Was ist neu an der Datenschutz-Grundverordnung (DSGVO)?

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung EU-weit in Kraft. Höchste Zeit für IT-Unternehmen und ihre Kunden, sich auf die neue Rechtslage einzustellen. Dennoch wird Ende 2018 mindestens die Hälfte der Unternehmen, für die die DSVGO gilt, die Anforderungen nicht vollständig erfüllen können. Diese Bilanz zieht die Gartner-Studie „Focus on Five High-Priority Changes to Tackle the EU GDPR“.

DSGVO: Worum geht es?

Datenschutz ist in Deutschland und der EU – zum Glück – nichts Neues. Hierzulande wurde der Datenschutz bisher vor allem vom Bundesdatenschutzgesetz (BDSG) geregelt. Übrigens wird dieses ebenfalls novelliert und als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. Die neueste Fassung des BDSG wird am 25. Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten und das noch aktuelle Bundesdatenschutzgesetz komplett ersetzen Eines sei vorweg gesagt: Wer das BDSG ernst genommen und seine Compliance-Hausaufgaben gemacht hat, hat mit den Regelungen der DSGVO wenig Probleme. Nur leider haben viele KMU in Deutschland diese Hausaufgaben bisher nur oberflächlich erledigt. Denn die bisherigen Sanktionsmöglichkeiten waren nicht hoch: Die Maximalstrafe für Verstöße lag bei 300.000 Euro. Manche Unternehmen kamen nach kurzem Nachrechnen zu dem Schluss, dass die Strafe weniger kostet als eine IT-Umstellung – und ließen es darauf ankommen. Das ändert sich jetzt. Nach der neuen DSGVO können Strafen bis zu vier Prozent des globalen Konzernumsatzes oder bis zu 20 Millionen Euro erhoben werden.

DSGVO: Was ist neu?

Die möglichen, empfindlichen Bußgelder wurden bereits weiter oben erwähnt. Doch welche Neuerungen hält die DSGVO sonst noch bereit?

Einwilligung nachweisen

Wenn Unternehmen personenbezogene Daten speichern, müssen sie dazu die Einwilligung der Betroffenen einholen. Sie müssen den Zweck der Verarbeitung angeben und dürfen später nicht davon abweichen.

Datenminimierung

Personenbezogene Daten dürfen nur soweit gespeichert werden, wie es dem Zweck angemessen ist. Die Menge der Daten muss auf das für die Verarbeitung notwendige Maß beschränkt sein.

Speicherbegrenzung

Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für den Verarbeitungszweck erforderlich ist.

Übertragbarkeit der Daten

Ein Kunde kann verlangen, dass ein Unternehmen alle Daten, die es von ihm gespeichert hat, an Dritte übergibt. Das soll z. B. den Anbieterwechsel für Verbraucher vereinfachen.

Vertraulichkeit

Bei der Verarbeitung muss die Sicherheit personenbezogener Daten gewährleistet sein. Das bedeutet: Es darf kein unbefugter Zugriff stattfinden und auch kein Verlust und keine Beschädigung oder Zerstörung der Daten.

Recht auf Korrektur

Personenbezogene Daten müssen sachlich richtig und aktuell sein. Unrichtige Daten müssen unverzüglich korrigiert oder gelöscht werden.

Recht auf Vergessenwerden

Jeder kann verlangen, dass die über ihn gespeicherten Daten gelöscht werden. Das gilt auch dann, wenn der Betreffende vorher der Speicherung seiner Daten zugestimmt hatte. Dabei dürfen keine Spuren der Daten im System zurückbleiben (Backups, Links oder dergleichen). Es genügt also in der Regel nicht, einfach den Datensatz zu löschen.

Keine Koppelung

Das bereits im BDSG bestehende Koppelungsverbot wurde verschärft. So darf z. B. eine Teilnahme an einer Umfrage nicht mehr an ein Newsletter-Abo gekoppelt sein. Abstrakter ausgedrückt: Zusatzleistungen dürfen nicht mehr daran geknüpft sein, dass jemand in die Verarbeitung seiner Daten einwilligt.

