführung interner Richtlinien und Umsetzung geeigneter Maßnahmen, um die Einhaltung der Bestimmungen zu gewährleisten und nachzuweisen, oder Benachrichtigung der Aufsichtsbehörde und gegebenenfalls der von der Verletzung des Schutzes personenbezogener Daten betroffenen Person) nicht erfüllt, sieht Artikel 79 ( Verwaltungsrechtliche Sanktionen ) Seite 3 von 6

4 vor, dass die Aufsichtsbehörde befugt ist, mindestens eine der folgenden Sanktionen zu verhängen: a) eine schriftliche Verwarnung im Fall eines ersten und nicht vorsätzlichen Verstoßes, b) regelmäßige Überprüfungen betreffend den Datenschutz, c) eine Geldbuße, bis zu EUR oder im Fall eines Unternehmens bis zu 5 % seines weltweiten Jahresumsatzes, je nachdem, welcher der Beträge höher ist. Kurz zusammengefasst: Wenn Sie nicht über die geeignete Technologie zum Schutz sensibler Daten verfügen, müssen Sie unter Umständen zahlen direkt an die Aufsichtsbehörde und indirekt infolge einer Schädigung der Reputation, des Firmen-und Geschäftswerts und des Vertrauens der Kunden. Unternehmen hingegen, die ihre Daten verschlüsseln, schützen ihre Kunden und sich selbst. Der lange Weg vom Vorschlag zum Gesetz Bis eine EU-weite Rechtsvorschrift in Kraft tritt, kann es Jahre dauern. Alle drei Institutionen der Europäischen Union die Europäische Kommission, das Europäische Parlament und der Rat der Europäischen Union müssen ihre Zustimmung geben, damit das Gesetz verabschiedet werden kann. Angestoßen wird der Prozess von der Europäischen Kommission, die auch Vorschläge für die Gesetze der EU erarbeitet. Im Europäischen Parlament ist der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) für die legislative Arbeit im Bereich Informationsaustausch und Datenschutz zuständig. Im Rat der Europäischen Union (auch EU-Ministerrat genannt) fällt diese Ausgabe der Arbeitsgruppe DAPIX zu. Die Vorschläge und Änderungen für das neue EU-Datenschutzrecht stammen von der Europäischen Kommission. Im Oktober 2013 nahm der LIBE-Ausschuss den Entwurf zur Änderung der durch die EU-Kommission vorgelegten Datenschutz-Grundverordnung mit überwältigender Mehrheit an und erhielt das Mandat zur Aufnahme von Verhandlungen mit dem Rat der Europäischen Union. Diese Abstimmung wurde schließlich am 12. März 2014 vom Europäischen Parlament auf seiner Plenarsitzung bestätigt, auch hier mit einer überwältigenden Mehrheit von 621 Ja-Stimmen, 10 Gegenstimmen und 22 Enthaltungen. Durch die Europawahlen wird es sicherlich zu Verzögerungen und Unsicherheiten kommen, aber die bereits geleistete legislative Arbeit und die nahezu einstimmige Billigung des Textes unabhängig von Nationalität und politischer Gesinnung sind ein deutliches Signal, dass dieser Vorschlag weiterverfolgt wird. Der Vorschlag zur Reform des EU-Datenschutzes kann auf seinem Weg zur rechtsgültigen Verordnung nun verschiedene Pfade einschlagen. Es kann durchaus länger als ein Jahr dauern, bis alle möglichen Schritte durchlaufen sind. Seite 4 von 6

5 Wer ist von der Reform betroffen? Der Reformvorschlag für das EU-Datenschutzrecht ist weltweit von Interesse, da jedes Unternehmen, das Geschäftsbeziehungen zu europäischen Bürgern unterhält, davon betroffen ist unabhängig von seinem Standort. Ein Unternehmen, das beispielsweise im US-Bundesstaat Kalifornien niedergelassen ist und Kunden in Deutschland hat, muss sich in Zukunft an die neue Datenschutzverordnung der EU halten. Die EU- Datenschutzreform bringt unter anderem folgende Vorteile mit sich: Ein Kontinent, ein Datenschutzrecht europäische und nicht-europäische Unternehmen brauchen sich nicht mehr über 28 verschiedene nationale Gesetze und Regelungen Gedanken zu machen. Einheitliches Verfahren das Verfahren bei Verstößen und/oder Zuwiderhandlungen ist überall gleich. Gleiche Regelungen für alle Unternehmen unabhängig vom Standort der Unternehmen gelten für geschäftliche Aktivitäten innerhalb der EU immer dieselben Regelungen. Einhaltung der neuen Rechtsvorschriften Die vielen Unternehmen, für die die geplante EU-Datenschutzreform relevant ist, bereiten sich am besten darauf vor, indem sie solide Datenschutzstrategien und - prozesse einführen. Um die Wirksamkeit zu erhöhen, sollte auch eine Verschlüsselung einbezogen werden. Wie bereits erwähnt, sieht der Vorschlag keine speziellen technischen Kontrollmechanismen vor. Diese müssen lediglich dem aktuellen Stand der Technik entsprechen und Kundendaten so schützen, dass sie für unbefugte Personen unbrauchbar sind. Am besten schaut man sich an, wie Unternehmen bei ähnlichen Gesetzen zum Schutz sensibler Daten vorgehen, um die Vorschriften zu erfüllen. Der Payment Card Industry Data Security Standard (PCI DSS) und das US-Bundesgesetz Health Insurance Portability and Accountability Act (HIPAA) für das Gesundheitswesen in den USA sind nur zwei Beispiele für Vorschriften, die Datenschutzkontrollen ähnlich wie diejenigen im Vorschlag zur Reform des EU-Datenschutzrechts vorsehen. Da Daten mit einer Verschlüsselung für unbefugte Personen unbrauchbar gemacht werden, gilt diese Methode allgemein als geeignet, um die Anforderungen zu erfüllen. Bei einem Verlust oder Diebstahl sind Daten, die im Vorfeld verschlüsselt wurden, für Unbefugte wertlos. Niemand kann auf die eigentlichen Daten zugreifen. Genau hier setzen die Datenschutzgesetze und -verordnungen an. Seite 5 von 6

6 Fazit: Wenn Sie Ihr Unternehmen für das neue EU-Datenschutzrecht fit machen möchten, sollten Sie bei Verschlüsselungstechnologien anfangen. Anhang 1. Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung). Europäische Kommission, 25. Januar Q&A on EU Data Protection reform. Europäisches Parlament, 3. April Pressemitteilung: Progress on EU data protection reform now irreversible following European Parliament vote. Europäisches Parlament, 12. März Q&A on EU Data Protection reform. Europäisches Parlament, 3. April BERICHT über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung). Europäisches Parlament, 21. November Seite 6 von 6