Die Lösung des EU-Gesetzgebungs-Dschungels?

Das bringt die EU-Datenschutz-Grundverordnung

| Autor / Redakteur: Andy Green / Heidemarie Schuster

Das Vokabular der DS-GVO

Die DS-GVO ist ein Dokument mit über 100 Seiten. Die wichtigsten Vorgaben für IT- und Sicherheitsexperten sind aber in einigen wenigen Artikeln der Verordnung enthalten.

  • In der DS-GVO steht der Begriff personenbezogene Daten für „alle Informationen, die sich auf eine betroffene Person beziehen“. Eine betroffene Person ist „eine bestimmte natürliche Person oder eine natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die [jemand] aller Voraussicht nach einsetzen würde“.
  • Diese nicht ganz unkomplizierte Definition wurde aus der ursprünglichen Datenschutzrichtlinie übernommen. Genau wie diese umfasst die DS-GVO Kennzeichen wie Telefonnummern, Adressen und Kontonummern sowie Online-Kennungen wie E-Mail-Adressen und biometrische Daten.
  • Die DS-GVO berücksichtigt auch nicht eindeutige Merkmale. Dazu gehören unterschiedliche Datenfelder, typischerweise Geodaten und Datumsangaben. Indem man diese Daten weiter verarbeitet oder man zusätzlich externe Referenzquellen benutzt, lässt sich eine Person indirekt identifizieren. Jeder sollte also personenbezogene Daten schützen. Denn anonymisierte Daten werden weder von der DS-GVO noch von der aktuellen Datenschutzrichtlinie abgedeckt.
  • Die DS-GVO nutzt weiterhin die Begriffe für die Verarbeitung Verantwortlicher und Auftragsverarbeiter. Ein für die Verarbeitung Verantwortlicher ist jeder, der „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Es handelt sich dabei also um das Unternehmen oder die Organisation, die zu Beginn entscheidet, Daten der betroffenen Person zu erfassen.
  • Ein Auftragsverarbeiter ist jeder, der die Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Die DS-GVO definiert das Speichern von Daten explizit als Verarbeitungsverfahren. Dementsprechend gilt das Gesetz beispielsweise auch für Cloud-basierte virtuelle Speicher.
  • Allgemein stellt die DS-GVO Regeln für den Schutz personenbezogener Daten auf, die von einem Verantwortlichen erfasst und an eine mit der Bearbeitung beauftragte Person weitergegeben werden. Das ursprüngliche Manko der Datenschutzrichtlinie in Bezug auf Cloud-Anbieter wird in der aktuellen Fassung der DS-GVO behoben.

Die Artikel im Einzelnen

Das neue Gesetz definiert die Pflichten derer, die Daten im Auftrag verarbeiten – und damit von Cloud-Anbietern – genauer. Dies betrifft die Artikel 26 (Auftragsverarbeiter) und 30 (Sicherheit der Verarbeitung). Diese entsprechen in der Datenschutzrichtlinie dem Artikel 17. Prinzipiell sagt er aus, dass ein Cloud-Anbieter die Sicherheit der Daten, die ihm vom für die Verarbeitung Verantwortlichen übergeben werden, gewährleisten muss.

Die DS-GVO sieht die Möglichkeit vor, Schadenersatzansprüche direkt gegenüber dem Auftragsverarbeiter geltend zu machen. In der aktuellen Datenschutzrichtlinie ist dies nur gegenüber dem für die Verarbeitung Verantwortlichen möglich.

  • Artikel 5 (Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten) nennt im Prinzip dieselben Anforderungen zur Minimierung der erfassten Datenmenge wie die aktuelle Datenschutzrichtlinie: Personenbezogene Daten müssen „dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Datenverarbeitung notwendige Mindestmaß beschränkt sein“. Der Artikel besagt jedoch auch, dass letztendlich der für die Verarbeitung Verantwortliche die Sicherheit der Daten gewährleisten muss.
  • Artikel 23 (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) enthält zusätzliche Aspekte eines Privacy by Design. Er geht genauer auf das Minimierungsprinzip ein: Der für die Verarbeitung Verantwortliche muss die Dauer der Datenspeicherung sowie den Zugriff grundsätzlich beschränken. Zudem wird die EU-Kommission ermächtigt, genauere Anforderungen zum Datenschutz durch Technik zu einem späteren Zeitpunkt festzulegen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43793057 / Compliance und Datenschutz )