Datenschutz-Folgenabschätzung

Im alten BDSG hieß diese noch „Vorabkontrolle“. Gemeint ist, dass der Datenschutzbeauftragte die Risiken der Datenspeicherung für die Persönlichkeitsrechte der Betroffenen einschätzen und eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung abgeben soll. Besondere Brisanz hat dies, wenn die Daten dazu dienen, Personen zu bewerten und zu beurteilen, und wenn dafür besonders sensible Daten erhoben werden, wie etwa Religion, ethnische Herkunft, politische Einstellung, Gesundheitsdaten, Bonität usw.

One-Stop-Shop

Beschwerden können an die Datenschutzbehörde des jeweiligen EU-Staates gerichtet werden – unabhängig davon, in welchem Land sich der Verstoß ereignete. Auch Unternehmen wenden sich an die Datenschutzbehörde des Landes, in denen sie ihren Hauptsitz haben.

Transparenz und Auskunftsrecht

Jedes Unternehmen muss dokumentieren, wie es personenbezogene Daten erhebt, verwendet und verarbeitet. Es muss Verbraucher „leicht zugänglich und in einfacher Sprache“ über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung ihrer Daten informieren. Eventuell könnte eine Zertifizierung oder ein Datenschutzsiegel das Publikum über den Datenschutzstandard aufklären.

Rechenschaftspflicht

Unternehmen sind verpflichtet, nicht nur neue Prozesse und Richtlinien für personenbezogene Daten einzuführen, sondern auch deren Einhaltung zu überwachen. Regelmäßige, dokumentierte Kontrollen weisen nach, dass die Einhaltung der Datenschutzgrundsätze jetzt und in Zukunft gewährleistet ist.

Meldepflicht innerhalb von 72 Stunden

Datenschutzverletzungen müssen innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Behörde gemeldet werden. Wenn der Vorfall schwerwiegende Folgen für Persönlichkeitsrechte haben kann, müssen auch alle betroffenen Personen informiert werden.

Starker Datenschutzbeauftragter

Jedes Unternehmen, bei dem mindestens zehn Personen ständig mit der Datenverarbeitung beschäftigt sind, muss einen Datenschutzbeauftragten benennen. Dessen Position und Zuständigkeiten werden deutlich gestärkt. Er ist verantwortlich für die Einhaltung der DSGVO, die Entwicklung von Datenschutzstrategien, die Unterweisung und Schulung von Mitarbeitern und die Kommunikation mit der Datenschutzbehörde. Ein Novum: Der Datenschutzbeauftragte haftet persönlich!

Einstellung des Geschäftsbetriebs

In besonders schweren Fällen kann ein Verbot der Datenverarbeitung ausgesprochen werden. Für IT-Unternehmen wäre das faktisch das Aus. Ein solcher Extremfall wäre z. B. gegeben, wenn sich große Sicherheitslücken auftun oder das Unternehmen die Zusammenarbeit mit der Aufsichtsbehörde verweigert.

Immaterielle Schäden

In den Gesetzestext wurden jetzt auch immaterielle Schäden aufgenommen. Dazu gehören z. B. Rufschädigung oder Identitätsdiebstahl. Auch in diesen Fällen können also künftig hohe Geldbußen verhängt werden.

Beweislast-Umkehr

Das Unternehmen muss nachweisen können, dass es geeignete technische und organisatorische Maßnahmen (TOM) für den Datenschutz getroffen hat. Anders als früher liegt die Beweislast beim Unternehmen und nicht beim Kunden.

Technischer Datenschutz

Die IT-Systeme müssen so ausgelegt sein, dass die Einhaltung der DSVGO möglich ist. Die Verordnung fordert daher „Privacy by Design“ und „Privacy by Default“. Das bedeutet, dass der Datenschutz bereits bei der Softwareentwicklung berücksichtigt werden muss – vom ersten Entwurf bis hin zur Implementierung. Software muss mit datenschützenden Default-Einstellungen ausgeliefert werden. Dazu gehören z. B. Speicherfristen und Zugriffssteuerung.

