Mit der jetzt in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) der EU sollte die Vorbereitung auf die DSGVO für Unternehmen überall an erster Stelle stehen, nicht nur für Unternehmen mit Sitz in der Europäischen Union (EU). Diese DSGVO-Übersicht führt Sie durch die Grundlagen, einschließlich der sieben Grundsätze, die die Regulierung und Durchsetzung vorantreiben.
Inhaltsübersicht
Was is die Datenschutz-Grundverordnung (DSGVO)?
Grundsatz 1: Treu und Glauben, Rechtmäßigkeit und Transparenz
Grundsatz 2: Zweckbindung
Grundsatz 3: Datenminimierung
Grundsatz 4: Richtigkeit
Grundsatz 5: Speicherbegrenzung
Grundsatz 6: Integrität und Vertraulichkeit
Grundsatz 7: Rechenschaftspflicht
Bestehen Ihre Dateiübertragungssysteme den DSGVO-Test bestehen? Lesen Sie dieses kostenlose E-Book
Was is die Datenschutz-Grundverordnung (DSGVO)?
Die Datenschutz-Grundverordnung (DSGVO) ist ein neues Datenschutzrecht für alle 28 Mitgliedstaaten der Europäischen Union.
Die DSGVO setzt einen hohen Standard für den Datenschutz und gilt für jede Organisation, die personenbezogene Daten von betroffenen Personen in der EU verarbeitet, unabhängig davon, ob diese Organisation selbst in der EU ansässig ist oder nicht. Dies ist wichtig, da die von der DSGVO festgelegten Standards viel strenger sind als die der aktuellen US-Datenschutzgesetze. Und die Strafen bei Nichteinhaltung sind hart. Bis zu 24 Mio. USD oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Die DSGVO soll das Sammelsurium von Datenschutzvorschriften und -behörden, das derzeit in den 28 EU-Mitgliedstaaten gilt, ablösen und eine homogene Regelung schaffen, die in der gesamten EU gilt.
Die Reform modernisiert die Grundsätze der EU-Datenschutzrichtlinie von 1995 und gilt für personenbezogene Daten betroffener Personen in der EU, die von den in der Verordnung so genannten Datenverantwortlichen und Datenverarbeitern verarbeitet werden (dazu später mehr).
Wichtige Fragen zur DSGVO
Wann trat die DSGVO in Kraft?
Die DSGVO wurde im April 2016 in Kraft gesetzt und trat am 25. Mai 2018 in Kraft. Danach muss jede Organisation, die personenbezogene Daten von betroffenen Personen in der EU erhebt, speichert oder verarbeitet, die Datenschutz-Grundverordnung einhalten.
Was sind personenbezogene Daten?
In der EU sind personenbezogene Daten alle Daten, die allein oder in Kombination mit anderen Daten, auf die der Inhaber wahrscheinlich zugreifen kann, zur Identifizierung einer Person verwendet werden können. Für einen Cyberkriminellen macht die Erfassung, Verarbeitung und Übertragung personenbezogener Daten Unternehmen in einer Vielzahl von Branchen zu lukrativen Zielen für Phishing, Denial-of-Service, Ransomware und Advanced Persistent Threat Attacks.
Wer ist eine betroffene Person?
Nach EU-Recht ist eine betroffene Person jede Person innerhalb der EU-Grenzen, deren personenbezogene Daten (sei es EU-Bürger, Einwohner oder durchreisende Touristen) erhoben wurden, um ihnen Waren und Dienstleistungen innerhalb der EU anzubieten. EU-Bürger gelten auch dann als betroffene Personen, wenn sie im Ausland sind oder Geschäfte mit einem im Ausland ansässigen Unternehmen tätigen, wenn dieses Unternehmen Waren und Dienstleistungen innerhalb der EU-Grenzen anbieten möchte.
