Ab dem 25. Mai 2018 tritt die Neuregelung des Datenschutzrechtes in der Europäische Union GDPR (General Data Protection Regulation oder in Deutschland EU-Datenschutz-Grundverordnung) in Kraft. Diese enthält zahlreiche Änderungen sowie neue Regelungen und Unternehmen müssen sich damit auseinandersetzen um letztlich Risiken zu minimieren.
Wird dieses Thema vernachlässigt oder gar missachtet drohen Strafen von bis zu 4% des jährlichen Unternehmensumsatzes oder bis zu 20 Mio. EUR, je nachdem welcher Wert größer ist.
Möglicherweise geraten viele europäische aber auch im Ausland befindliche Unternehmen, welche in Handelsbeziehungen mit Europa stehen hier in größere Schwierigkeiten. Glaubt man aktuellen Umfragen, denkt etwa knapp die Hälfte der deutschen Unternehmen, dass sie teilweise oder gar nicht in der Lage sein werden, die neuen Anforderungen der EU bis zum Stichtag umzusetzen.

Auch wenn sich Unternehmen bereits intensiver mit dem Thema auseinandergesetzt haben, ist der Weg bis zur vollständigen Aufarbeitung sehr umfangreich. Gerade bei neuen digitalen Geschäftsmodellen, oftmals basierend auf modernen Cloud-Infrastrukturen welche teils auch nicht mehr in eigenen Rechenzentren, sondern bei Public Cloud Providern gehostet werden, ist es wichtig sich schon in der Planungsphase mit den neuen Regularien für die Umsetzung in neuen Services zu befassen. Auch hier sind im Kontakt mit Endkunden durch z. B.: Mobile Apps oder bei Sensoren in Endgeräten viele Dinge organisatorischer und technischer Art zu beachten.

Aus all den zahlreichen Anforderungen wollen wir zunächst auf 3 wichtige Punkte eingehen:

1. Auskunftsrecht einer Person

Durch die neue Verordnung soll sichergestellt werden, dass Personen wie beispielsweise Kunden, die Informationen an Unternehmen geben, auch eine Auskunft über die Verarbeitung ihrer Daten erhalten. Diese müssen jedem, auf Wunsch in verständlicher Form zur Verfügung gestellt werden. Gerade bei der Nutzung von Cloud-Technologien sollten Unternehmen sich hierbei auch folgendes fragen:

• Welche Cloud-Applikationen gibt es in meinen Unternehmen und wo oder bei wem liegen die Daten (Public Cloud oder Private Cloud)?
• Werden die Daten redundant gehalten und somit gegen Ausfall eines Rechenzentrums in anderen Ländern außerhalb der EU gesichert?
• Kann ich auf diese Daten ohne großen Aufwand zugreifen um Auskunft geben zu können?
• Befinden sich die Daten in meinem Besitz oder gehören Sie jemand anderem?
• Kann ich nachweisen welche, wie lange und zu welchem Zweck Informationen gespeichert wurden?
• Liegt eine Einverständniserklärung des Endkunden vor, sodass ich die Daten überhaupt verarbeiten darf?
• Gibt es technische Maßnahmen die einen Zugriff und eine Löschung der Daten überhaupt gewährleisten?
• Kann ich sensible personenbezogene Daten und andere Daten getrennt voneinander vorhalten um bei Löschung nicht alle Daten vollständig zu verlieren?

2. Anrecht auf Datenübertragbarkeit

Bei einem Wechsel, beispielsweise eines Kunden von einem zu einem anderen Unternehmen, muss sichergestellt sein, dass die Daten nach Beendigung eines geschäftlichen Verhältnisses möglichst einfach in die Systeme eines anderen Dienstleisters übertragen werden können. Auch hier gibt es einige offene Punkte zu beachten:

• Hat mein Unternehmen vollen Zugriff auf alle Daten, falls diese nicht vollständig im eigenen Rechenzentrum gespeichert werden?
• Habe ich bei neuen Applikationen und Geschäftsmodellen bereits in der Planungsphase beachtet, dass eine Portabilität und die technische Voraussetzung hierfür geschaffen ist?
• Kann ich die Daten eindeutig einer Person zuordnen und daher auch diese Daten herausgeben?
• Wie lässt sich eine geeignete Schnittstelle für den Transfer zwischen unterschiedlichen Systemen aufbauen?

3. Anrecht auf Löschung (“Recht auf Vergessenwerden”)

Es muss gewährleistet sein, dass die Daten einer Person vollständig gelöscht werden, falls diese das wünscht. Also konkret wenn eine Person nicht möchte, dass Ihre Daten weiterhin verarbeitet und gespeichert werden. Darüber hinaus ist es auch relevant inwiefern Daten gelöscht werden müssen, wenn es keine wichtigen Gründe für eine Speicherung gibt. Letztlich gibt es auch hier einiges zu beachten wie beispielsweise etwa:

• Sind die Daten welche ich erfasse im Rechenzentrum meines Unternehmens oder in der Public Cloud gespeichert?
• Kann ich die Daten überhaupt vollständig löschen oder können diese nicht von mir selbst entfernt werden?
• Welche Vereinbarung habe ich mit meinem Public Cloud Provider hinsichtlich des Eigentums der Daten getroffen?
• Sammelt das Unternehmen in den zahlreichen Applikationen unter Umständen unnötig zu viele sensible Daten, welche für den Anwendungszweck gar nicht benötigt werden?
• Gibt es unterschiedliche Dienste oder Apps die gemeinsam auf Daten zugreifen sodass bei Beendigung eines Dienstes ein anderer dennoch weiter funktioniert?
• Welche Daten sind von einer eventuellen Löschung überhaupt betroffen und welche davon müssen gesetzlich verpflichtend aufbewahrt werden?

Fazit

Wenn Sie diese sowie zahlreiche weitere Punkte für sich und Ihr Unternehmen beantworten können oder sich aktuell schon damit beschäftigen, sind Sie bereits auf dem richtigen Weg. Zu beachten ist, dass dieser Artikel natürlich nur einen recht oberflächlichen und sehr kurz gefassten Überblick zu einer insgesamt sehr komplexen Thematik geben soll. In jedem Fall sind diese Punkte inhaltlich durch fachkundige Juristen genauestens zu durchleuchten. Darüber hinaus ist auch die IT-Abteilung gefragt, bei der technologischen und / oder organisatorischen Umsetzung der einzelnen Punkte mit einem nicht geringen Aufwand zum Erfolg beitragen. Benötigen Sie gerade bei letzterem, also der organisatorischen und technologischen Umsetzung Unterstützung, sprechen Sie uns einfach an!