Fazit

Wer sich noch nicht mit der DSGVO befasst hat, muss jetzt Gas geben: Ab Mai 2018 müssen alle Unternehmen, die personenbezogene Daten erfassen und verarbeiten, verschärfte Anforderungen erfüllen: Die Verbraucherrechte werden gestärkt, unter anderem durch ein „Recht auf Vergessenwerden“. Technische und organisatorische Maßnahmen müssen die DSGVO-Compliance sicherstellen – Stichwort „Security by Design“. Die Beweislast dafür trägt fortan das Unternehmen. Und die Rolle des Datenschutzbeauftragten wird massiv ausgebaut.

Internet der Dinge – So schützen Sie Ihre Daten

Das ‚Internet der Dinge‘ (Internet of Things = IoT) steht für die intelligente Vernetzung von Gegenständen der physikalischen mit solchen der virtuellen Welt. Winzige Sensoren erfassen beispielsweise die Temperatur, den Luftdruck oder die Luftfeuchtigkeit oder über GPS-Empfänger Position und Zeit. Die smarten Geräte sind mit dem Internet verbunden und erledigen dann entsprechend der erfassten Daten über eine Software passgenau Aufgaben für die Nutzer. Thermostate, Verkehrsleitsysteme oder die Straßenbeleuchtung können so etwa automatisch gesteuert werden. 41 Millionen Menschen in Deutschland nutzen derzeit ein Smartphone. Da wir also ohnehin bereits in den meisten Fällen über unser Smartphone den ganzen Tag über online und miteinander vernetzt sind und das digitale Leben kein Fremdwort mehr für uns ist, ist es nur noch ein kleiner Schritt zur allumfassenden Vernetzung der Geräte untereinander im IoT – und diese findet im Alltag bereits flächendeckend statt: In der Unterhaltungselektronik kann zum Beispiel der aktuelle Smart-TV durch die Vernetzung mit dem mobilen Handy oder dem Tablet und der Nutzung einer entsprechenden App über das Internet Filme aus Onlinevideotheken streamen oder über eine Verbindung zu einem externen PC oder Laptop Videos, Musik oder Bilder abrufen, die dort gespeichert sind.

Die Revolutionierung des Alltags durch das Internet der Dinge

In der Industrie finden vernetzte Geräte (Connected Devices) mehr und mehr Verwendung, denn die Vernetzung von Menschen, Maschinen und Werkstücken ermöglicht Unternehmen eine stärkere Individualisierung Ihrer Produktion, wodurch besondere Kundenwünsche stärker berücksichtigt werden können. Intelligente Objekte steuern und optimieren die Produktion.  Sogenannte cyber-physische Systeme (CPS) sind hier die Basis: über internetfähige Software werden mittels Sensoren und Aktoren mechanische und elektrische Komponenten gesteuert. Die Industrie profitiert stark vom Internet of Things, doch auch Unternehmen aus anderen Bereichen interessieren sich mehr und mehr für Themen wie die Einbindung des Internets in ihre Services. Auch im Alltag spielen Connected Devices eine immer größere Rolle. Sie sind mit dem Internet verbunden und können Daten übertragen. In Privathaushalten werden durch neue Smart Home-Anwendungen etwa Heizungen, Jalousien und Waschmaschinen mit Haustechnik vernetzt, sogenannte vernetzte Autos sind über Telematik-Dienste an das Internet angeschlossen und Fitness-Tracker in Form von Wearables synchronisieren Fitness-Daten mit einem Computer oder einem Smartphone. Wearables sind kleine, am Körper tragbare Geräte, die Daten erfassen und speichern. Sie sind mit dem Internet verbunden und haben die Fähigkeit, Informationen über Bluetooth oder WLAN zu übertragen. Bekannte Beispiele sind die Datenbrille (Google Glass) oder die vernetzte Uhr, die Smartwatch (z.B. Apple Watch). Running shoes and runner sports smartwatch. Female runner tying shoe laces on running trail using smart watch heart rate monitor.Fitness-Tracker erfassen die Daten zu sportlichen Aktivitäten des Anwenders. Dadurch, dass die Ergebnisse aller Aktivitäten aufgezeichnet werden und in einer App auf dem Smartphone des Benutzers analysiert werden, ist sofort sichtbar, wie die sportlichen Leistungen des Benutzers waren. Die mit dem IoT mögliche Synchronisierung persönlicher Fitness-Daten auf Fitness-Armbändern, Schrittzählern und mobilen Sportgeräten mit Computern und Smartphones verschafft dem Anwender somit einen schnellen und überall abrufbaren Überblick über seine körperliche Aktivität. Zukünftig werden einige Krankenkassen solche Fitness-Tracker fördern, indem sie beispielsweise die Anschaffung von Wearables wie die Apple Watch bezuschussen oder Gutschriften beim Download von Gesundheits-Apps anbieten. Bei der Nutzung von Wearables ist es jedoch wichtig, Sicherheitsvorkehrungen zu treffen, denn diese Connected Devices sind Datensammler, die schützenswerte personenbezogene Daten wie Name, Alter, Gesundheitszustand und Standort erfassen und speichern. Die intelligenten Geräte können Informationen über die Lebensgewohnheiten ihrer Nutzer übermitteln, da sie mit dem Internet verbunden sind und in vielen Fällen zudem auch untereinander vernetzt sind. Das Internet der Dinge wäre ohne Datenerfassung nicht möglich. Die Nutzung und Weiterentwicklung von Connected Devices lebt von den Daten der Nutzer. Big Data ermöglicht also in gewisser Weise das Internet of Things. Dadurch ergeben sich Sicherheitsrisiken, die nicht auf die leichte Schulter genommen werden sollten: Security ist im Umgang mit dem Internet der Dinge das A und O.

