Die EU-Datenschutz-Grundverordnung

Mit einem ISMS setzen Sie die Anforderungen effizient um

Datum
22. Mai 2017
Autor

Zusammenfassung

Unternehmen, die personenbezogene Daten erheben oder verarbeiten, müssen ab Mai 2018 die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) umsetzen. Dieser Artikel fasst zusammen, wen die EU-DSGVO betrifft und welche Änderungen die Verordnung mit sich bringt. Zu den neuen Aspekten gehören die Rechenschaftspflicht des Verantwortlichen und ein den Risiken angemessenes Schutzniveau. Sie erfahren, wie Sie die Verordnung umsetzen und das Informationssicherheitsmanagement sinnvoll nutzen.

Am 25. Mai 2016 ist die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft getreten. Betroffen sind alle Unternehmen, die in der EU tätig sind und in irgendeiner Weise mit den Daten natürlicher Personen zu tun haben. Diese Unternehmen haben bis zum 25. Mai 2018 Zeit, die Verordnung umzusetzen.

Wie spielen EU-DSGVO und BDSG zusammen?

Die EU-DSGVO gilt direkt in allen Mitgliedsstaaten. Nationale Umsetzungsgesetze braucht es keine. Das Bundesdatenschutzgesetz (BDSG) und andere nationale Regelungen zum Datenschutz werden durch den Anwendungsvorrang der DSGVO weitgehend verdrängt.

Die EU-DSGVO lässt einige Aspekte offen, die zuvor durch das BDSG geregelt waren. Öffnungsklauseln ermöglichen Anpassungen an nationale Verhältnisse.

Was bleibt vom BDSG übrig?

Mit dem Inkrafttreten der EU-DSGVO am 25. Mai 2018 wird das „alte BDSG“ außer Kraft gesetzt werden. Gleichzeitig tritt das „neue BDSG“ in Form des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU (DSAnpUG-EU) in Kraft. Der Bundesrat hat das Gesetz am 12. Mai 2017 verabschiedet. Die Regelungen des BDSG – beispielsweise die Pflicht, einen Datenschutzbeauftragten zu bestellen – werden, soweit möglich, belassen. Spielräume der EU-DSGVO werden genutzt für konkretere Festlegungen. Experten befürchten, dass einige Regelungen sogar in Widerspruch zur EU-DSGVO stehen. Möglicherweise kommen Teile des DSAnpUG-EU vor Gericht auf den Prüfstand.

Was ändert sich durch die EU-DSGVO?

Rechte der Nutzer

Die Verordnung stärkt die Rechte der Verbraucher:

  • Unternehmen müssen betroffene Personen über die Erhebung der Daten, deren Zweck, Umfang und Dauer sowie ihre Rechte im Umgang mit den Daten informieren.
  • Betroffene Person können verlangen, dass ihre Informationen berichtigt oder gelöscht werden.
  • Unternehmen müssen betroffene Personen informieren, wenn ihre Persönlichkeitsrechte wegen eines Datenverlusts oder -diebstahls einem hohen Risiko ausgesetzt sind. In anderen Fällen besteht eine Meldepflicht an die Aufsichtsbehörden, wenn ein Risiko nicht ausgeschlossen werden kann.
  • Wer Daten von Kindern unter 16 Jahren verarbeiten will, braucht die Einwilligung eines Erziehungsberechtigten.

Bußgelder

Bei einem Verstoß gegen die EU-DSGVO drohen empfindliche Strafen. Bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.

Verfahrensverzeichnis

Unternehmen müssen ein Verzeichnis über ihre Datenverarbeitungsverfahren führen. Ausgenommen sind Unternehmen mit weniger als 250 Mitarbeitenden, die nur gelegentlich Daten verarbeiten, die nicht sensibel sind und von denen keine Gefahr für die Persönlichkeitsrechte der Betroffenen ausgeht.

Datenschutzbeauftragte

Die EU-DSGVO verlangt die Bestellung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Unternehmens eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich“ macht oder die Verarbeitung sensibler personenbezogener Daten ist.

Das neue BDSG sorgt für das Fortbestehen der bisherigen deutschen Regel. Verantwortliche Stellen und Auftragsdatenverarbeiter müssen einen Datenschutzbeauftragten bestellen, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“.

Datenschutz-Folgenabschätzung

Möchte ein Unternehmen Daten in einer Weise verarbeiten, die für die Persönlichkeitsrechte der betroffenen Personen ein hohes Risiko darstellen, muss es – gemäß Artikel 35 der Verordnung – Nutzen und Risiken der Verarbeitung bewerten. Kann das Unternehmen nicht nachweisen, dass alle Risiken angemessen behandelt wurden, muss es die Aufsichtsbehörden konsultieren, bevor es mit der Verarbeitung beginnen darf.

Rechenschaftspflicht

Laut BDSG mussten Betroffene bisher nachweisen, dass eine verantwortliche Stelle Fehler beim Schutz der Daten gemacht hat. Artikel 5 der EU-DSGVO kehrt die Beweislast um und verpflichtet die Verantwortlichen, den vorschriftsgemäßen Umgang und den angemessenen Schutz („geeignete technische und organisatorische Maßnahmen“) der Daten nachzuweisen.