Beispiel: Wenn ein Deutscher über AirBnB (einen in den USA ansässigen Dienst) einen Urlaubsaufenthalt in Spanien bucht, gilt die DSGVO, da das angebotene Zimmer in Spanien innerhalb der EU liegt. Wenn dieselbe Person ein Zimmer in Japan bucht, gilt die DSGVO nicht, da die angebotene Dienstleistung nicht innerhalb der EU liegt.
Lange Rede, kurzer Sinn, die DSGVO schützt die Daten von Personen, definiert ihre Reichweite jedoch durch die gekauften und in die EU verkauften Dinge.
Was sind Datenverantwortliche und Datenverarbeiter?
Verantwortliche und Auftragsverarbeiter sind zwei verschiedene Arten von Organisationen, für die die DSGVO gilt, nämlich solche, die personenbezogene Daten „kontrollieren“ und solche, die sie „verarbeiten“. Ein Datenverarbeiter im Sinne der DSGVO ist jede Organisation, die personenbezogene Daten von betroffenen Personen in der EU erhebt, verarbeitet, speichert oder übermittelt. Ein Datenverantwortlicher ist die Organisation, die die Aktivitäten des Auftragsverarbeiters leitet.
Das bedeutet, dass der Datenverantwortliche das Wie und Warum der Verarbeitung personenbezogener Daten definiert und der Datenverarbeiter im Auftrag des Datenverantwortlichen handelt. Beispielsweise ist eine Bank, die Scheck-Imaging-Prozesse auslagert, der Datenverantwortliche, während der Outsourcer der Prozessor ist.
Gemäß der DSGVO müssen Datenverarbeiter einen Audit-Trail aller Verarbeitungsaktivitäten führen, aber es liegt in der Verantwortung des Datenverantwortlichen, sicherzustellen, dass alle ihre Auftragsverarbeiter die Vorschriften einhalten. Verantwortliche werden nicht von ihren Datenschutzpflichten entbunden, wenn eine Verletzung in einem Auftragsverarbeiter-Netzwerk auftritt.
Die Übertragung personenbezogener Daten zwischen Verantwortlichen und Auftragsverarbeitern muss sicher sein und die Daten müssen während der Verarbeitung geschützt werden. In bestimmten Fällen kann die DSGVO auch verlangen, dass der Datenverarbeiter personenbezogene Daten löscht, die nach der Verarbeitung nicht mehr benötigt werden.
Wer muss die DSGVO einhalten?
Die Regeln der DSGVO gelten für jede Organisation, die personenbezogene Daten von betroffenen Personen in der EU erhebt, speichert oder verarbeitet. Dabei spielt es keine Rolle, wo Ihr Unternehmen seinen Hauptsitz hat. Auch Unternehmen, die keine physische Präsenz in der EU haben, müssen die DSGVO einhalten.
Wir sind bereits HIPAA-konform – werden wir die DSGVO konform sein?
Nicht ganz. Es gibt einige Überschneidungen, aber die DSGVO ist ein viel umfangreicherer und weitreichenderer Rechtsakt. In diesem Blogbeitrag können Sie mehr über die Unterschiede zwischen den beiden lesen.
Welche Strafen drohen bei Nichteinhaltung?
Die Folgen bei Nichteinhaltung der DSGVO sind schwerwiegend, bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Würde der Brexit Großbritannien von der DSGVO ausschließen?
Nein. Auch beim Brexit müssen britische Unternehmen die DSGVO einhalten. Das Datum für den Austritt aus der EU liegt nach dem Datum des Inkrafttretens der DSGVO im Mai 2018. Somit unterliegen britische Unternehmen der Gerichtsbarkeit der EU und unterliegen der DSGVO. Auch nach dem Brexit müssen britische Unternehmen die Vorschriften erfüllen, wenn sie personenbezogene Daten von betroffenen Personen in der EU erheben, speichern oder verarbeiten.
Sie haben noch Fragen?