Mögliche Sicherheitsrisiken bei der Nutzung von IoT-Geräten

Ein möglicher Identitätsdiebstahl bei der Anwendung von Fitness-Trackern kann dazu führen, dass durch die Nutzung von Fitnessdaten eines anderen Anwenders, wie zum Beispiel eines sportlichen Nachbarn, Krankenkassenbeiträge manipuliert werden. Smart Home-Anwendungen, die auf der Vernetzung von Systemen in Häusern und Wohnungen beruhen, stehen schon länger in der Kritik, weil durch das Sammeln der Bewohnerdaten die Gefahr besteht, dass Einbrecher die Daten abfangen und somit herausfinden können, wann die Bewohner außer Haus sind. Auch vernetzte Fahrzeuge (Connected Cars) sind mit dem Internet verbunden und können über das Teilen von Informationen in der Cloud vor möglichen Gefahren wie etwa Glatteis und vor Staus warnen. Navigationssysteme leiten nicht mehr nur zum Ziel, sondern reservieren auch gleich einen Parkplatz und zahlen das Parkticket. Aus der Ferne kann über eine App gesteuert werden, dass der Wagen in eine schmale Lücke einparkt. Musik kann gestreamt und die Standheizung ferngesteuert werden. Doch auch hier gehen die neuen Möglichkeiten und der neue Service mit Sicherheitsrisiken einher. Hackern war es etwa möglich, bei einem Chevrolet Corvette-Sportwagen über eine Sicherheitslücke in einer Telematik-Box, mithilfe derer Versicherungstarife an die Fahrweise angepasst werden, per Smartphone die Bremsen abzuschalten und die Scheibenwischer zu betätigen. transport, destination, modern technology and people concept - male hand searching for route using navigation system on car dashboard screenDie oben geschilderten Sicherheitsrisiken, die das Internet der Dinge in sich birgt, sowie der drohende Verlust ihrer Privatsphäre beunruhigen viele Kunden: Auf der einen Seite wünschen sie sich immer individuellere, auf ihre Wünsche zugeschnittene Produkte und Dienstleistungen und begrüßen die neuen Möglichkeiten der Digitalisierung und des IoT. Auf der anderen Seite sind sie aber nicht dazu bereit, dafür ihre Privatsphäre aufzugeben. Dieses Dilemma kann man auch im Umgang mit den Diensten mancher US-Internetfirmen beobachten: Auf der einen Seite freuen sich Internetnutzer über passgenaue Produktempfehlungen bei Amazon, Facebook oder Google, auf der anderen Seite erschrecken sie über die lückenlose Erfassung ihrer persönlichen Präferenzen. Big Data klingt in vielen Ohren mehr nach einer Bedrohnung als nach einer Chance. Anstatt sich paralysieren zu lassen und sich in Untergangsszenarien zu ergehen, sollten Sie jedoch lieber aktiv werden und Ihre Daten schützen.