Stand der Technik

Noch weitreichendere Verpflichtungen ergeben sich aus Artikel 32 der Verordnung. Wie auch im IT-Sicherheitsgesetz werden dem „Stand der Technik“ entsprechende Maßnahmen verlangt, um ein angemessenes Schutzniveau zu erreichen. Um zu bewerten, ob die Maßnahmen angemessen sind, müssen die Risiken der Verarbeitung betrachtet werden.

Beiträge eines ISMS

Datenschutz-Folgeabschätzung, Rechenschaftspflicht und Stand der Technik stellen neue Anforderungen. Diese haben mehr mit dem Management von Informationssicherheit zu tun als die bisher vom BDSG geforderten technischen und organisatorischen Maßnahmen.
Diese neuen Anforderungen können Sie mit einem ISMS nach ISO/IEC 27001 gut abbilden. Werkzeuge, die das Managementsystem für Informationssicherheit mitbringt, sind beispielsweise ein Verfahren für das Risikomanagement und Maßnahmenkataloge.

Risikoeinschätzung und Risikobehandlung

Die ISO/IEC 27001 fordert, Risiken für die Informationssicherheit einer Organisation einzuschätzen und zu behandeln. Dabei verpflichtet die Norm nicht auf eine bestimmte Methodik, sondern verweist auf die ISO 31000 (Risikomanagement). Unabhängig davon, ob Sie Risiken nach ISO 31000, ISO/IEC 27005 (Informationssicherheitsrisikomanagement) oder BSI-Standard 100-3 bewerten und behandeln, Sie können damit Aspekte der EU-DSGVO abbilden.

Maßnahmen

ISO/IEC 27001 beziehungsweise ISO/IEC 27002 enthalten einen Maßnahmenkatalog. Unternehmen, die verpflichtet sind, den im IT-Sicherheitsgesetz geforderten Stand der Technik umzusetzen, müssen ein normenkonformes ISMS nachweisen. Dass der Maßnahmenkatalog der Norm den Stand der Technik definiert, ist ein Grund dafür.
Wenn Sie die Erklärung zur Anwendbarkeit der Maßnahmen erstellt haben, haben Sie bereits alle Vorkehrungen dokumentiert, die Sie getroffen haben, und ihre Angemessenheit bewertet.

Was tun ohne ISMS?

Doch was tun Sie, wenn Sie noch kein ISMS eingeführt haben? Viele – gerade kleine und mittelständische – Unternehmen haben bei der Umsetzung des BDSG Risikomanagement betrieben: Die Wahrscheinlichkeit, bei einem Verstoß erwischt zu werden, war nicht besonders hoch, der mögliche Schaden (Bußgelder) überschaubar. Zumindest Letzteres wird sich mit der EU-DSGVO ändern.

Um gewappnet zu sein, können Sie nach dem Minimalprinzip nur die Teile umsetzen, die Sie als unbedingt erforderlich identifiziert haben.

Denken Sie aber daran, dass Sie früher oder später weitere Regularien wie das Handelsgesetz, Aktiengesetz, GmbH-Gesetz und IT-Sicherheitsgesetz oder ein vertraglich verordnetes Qualitätsmanagement umsetzen müssen. Möglicherweise werden Sie dann feststellen, dass der Aufwand für die einzelnen Umsetzungen größer ist als der Aufwand für ein einziges integrierendes Managementsystem. Seien Sie vorbereitet: Bündeln Sie alle Maßnahmen in einem Managementsystem und richten dieses an einer kompatiblen Norm wie der ISO/IEC 27001 aus.

Vorteile durch ein ISMS

In der ISO/IEC 27001 finden Sie auch erforderliche Bausteine wie das Risikomanagement oder die Maßnahmenziele. Sie müssen das Rad nicht neu erfinden und profitieren von vielen Vorteilen: Für die effiziente Umsetzung sind Bauanleitungen und Werkzeuge verfügbar, zum Beispiel das RUAG ISMS.

Die Konformität eines vollständigen ISMS kann nach ISO/IEC 27001 zertifiziert werden. So können Sie die von der EU-DSGVO geforderten Nachweise sicher erbringen.

Fazit

Datenschutz und Informationssicherheitsmanagement konnten noch nie getrennt betrachtet werden. Mit der EU-DSGVO rücken Datenschutz und Informationssicherheit noch näher zusammen.

Die EU-DSGVO betrifft alle deutschen Unternehmen, die in irgendeiner Art mit personenbezogenen Daten arbeiten. Die Zeit zur Umsetzung ist knapp und sollte nicht damit vergeudet werden, das Rad neu zu erfinden. Ein ISMS liefert Werkzeuge und Mittel, um der EU-DSGVO zu entsprechen. Wer noch kein ISMS eingeführt hat, findet in der ISO/IEC 27001 Bausteine, um sämtlichen Anforderungen gerecht zu werden. Nutzen Sie diese Bausteine, um Teile Ihres ISMS aufzubauen.

Update vom 22. Mai 2017

Nach Beschluss des DSAnpUG-EU durch den Bundesrat haben wir die Abschnitte „WIE SPIELEN EU-DSGVO UND BDSG ZUSAMMEN?“ und „WAS BLEIBT VOM BDSG ÜBRIG?“ aktualisiert und ergänzt.