Abo
  • IT-Karriere:

Datenschutz-Grundverordnung: Was Unternehmen und Admins jetzt tun müssen

Ab dem 25. Mai gilt europaweit ein neues Datenschutz-Gesetz, das für Unternehmen neue rechtliche Verpflichtungen schafft. Trotz der nahenden Frist sind viele IT-Firmen schlecht vorbereitet. Wir erklären, was auf Geschäftsführung und Admins zukommt.

Artikel von veröffentlicht am
Der EU-Abgeordnete Jan Philipp Albrecht war maßgeblich an der Verabschiedung der DSGVO beteiligt.
Der EU-Abgeordnete Jan Philipp Albrecht war maßgeblich an der Verabschiedung der DSGVO beteiligt. (Bild: Ruprecht Stempell/CC-BY-NC-SA 4.0)

Als im Frühjahr 2016 der finale Text der neuen Datenschutz-Grundverordnung (kurz: DSGVO) veröffentlicht wurde, erntete die EU viel Zuspruch dafür. Die Verordnung sei "eine gute Nachricht für Verbraucher und Unternehmen", zeigten sich die Verbraucherschützer des VZBV (Verbraucherzentrale Bundesverband) überzeugt. Auch die EU-Kommission war voll des Lobes: Das neue Gesetz markiere einen "wichtigen Meilenstein" und sei "der Höhepunkt" für Europas Datenschutz.

Inhalt:
  1. Datenschutz-Grundverordnung: Was Unternehmen und Admins jetzt tun müssen
  2. Keine Datenverarbeitung ohne Rechtsgrundlage
  3. Dokumentations-, Nachweis- und Rechenschaftspflichten
  4. Permanente Auskunftspflicht
  5. Fazit

Aber wie sieht es auf Unternehmensseite aus? Was müssen Admins und IT-Verantwortliche beachten, um nach dem 25. Mai weiterhin gesetzeskonform zu arbeiten? Trotz der nahenden Frist für die Einhaltung der neuen Regeln schleift die Umsetzung in der Praxis offenbar noch immer erheblich. "Nur rund jedes achte Unternehmen wird nach eigener Einschätzung bis zum Stichtag die Vorgaben der DSGVO vollständig umgesetzt haben", sagt der deutsche Verband der Digitalwirtschaft Bitkom. Und einer Umfrage des IT-Sicherheitsunternehmens Watchguard zufolge wissen fast die Hälfte von 277 befragten Unternehmen in Deutschland noch nicht einmal, ob die DSGVO für sie überhaupt greift.

Grund genug, die wichtigsten Neuerungen und Verpflichtungen für Unternehmen und Admins genau zu untersuchen. Denn wer den neuen Verpflichtungen nach dem 25. Mai nicht nachkommt, riskiert hohe Bußgelder. Auch wenn die häufig zitierten Maximalstrafen von 20 Millionen Euro beziehungsweise 4 Prozent des globalen Unternehmensumsatzes in der Praxis eher die Ausnahme bleiben dürften, können Bußgelder in Abhängigkeit der Schwere des Vorfalls und der Unternehmensgröße schnell an die Substanz gehen.

Was sind personenbezogene Daten?

Die DSGVO regelt, wie Unternehmen mit personenbezogenen Daten umgehen müssen. Die Verordnung fasst den Begriff der personenbezogenen Daten sehr weit. Beispiele für personenbezogene Daten nach DSGVO sind laut EU-Kommission neben Name, Anschrift und E-Mail-Adresse auch Ausweisnummer, Standortdaten, IP-Adressen, Cookie-Kennungen, Werbe-IDs und Gesundheitsdaten aus Krankenhäusern oder bei Ärzten, die zur eindeutigen Identifizierung einer Person führen könnten.

Stellenmarkt
  1. Medienwerft GmbH, Hamburg
  2. L. STROETMANN Großverbraucher GmbH & Co. KG, Werne

Grundsätzlich gelten alle Informationen als personenbezogen, die sich auf eine "identifizierte oder identifizierbare lebende Person" beziehen. Identifizierbar bedeutet, dass selbst wenn es auch nur theoretisch möglich ist, durch die Kombination verschiedener Teilinformationen bestimmte Personen zu identifizieren, diese Teilinformationen bereits ebenfalls personenbezogene Daten darstellen.