In unserem E-Book zur Vorbereitung auf die DSGVO finden Sie eine detailliertere Aufschlüsselung der DSGVO und ihrer Auswirkungen.
Wichtige Details zur DSGVO
Die DSGVO basiert auf sieben Datenschutzgrundsätzen, die zusammen sicherstellen, dass die Rechte des Einzelnen bei der Erhebung und Verarbeitung personenbezogener Daten von betroffenen Personen in der EU im Mittelpunkt stehen.
Die neuen Bestimmungen stärken die Kontrolle der Benutzer über die Verarbeitung und Speicherung personenbezogener Daten und gewähren wichtige Rechte und Freiheiten wie das Recht auf Einwilligung, das Recht auf Information, das Recht auf Datenübertragbarkeit und das Recht auf Löschung personenbezogener Daten (d.h. das "Recht auf Vergessenwerden".)
Grundsatz 1: Treu und Glauben, Rechtmäßigkeit und Transparenz
Der erste Grundsatz des Datenschutzgesetzes der DSGVO ist das Erfordernis einer "fairen, rechtmäßigen und transparenten Verarbeitung von Daten". Was bedeutet das?
Nach dieser Regel schreibt die DSGVO vor, dass ein Verantwortlicher in der Lage sein muss, einer betroffenen Person (d.h. dem Benutzer) detaillierte Informationen über ihre Verarbeitung personenbezogener Daten zu geben.
Um konform zu sein, müssen diese Daten leicht zugänglich und in klarer, prägnanter und transparenter Sprache dargestellt werden. Verabschieden Sie sich also von der 100-seitigen Nutzungsvereinbarung.
Um die EU-Anforderungen an die Transparenz zu erfüllen, müssen die für die Verarbeitung Verantwortlichen Personen informieren:
- Bevor personenbezogene Daten erhoben werden
- Wann immer Änderungen in den Datenerfassungsprozessen vorgenommen werden
- Schließlich muss die betroffene Person der Datenverarbeitung zustimmen.
Diese Einwilligung kann verschiedene Formen annehmen, muss jedoch aus freiem Willen der betroffenen Person erfolgen, und die Einwilligung muss durch positive Maßnahmen (z. B. Anklicken eines Kontrollkästchens) signalisiert werden. Das bedeutet, dass die stillschweigende Einwilligung gemäß der DSGVO ein großes No-Go ist.
Das Gesetz besagt auch, dass personenbezogene Daten, die für die Verarbeitung erhoben und verwendet werden, "angemessen, relevant und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt" sein müssen und die Dauer der Speicherung dieser Daten auf ein "strenges Minimum" beschränkt wird ."
Grundsatz 2: Zweckbindung
Gemäß dem zweiten Datenschutzgrundsatz der DSGVO [Artikel 5, Absatz 1(b)] ist es vorgeschrieben, dass personenbezogene Daten von betroffenen Personen in der EU „zu bestimmten, eindeutigen und rechtmäßigen Zwecken erhoben und nicht in einer Weise weiterverarbeitet werden, die mit diese Zwecke.“ Eine weitere Verarbeitung dieser Daten sollte nicht „mit den ursprünglichen Zwecken unvereinbar“ sein.
Im Klartext bedeutet dies, dass Sie einen legitimen, rechtmäßigen Zweck für das Sammeln und Verarbeiten von Benutzerdaten benötigen – keine Datensammlung mehr, nur weil Sie es können. Wenn Sie personenbezogene Daten sammeln, die keinem bestimmten Zweck dienen, können Sie feststellen, dass Sie gegen die Vorschriften verstoßen.
Ebenso dürfen Sie unter GDPR, sobald Sie Daten für Ihren Zweck gesammelt und verarbeitet haben, diese Daten möglicherweise nicht für einen nicht verbundenen Zweck verarbeiten. Beispielsweise konnten zu Forschungszwecken gesammelte Daten nicht zu Marketingzwecken verarbeitet und verkauft werden.