Verschlüsselung – Das A und O der Sicherung Ihrer Daten

Verschlüsselung ist ein zentraler Faktor für die Sicherung von IoT-Geräten. Die Übertragung von Information von einem Gerät auf ein anderes muss verschlüsselt sein. Das gilt auch zwischen dem Gerät und den mobilen Apps sowie der Cloud. Wichtig sind auch starke Passwörter sowie die Änderung der Standard-Einstellungen. Im Folgenden soll gezeigt werden, was Sie bei der Sicherung Ihrer Wearables, Ihres Smart Homes und Ihres vernetzten Autos und beachten sollten:

Das können Sie tun, um Ihre personenbezogenen Daten zu schützen:

• Zur Absicherung Ihrer personenbezogenen Daten empfiehlt es sich, zunächst einmal die Datenschutzrichtlinie der Apps, die Sie nutzen, zu lesen. Sie sollten wissen, auf welche Daten das Gerät oder die App auf Ihrem Handy Zugriff verlangt. Wenn die Forderungen unlogisch oder riskant erscheinen, verweigern Sie Ihre Erlaubnis. • Achten Sie weiterhin darauf, nicht zu viele Informationen öffentlich zu machen. Wenn Sie bei diesen Apps Informationen in sozialen Netzwerken teilen, seien sie vorsichtig, denn Funktionen, mit denen Sie Inhalte teilen, können preisgeben, wo Sie sich befinden und zu welcher Zeit Sie Ihren Workout machen. Dadurch könnten Kriminellevia Social Media verfolgen, wo Sie sich aufhalten.

Tipps zur Sicherung des Smartphones:

• Zur Sicherung des Ihres mobilen Handys empfiehlt es sich, dieses durch eine PIN („Persönliche Identifikationsnummer“) und die Bildschirmsperre vor fremdem Zugriff zu schützen. Die PIN schützt die SIM-Karte des mobilen Phones und damit alle auf ihm befindlichen Daten. Die Bildschirmsperre schützt vor dem fremden Zugriff auf Einstellungen und Anwendungen des Geräts. Wenig empfehlenswert ist hierbei die Mustersperre, bei der man sich ein eigenes Muster aus verschiedenen vorgegebenen Punkten zusammensetzen kann, denn hierbei entstehen auf dem Touch-Display sichtbare Spuren. Bei Verwendung eines Passwortes sollte dieses Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Im Falle eines Diebstahls des Handys sollte es möglich sein, die darauf befindlichen Daten aus der Ferne zu löschen.Handy-Passwort

Weitreichende Veränderungen des privaten und beruflichen Lebens durch das IoT

Die Nutzung von Connected Devices bietet im Business viele neue Möglichkeiten für Produktideen, Geschäftsmodelle und Services und auch für den Alltag ergeben sich durch das Internet der Dinge viele neue Gestaltungsmöglichkeiten; gleichzeitig führt sie zu weitreichenden Veränderungen im privaten und beruflichen Leben, deren Auswirkungen sich noch nicht vollständig abschätzen lassen. Vor diesem Hintergrund ist es jetzt besonders wichtig, eine Strategie für den Umgang mit den Sicherheitsrisiken, die das Internet der Dinge in sich birgt, zu finden und sich mit Themen wie Big Data und Security auseinanderzusetzen. Gelegenheiten dafür bietet beispielsweise der Besuch von Fachmessen wie der CeBIT (lesen Sie hier unseren Bericht über die aktuelle CeBIT im März 2016).