Blog | Vorbereitung auf die DSGVO – so verändert sie die Sicherheitslandschaft

06.06.2017

Die DSGVO wird grosse Auswirkungen auf Unternehmen haben, auch wenn es bereits heute viele Datenschutzregelungen gibt.

Für jedes Unternehmen, das Geschäfte in Europa tätigt, ist die EU-Datenschutz-Grundverordnung (DSGVO), die ab Mai kommenden Jahres gültig ist, eine grosse Veränderung, auf die es sich vorbereiten muss.
Die Verordnung, auch als GDPR („General Data Protection Regulation“) bezeichnet, findet ab 25. Mai 2018 Anwendung auf private Unternehmen und öffentliche Institutionen in der ganzen EU. Viele sehen darin die grösste bisher dagewesene Umwälzung in Europa in Bezug auf Datenschutz.

Ist diese Einschätzung angemessen? Und was bedeutet das in der Praxis für Unternehmen, die ihre hoch vertraulichen Daten schützen?
Natürlich ergeben sich Neuerungen und Veränderungen durch die Verordnung, über die Unternehmen informiert sein müssen. Insbesondere die Geldstrafen bei Regelverstössen sind um ein Vielfaches höher, weswegen Unternehmen Massnahmen für mehr Datenschutz ergreifen sollten, um letztendlich auch sich selber zu schützen.

Allerdings leben wir natürlich auch heute nicht im „Wilden Westen“, denn es gibt in Europa
bereits zahlreiche Datenschutz-Vorschriften. Aber die DSGVO optimiert und standardisiert in vielen Fällen Gesetze, die bisher nur auf nationaler Ebene bestehen.

Auswirkungen auf die Verschlüsselung

Schauen wir uns den Bereich Verschlüsselung einmal genauer an. Die Datenschutz-Grundverordnung bezeichnet Verschlüsselung explizit als geeignete Massnahme, um bei der Verarbeitung ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten (Art. 32, Absatz 1a). Weiterhin verlangt sie die Durchführung regelmässiger Tests dieser Abwehrmassnahmen, um deren Effektivität zu messen.

Organisationen, die sensible Daten verschlüsseln, haben laut Verordnung (Artikel 34, Absatz 3a) sogar einen Vorteil: Sie sind von der Pflicht befreit im Falle eines Sicherheitsverstosses betroffene Personen zu informieren. Allerdings besteht für Unternehmen auch bei Verschlüsselung die Pflicht, Sicherheitsvorfälle und -verstösse der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden zu melden.

Verdrängung der nationalen Gesetzgebung

Beim Vergleich mit bestehenden nationalen Gesetzen zeigt sich, dass nur die Meldepflichten und die massiven Geldstrafen wirklich neu sind. In Deutschland zum Beispiel, besagt das Bundesdatenschutzgesetz (BDSG) bereits heute, dass Unternehmen Massnahmen ergreifen müssen, um persönliche Daten zu schützen, darunter fallen beispielsweise Name, Adresse und Geburtsdatum.

Dabei nennt auch das BDSG explizit die Verschlüsselung als eine solche Schutzmassnahme. Somit müssen Unternehmen, die in Deutschland operativ tätig sind, bereits mit Verschlüsselung vertraut sein, so dass die Regelungen der DSGVO keine besonders grosse Überraschung sein sollten.

Übrigens beruht das Bundesdatenschutzgesetz ebenfalls bereits auf bestehenden EU-Regeln. Es ist die nationale Umsetzung der EU-Datenschutz-Richtlinie 95/46/EC von 1995. Diese Richtlinie wird nun durch die DSGVO ersetzt. Mehr über die Unterschiede der EU-Regelungen, erfahren Sie in unserem Blog-Artikel „Sind Sie bereit für die neuen EU-Datenschutzregeln?“

Wenn Firmen die Schutzmassnahmen ergreifen, die laut geltender Regeln in vielen Ländern zum Schutz personenbezogener Daten bereits heute nötig sind, wird die Einführung der DSGVO auf ihre aktuelle Tätigkeit in Bezug auf Verschlüsselung keine drastische Auswirkung haben.

Die Auswirkungen auf Unternehmen in Nicht-EU-Ländern

Eine der Hauptbestimmungen der DSGVO ist es, dass sie auf alle Firmen angewandt wird, die persönliche Daten von EU-Bürgern verarbeiten. Damit ist sie auch für Unternehmen, die nicht in der EU ansässig, aber geschäftlich dort tätig sind, massgeblich.

Das trifft zum Beispiel auf viele Schweizer Unternehmen zu. Für sie ist wichtig, dass die nationalen Regelungen zum Datenschutz auch EU-Bedürfnisse zufrieden stellen. Tun sie das nicht, könnte der Datenaustausch mit EU-Ländern datenschutzrechtlich sehr kompliziert werden und damit den Marktzugang von Schweizer Unternehmen erschweren. Auch deshalb ist die Schweiz aktuell damit beschäftigt, ihre Datenschutz-Gesetzgebung zu überarbeiten.

Ähnlich ergeht es der britischen Regierung, von der erwartet wird, dass sie die DSGVO komplett umsetzen wird, trotz geplantem Brexit 2019. Matt Hancock, Minister für Digitalisierung, liess Anfang des Jahres verlauten, Grossbritannien arbeite daran, die DSGVO-Bestimmungen in britischen Gesetzen zu verankern, um auch nach dem Brexit den kontinuierlichen Datenaustausch mit der EU zu gewährleisten.

Auch die vorgezogenen Neuwahlen am 8. Juni werden daran vermutlich nichts ändern. Wer auch immer nach der Abstimmung an der Macht ist, möchte sicher nicht den Eindruck vermitteln, UK-Unternehmen nähmen den Datenschutz weniger ernst als ihre Konkurrenten in der EU.

von Marcel Mock, CTO