Im Sinne der DSGVO sind personenbezogene Daten alle Daten, die allein oder in Kombination mit anderen Daten, auf die der Inhaber wahrscheinlich zugreifen kann, zur Identifizierung einer Person verwendet werden können. Das bedeutet Name, Telefonnummer, IP-Adresse, E-Mail… die ganze Skala.
Im jüngsten Facebook-Skandal, bei dem Mark Zuckerberg vor Mitgliedern des US-Kongresses und des EU-Parlaments aussagte, wurde bekannt, dass das britische Politikberatungsunternehmen Cambridge Analytica die zu Forschungszwecken gesammelten Daten verwendet, um Millionen von Amerikanern und EU-Bürgern für politische Zwecke anzusprechen Anzeigen während des Wahlzyklus 2016. Unter den neuen Beschränkungen der DSGVO würden Cambridge Analytica und Facebook mit hohen Geldstrafen von bis zu 4 Prozent des weltweiten Jahresumsatzes weltweit belegt.
Derzeit gibt es in den USA kein solches Gesetz zur Zweckbindung der Bücher.
Grundsatz 3: Datenminimierung
Eine der wichtigsten Möglichkeiten, wie die DSGVO die Datenerhebung und -verarbeitung verändert, ist das Prinzip der Datenminimierung gemäß Abschnitt 5, Satz 1(c). Nach diesem Grundsatz müssen alle erhobenen personenbezogenen Daten „angemessen, relevant und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt sein“.
Dies steht in engem Zusammenhang mit der Zweckbindung, unterscheidet sich jedoch darin, dass die Einschränkung der Speicherung der Daten sowie der erhobenen Daten erforderlich ist. Um DSGVO-konform zu sein, müssen Sie im Wesentlichen in jeder Phase des Datenlebenszyklus Prozesse und Regeln zur Datenminimierung implementieren – von der Erfassung bis zur Verarbeitung, Speicherung und Nutzung. Zu jedem Zeitpunkt des Prozesses sollten Sie sich fragen: Brauchen wir diese Daten wirklich? Wenn die Antwort nein ist, sollten Sie die Informationen löschen. Dieser Prozess sollte mit einem nachweisbaren Audit-Trail dokumentiert werden.
Darüber hinaus bedeutet Datenminimierung, dass Sie darüber nachdenken müssen, wie lange Sie personenbezogene Daten speichern möchten. Wenn Sie beispielsweise Daten für ein Projekt benötigen, das sieben Wochen dauert, müssen Sie diese Daten löschen, wenn das Projekt abgeschlossen ist und die Daten nicht mehr benötigt werden. Derzeit ist es gängige Praxis, alle persönlichen Daten aufzubewahren, falls sie später nützlich sein könnten. Seien Sie gewarnt: Dies ist nicht DSGVO-konform.
Um DSGVO-konform zu bleiben, stellen Sie sich bei der Datenerhebung folgende Fragen:
- Wie werde ich personenbezogene Daten verwenden?
- Kann ich mein Ziel erreichen, ohne personenbezogene Daten zu erheben?
- Wie lange muss ich personenbezogene Daten aufbewahren, um mein Ziel zu erreichen?
MOVEit kann Sie bei der Einhaltung der DSGVO-Grundsätze 2 und 3 unterstützen
Erhebt, speichert, verarbeitet oder übermittelt Ihr Unternehmen personenbezogene Daten von EU-Betroffenen, gilt für Sie die Datenschutz-Grundverordnung (DSGVO). Angesichts dieser Tatsache besteht die beste Vorgehensweise darin, sicherzustellen, dass die Systeme, die Benutzerauthentifizierung und die Verschlüsselungstechniken, die bei der Übertragung personenbezogener Daten erforderlich sind, sicher sind und der DSGVO entsprechen. Erfahren Sie mehr darüber, wie MOVEit die Verwaltung und Sicherung von Dateiübertragungsaktivitäten in Ihrem Netzwerk unterstützen kann.
