Die neue EU-Datenschutz-Grundverordnung ist in Kraft getreten. Die Unternehmen haben nun noch bis zum 25. Mai 2018 Zeit, die darin enthaltenen Anforderungen umzusetzen.
Unter anderem beinhaltet das Regularium die Forderung nach Privacy by Design und Privacy by Default sowie gegenüber dem bisherigen Bundesdatenschutzgesetz deutlich schärfere Sanktionen bei Nichteinhaltung.
Was bedeuten die beiden inhaltlichen Anforderungen nun konkret für die Unternehmen, gerade auch im Bereich der Technik? Um dies zu klären, ist einerseits zu prüfen, welche personenbezogenen Daten im Unternehmen vorhanden sind und genutzt werden, und andererseits, welche dieser Daten wofür eigentlich notwendig sind. Wichtige Stichworte dabei sind Datensparsamkeit und Zweckbindung. Denn nur die für den Verarbeitungszweck notwendigen Daten sollten erhoben, gespeichert und genutzt werden. Dabei muss gewährleistet sein, dass die erhobenen und genutzten Daten zudem auch angemessen geschützt sind. Zudem muss auch die Datenportabilität, also die Frage nach der Übertragbarkeit von Daten zu einem anderen Anbieter, gewährleistet sein.
Die Bandbreite der potentiell notwendigen technischen Anpassungen ist groß: sie reicht beispielsweise von der Nutzung des verschlüsselten https-Standards für Webseiten über die Frage, ob IP-Adressen direkt beim Aufrufen einer Website an Drittanbieter übertragen werden, oder die Notwendigkeit der Abfrage des Geburtsdatums bei Onlinebestellungen bis hin zur Pseudonymisierung, Anonymisierung und Verschlüsselung von Daten, die im Unternehmen genutzt werden. Die genannten Beispiele sind dabei nicht für jedes Unternehmen gleichermaßen relevant, sondern jeweils abhängig vom Verarbeitungszweck und den dafür notwendigen Daten.
Die EU-Datenschutz-Grundverordnung selbst nennt keine technischen Details. Die Umsetzung in Unternehmen sollte sich daher an Standards, wie beispielsweise ISO/IEC 27018, oder Best Practices wie dem OWASP-Top-10-Privacy-Risks-Projekt anlehnen.
„Letztlich lässt sich nicht pauschal sagen, was Unternehmen aufgrund der neuen Verordnung ändern müssen“, erklärt Florian Stahl, Experte für Datenschutz und Informationssicherheit bei msg. „Sicher ist jedoch, dass sie sich alle mit den neuen Vorgaben beschäftigen und diese auf ihre Relevanz für sich selber prüfen müssen. Denn nur die wenigsten Unternehmen sind schon heute diesbezüglich so gut aufgestellt, dass sie nichts nachzubessern haben“, so Stahl weiter.