DSGVO

Am 14.04.2016 wurde die EU-Datenschutz-Grundverordnung vom Europäischen Parlament offiziell verabschiedet. Nach einer zweijährigen Übergangszeit für Unternehmen wird diese Verordnung zusammen mit dem neuen Bundesdatenschutzgesetz am 25.05.2018 wirksam.

Welche Folgen hat das für Bürger und Unternehmen?

Mit der neuen Datenschutzgrundverordnung hat der Gesetzgeber vor allen Dingen den Schutz von personenbezogenen Daten im elektronischen Rechtsverkehr im Blick gehabt. Dazu sind in der Verordnung verschiedene Anforderungen festgeschrieben worden, die die Rechte der Bürger stärken und die Pflichten von Unternehmen erhöhen.

personenbezogene Daten laut Datenschutzgrundverordnung

Soweit keine personenbezogenen Daten betroffen sind, ist die Datenschutz-Grundverordnung nicht anzuwenden. Der Begriff der personenbezogenen Daten ist allerdings sehr weit gefasst (Art. 4 Nr. 1 DSGVO) und umfasst beispielsweise Informationen wie Namen, Adresse, Telefonnummer, Autokennzeichen oder aber auch die IP-Adresse einer Person. Ausreichend ist es, wenn die Informationen einer Person lediglich irgendwie zugeordnet und damit ein Personenbezug hergestellt werden kann.

weiterführende Informationen dazu finden Sie hier: Datenschutzbeauftragter-info.de

In der Datenschutzgrundverordnung wird unmittelbar normiert, welche Anforderungen Unternehmen in Zukunft erfüllen müssen, wenn personenbezogene Daten betroffen sind. So heißt es in Art. 32 DSGVO wie folgt:

Art. 32 DSGVO Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
[...]

Oberstes Gebot der DSGVO ist die Datenvermeidung. Es sollen von Unternehmen so wenig wie möglich personenbezogene Daten erhoben werden. Die Daten, die das Unternehmen für notwendig hält, sollen dann im Unternehmen pseudonymisiert werden, so dass eine Zuordnung der personenbezogenen Daten zu der einzelnen Person zumindest nur mit erheblichem Aufwand möglich ist. Eine Pseudonymisierung der personenbezogenen Daten wird in den meisten Unternehmen heutzutage ohnehin schon – zumindest ansatzweise - praktiziert, weil der Kunde im Unternehmen z.B. nur über eine dem Kunden zugewiesene Kundennummer oder ein ihm zugewiesenes Aktenzeichen zu identifizieren ist. Zudem werden gesicherte Softwaresysteme genutzt, die die personenbezogenen Kundendaten insoweit pseudonymisiert unter dieser Kundennummer ablegen, so dass ein Zugriff dann im Sinne der DSGVO deutlich erschwert ist.

Die DSGVO fordert aber auch eine Verschlüsselung personenbezogener Daten. Eine Verschlüsselung personenbezogener Daten erfolgt heutzutage im Geschäftsverkehr nur selten. Versicherungen oder Dienstleister versenden heutzutage häufig elektronische Dateien, die personenbezogene Daten enthalten, per E-Mail oder Downloadlink, ohne diese Dateien zu verschlüsseln. Dies liegt auch daran, dass die Verschlüsselung häufig zu umständlich ist und für den alltagsgebrauch wenig praktikabel. Enthalten die elektronischen Dateien aber personenbezogene Daten, sind sie ab dem 25.05.2018 in jedem Fall zu verschlüsseln. Andernfalls drohen nach Art. 83 DSGVO empfindliche Strafen:

Art. 83 DSGVO Allgemeine Bedingungen für die Verhängung von Geldbußen

(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
[…]

(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: […] Die Nichteinhaltung der Datenschutzgrundverordnung und die Androhung von Geldbußen in Höhe von 10 Millionen Euro und mehr sollte abschreckende Wirkung haben. Unternehmen sollten sich darüber im Klaren sein, dass die Nichteinhaltung von Art. 32 (1) a) also mit einer empfindlichen Geldbuße geahndet werden kann. Versendet man als Unternehmen oder Dienstleister nun regelmäßig personenbezogene Daten in elektronischen Dateien an Kunden, so könnten diese Kunden auch gleichzeitig betroffene Bürger sein und eine fehlende Verschlüsselung ihrer personenbezogenen Daten bei den für sie zuständigen Datenschutzbeauftragten Landesbehörden zur Anzeige bringen. Als Unternehmen und Dienstleister bringt man sich unnötig in Gefahr.

Unsere sdoc-Verschlüsselungs-Software setzt hier an, um eine einfache und alltagstaugliche Verschlüsselung von personenbezogenen Daten zu ermöglichen und so den Vorgaben der DSGVO gerecht zu werden.