Grundsatz 4: Richtigkeit
Nach dem vierten Grundsatz der DSGVO müssen alle erhobenen oder verarbeiteten personenbezogenen Daten „richtig und gegebenenfalls auf dem neuesten Stand“ sein. Darüber hinaus schreibt die DSGVO vor, dass „alle zumutbaren Schritte unternommen werden müssen, um sicherzustellen, dass personenbezogene Daten, die in Bezug auf die Zwecke, für die sie verarbeitet werden, unrichtig sind“, „unverzüglich gelöscht oder berichtigt werden“.
Was genau bedeutet das? Im Klartext: Sie können keine Junk-Daten aufbewahren, und es liegt in Ihrer Verantwortung, sicherzustellen, dass die Daten korrekt und aktuell sind. Andernfalls müssen Sie es löschen.
Nehmen wir zum Beispiel an, Sie arbeiten an einer politischen Kampagne und verwenden Daten aus dem letzten Wahlzyklus. Gemäß dem vierten Prinzip liegt es in Ihrer Verantwortung, sicherzustellen, dass Sie korrekte und aktuelle Daten verwenden, bevor Sie diese an diese Wähler versenden.
Dies berührt sowohl das Recht der Person auf Berichtigung als auch sein Recht auf Löschung - beides wichtige Bestimmungen der DSGVO. Im Rahmen des Rechts auf Berichtigung haben Einzelpersonen das Recht, unrichtige Angaben berichtigen und unvollständige Angaben vervollständigen zu lassen. Im Rahmen des Rechts auf Löschung können sie die Löschung ihrer personenbezogenen Daten verlangen und erwarten, dass Sie dies rechtzeitig tun.
Grundsatz 5: Speicherbegrenzung
Erinnern Sie sich an Grundsatz Drei, wie das Aufbewahren personenbezogener Daten für den Fall, dass sie später nützlich sein könnten, nicht mit der DSGVO konform ist? Nun, den Verfassern dieser Regel hat es so gut gefallen, dass sie darauf aufbauend einen ganzen Datenschutzgrundsatz geschrieben haben: den Grundatz der Speicherbeschränkung.
Nach diesem Grundsatz dürfen personenbezogene Daten „nicht länger in einer Form aufbewahrt werden, die eine Identifizierung der betroffenen Personen ermöglicht, als dies für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist“. Sollen personenbezogene Daten länger gespeichert werden, muss nachgewiesen werden, dass die Daten „ausschließlich für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke verarbeitet werden“.
Grundsätzlich gilt, wie bereits gesagt, Sie dürfen personenbezogene Daten nur so lange aufbewahren, wie Sie sie für die Aufgabe benötigen, für die sie erhoben wurden. Die Nutzungsdauer der Daten kann viel länger sein, aber Sie können sie nicht beibehalten und für andere Zwecke wiederverwenden (oder an eine andere Person verkaufen). Dies würde chaotische Skandale wie den bei Facebook/Cambridge Analytica verhindern und ist ein Grundrecht der DSGVO.
Um diesem Grundsatz zu entsprechen, benötigen Sie eine Richtlinie, die Aufbewahrungsfristen vorschreibt, und Dokumentationsanforderungen für diese Richtlinie, die es Ihnen ermöglicht, die Einhaltung zu überprüfen. Außerdem sollten Sie Ihre Daten regelmäßig überprüfen und löschen, wenn sie nicht mehr benötigt werden.
Grundsatz 6: Integrität und Vertraulichkeit
Der sechste Grundatz der DSGVO ist eines der wichtigsten und das aus gutem Grund – es dreht sich alles um Sicherheit.
Grundsatz 6 besagt, dass Daten "in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung durch geeignete technische oder organisatorische Maßnahmen".