  • Screenshot der Datenschutzeinstellungen in Firefox 58 (Quelle: Golem.de)
  • Ausschnitt des Musterverzeichnisses für Datenverarbeitungstätigkeiten (Quelle: Landesdatenschutzbeauftragte Niedersachsen)
  • Eine Übersicht verschiedener Arten personenbezogener Daten (Quelle: Enterprivacy.com)
  • Beispiel eines Anmeldeformulars mit Werbe-Opt-in (Quelle: otto.de)
Eine Übersicht verschiedener Arten personenbezogener Daten (Quelle: Enterprivacy.com)

Dies betrifft Informationen der EU-Kommission zufolge auch personenbezogene Daten, die anonymisiert, verschlüsselt oder pseudonymisiert wurden, aber zur erneuten Identifizierung einer Person genutzt werden könnten. Erst wenn die Daten so anonymisiert wurden, dass auch mit größerem Aufwand keine Rückschlüsse mehr auf die betroffenen Personen gezogen werden können, gelten Daten als nicht mehr personenbezogen.

Wie schwer eine rechtssichere Anonymisierung großer Datenmengen ist, demonstrierte Netflix unfreiwillig schon vor über zehn Jahren. Die von dem Unternehmen veröffentlichten anonymisierten Filmbewertungen von rund einer halbe Million Kunden konnten von Forschern direkt mit öffentlichen Ratings der Internet Movie Database IMDb korreliert und ein Teil der Datensätze so Personen zugeordnet werden.

Ähnlich erging es vor einigen Jahren einem rund 20 GByte großen, eigentlich pseudonymisierten Datensatz mit Informationen über 170 Millionen Taxifahrten in New York. Wegen Fehlern beim Hashen sowie mit Hilfe zuvor bekannter Eigenschaften der pseudonymisierten Daten war die anschließende Deanonymisierung der betroffenen Taxis ein Kinderspiel. Auch deswegen verlangt die DSGVO, dass die Anonymisierung unumkehrbar sein muss, damit die Daten ihre rechtliche Eigenschaft der Personenbezogenheit verlieren.

Technische Vorgaben dazu, wie eine rechtssichere Anonymisierung oder Pseudonymisierung gelingen kann, enthält die DSGVO nicht. "Es gibt im Prinzip zwei Möglichkeiten", erklärt Rechtsanwalt Martin Schirmbacher im Gespräch mit Golem.de. "Entweder man entfernt identifizierende Merkmale wie etwa Namen oder Geburtsdaten oder man aggregiert die Daten so, dass man den Rückschluss auf eine Person nicht mehr ziehen kann." In jedem Fall empfiehlt Schirmbacher Unternehmen, die jeweils gewählte Anonymisierungstechnik ausgiebig zu dokumentieren. "Wie überall in der DSGVO ist eine transparente Dokumentation hier essenziell."

Keine Datenverarbeitung ohne Rechtsgrundlage 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Hardware-Angebote
  1. 98,99€ (Bestpreis!)
  2. 83,90€
  3. 245,90€ + Versand
  4. 334,00€

Anonymer Nutzer 17. Apr 2018

Das Stichwort hierzu lautet Bundesmeldegesetz. (https://www.gesetze-im-internet.de/bmg...

Auspuffanlage 17. Apr 2018

Soweit ich weiß besteht hier bereits länger die Möglichkeit https zu benutzen also...

Auspuffanlage 17. Apr 2018

Wo steht das mit dem zwingenden Zeitstempel? Ich möchte das gerne einmal überprüfen!

Auspuffanlage 17. Apr 2018

Wenn man sich einmal intensiv damit befasst hat, merkt man schnell wieviel Blödsinn...

Avarion 14. Apr 2018

Probleme mit der DSGVO sind meiner Meinung nach nur die Bereiche "Berechtigtes...


Folgen Sie uns
       


Geräuschunterdrückung von drei ANC-Kopfhörern im Vergleich

Wir haben den neuen ANC-Kopfhörer von Audio Technica gegen die Konkurrenz von Bose und Sony antreten lassen. Im Video sind die Unterschiede bei der ANC-Leistung zwischen dem ATH-ANC900BT, dem Quiet Comfort 35 II und dem WH-1000XM3 deutlich hörbar.

Geräuschunterdrückung von drei ANC-Kopfhörern im Vergleich Video aufrufen
Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern
  2. Elektroautos e.GO Mobile liefert erste Fahrzeuge aus
  3. Volkswagen Über 10.000 Vorreservierungen für den ID.3 in 24 Stunden

    •  /