Im Klartext: Organisationen müssen persönlich identifizierbare Informationen (PII) so behandeln, dass sie vor Diebstahl, Zerstörung oder versehentlichem Verlust geschützt sind. Die Forderung nach "geeigneten technischen oder organisatorischen Maßnahmen" ist ein wenig verschwommen, und es ist wahrscheinlich, dass der Autor der DSGVO absichtlich vage Sicherheitsmaßnahmen vorschrieb, da diese Technologien und Best Practices einem ständigen Wandel unterliegen.
Ohne zu spezifisch zu sein, fördert das Prinzip dennoch die Verwendung bewährter Best Practices für die Cybersicherheit – etwa die Verschlüsselung von Daten während der Übertragung und im Ruhezustand, die Verwendung von 2FA und die Verwendung von manipulationssicherer Protokollierung, um zu verfolgen, wer auf Daten zugreift.
Grundsatz 7: Rechenschaftspflicht
Obwohl der sechste Grundsatz das einzige ist, das sich ausdrücklich auf die Sicherheit konzentriert, wäre kein Überblick über die DSGVO vollständig, ohne über das zu sprechen, was alle interessiert: die Konsequenzen.
Grundsatz 7 stellt kurz und bündig fest, dass "der Verantwortliche für die Einhaltung [der vorherigen Grundsätze] verantwortlich und in der Lage ist, die Einhaltung dieser nachzuweisen."
Wenn Sie die oben genannten sechs Grundsätze nicht einhalten, können die Folgen gravierend sein: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Und die Einhaltung ist für jede Organisation, die personenbezogene Daten von betroffenen Personen in der EU erhebt, speichert oder verarbeitet, obligatorisch. Dabei spielt es keine Rolle, wo Ihr Unternehmen seinen Hauptsitz hat. Auch Unternehmen, die keine physische Präsenz in der EU haben, müssen die DSGVO einhalten.
Doch wie sieht es mit Compliance aus? Wie soll die Einhaltung nachgewiesen werden? Die DSGVO beschreibt nicht, wie Unternehmen Compliance nachweisen, da dies je nach Art Ihres Unternehmens, den von Ihnen verarbeiteten personenbezogenen Daten und der Größe Ihres Unternehmens stark unterschiedlich ist. Sie können jedoch darauf wetten, dass Sie unabhängig von der Größe besser für ein Audit bereit sind. Typische Best Practices wie die Protokollierung von Sicherheitsvorfällen und der Zugriff auf PII sowie interne Audits werden empfohlen.
Darüber hinaus kann es ratsam sein, eine Risikobewertung unseres Geschäfts zu erhalten, anhand derer Sie Schwachstellen identifizieren und bewerten können, ob Sie bestimmte Sicherheitskontrollen verbessern oder implementieren müssen.
Erstellen Sie einen DSGVO-Aktionsplan
Wie oben erwähnt, gilt für Sie, wenn Ihr Unternehmen personenbezogene Daten von betroffenen Personen in der EU erhebt, speichert, verarbeitet oder übermittelt, die Datenschutz-Grundverordnung (DSGVO). Angesichts dieser Tatsache besteht die beste Vorgehensweise darin, sicherzustellen, dass die Systeme, die Benutzerauthentifizierung und die Verschlüsselungstechniken, die bei der Übertragung von Dateien erforderlich sind, sicher sind und der DSGVO entsprechen. Diese DSGVO-Übersicht kann Ihnen einen Vorsprung verschaffen, aber Ihr nächster Schritt sollte darin bestehen, die DSGVO mit Ihrem internen Team und Ihren Lieferanten zu besprechen, um sicherzustellen, dass Ihr Unternehmen bereit ist, Geschäfte mit EU-Datensubjekten zu tätigen.
Erfahren Sie mehr darüber, wie MOVEit Sie bei der Verwaltung und Sicherung von Dateiübertragungsaktivitäten in Ihrem Netzwerk unterstützen kann, um sowohl die Sicherheit als auch die Verantwortlichkeit zu verbessern.
Jeff Edwards
Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.