DSGVO und das BDSG (neu)

Einfache Datensicherheit trotz DSGVO und BDSG (neu)

| Autor / Redakteur: Martin McDonald / Peter Schmitz

Schon seit 1990 müssen deutsche Unter­nehmen eine Erlaubnis einholen, bevor sie personen­be­zo­ge­ne Daten ver­wen­den dürf­en. DSGVO und BDSG-neu präzisieren und er­wei­tern hier nur ältere Vor­schrif­ten.
Schon seit 1990 müssen deutsche Unter­nehmen eine Erlaubnis einholen, bevor sie personen­be­zo­ge­ne Daten ver­wen­den dürf­en. DSGVO und BDSG-neu präzisieren und er­wei­tern hier nur ältere Vor­schrif­ten. (Bild: Pixabay / CC0)

Auch wenn Deutschland traditionell ein Land des strikten Datenschutzes ist, ist es alles andere als immun gegen die Risiken. Die Einführung von BDSG-neu und DSGVO verschärft die Situation nun noch einmal. Wie können Unternehmen durch die veränderte Datenlandschaft navigieren, wie können Kosten vermieden und Mitarbeiter zu Datenexperten ausgebildet werden?

Deutschland zählt zu den Ländern mit dem geringsten Risiko einer Datenschutzverletzung. Das ist angesichts der strengen Gesetzgebung kaum überraschend. Das Land nimmt bei der Datensicherheit seit den 1970er-Jahren eine Vorreiterrolle ein. Letztes Jahr hat es als erster EU-Mitgliedstaat die Datenschutz-Grundverordnung (DSGVO) auf nationaler Ebene umgesetzt.

Dies bedeutet jedoch nicht, dass Unternehmen gegenüber Datenrisiken immun sind. Internationale Studien zeigen, dass Datenschutzverletzungen in Deutschland die dritthöchsten Pro-Kopf-Kosten weltweit verursachen: 130 Euro. Zusätzlich bringt die Novelle des Bundesdatenschutzgesetzes („BDSG-neu“) härtere Strafen mit sich, sodass es noch wichtiger wird, über eine robuste Datenschutzlösung zu verfügen.

Wenn Unternehmen in der heutigen, immer komplexer werdenden Datenlandschaft erfolgreich sein wollen, ist eine gründliche Untersuchung interner Verfahren und eine unvoreingenommene Analyse der Anbieter wichtig. Hierbei geht es nicht nur um die Umsetzung der Vorgaben des BDSG-neu, sondern auch um die Ermittlung und Bewältigung potenzieller Probleme.

Diese fünf Schritte helfen Unternehmen dabei, ihre Wettbewerbsposition zu sichern:

Schritt 1: Datenrisiken gering halten

Nach dem Inkrafttreten des BDSG-neu erhöht sich der Preis, den Unternehmen für Mängel bei der Datensicherheit zahlen müssen. Die Strafen für Verstöße liegen bei bis zu 20 Mio. Euro oder 4 Prozent des Gesamtumsatzes (je nachdem, welcher Betrag höher ist). Wenn nur nationales Recht gebrochen wird, beträgt die Strafe 50.000 Euro.

Für Unternehmen, die das Risiko von Verstößen senken möchten, müssen ihr Datenmanagement genau unter die Lupe nehmen, um die größtmögliche Kontrolle bezüglich Nutzung und Speicherung der Daten sowie dem entsprechenden Zugriff sicherzustellen. Dazu gehören das Erstellen eines Protokolls der gespeicherten Daten mit Informationen über den Datenflusses innerhalb und außerhalb des Unternehmens, über den Zugriff durch Dritte und über mögliche Risiken. Auf diese Weise lassen sich potenzielle Probleme im Blick behalten und schnell angehen. Darüber hinaus wird es leichter, Auskunftsersuchen von Betroffenen nachzukommen.

Das BDSG-neu ist nicht der einzige Grund, über die Einführung flexibler Sicherheitstools nachzudenken. Im Zuge der vierten industriellen Revolution werden Daten immer wertvoller und damit interessanter für Hacker. Unternehmen müssen über Sicherheitsmechanismen verfügen, die sich ständig auf neue Bedrohungen einstellen, um diese direkt erkennen und bekämpfen zu können.

Schritt 2: Kenntnisse der Mitarbeiter stärken

Die Bestimmungen zum Datenschutz waren schon immer kompliziert. Mit einer Mischung aus DSGVO, Polizeirichtlinie und Bundesgesetzgebung ist das BDSG-neu allerdings noch unübersichtlicher. Daher ist es leicht verständlich, warum 38 Prozent der IT-Entscheidungsträger erwarten, dass mit dem BDSG-neu große Probleme auf sie zukommen.

Eine bessere Kenntnis ist erforderlich. Der Text des Datenschutz-Anpassungs- und -Umsetzungsgesetzes eignet sich als Ausgangspunkt. Theoretisches Wissen reicht jedoch nicht aus, um einen verlässlichen Datenschutz zu gewährleisten: Unternehmen müssen ein Verständnis dafür entwickeln, wie sich das BDSG-neu auf den Geschäftsbetrieb auswirkt und wie sich die Vorgaben erfüllen lassen. Dies kann durch Schulungen und Neueinstellungen geschehen.

Durch Kompetenzentwicklung in Bereichen wie Data Science und Cyber-Sicherheit und die Anwerbung einer neuen Generation an Datenexperten können Unternehmen einen Talentpool aufbauen und die Herausforderungen bewältigen, vor die sie das BDSG-neu stellt. Darüber hinaus profitieren Unternehmen bei der Bewältigung künftiger Hindernisse so von den vorhandenen Fertigkeiten, der Kreativität und der Kompetenz seines Teams bei der Problemlösung.

Schritt 3: Auf die Einwilligung konzentrieren

Das deutsche Datenschutzgesetz setzt auf Einwilligung. Bereits seit 1990 müssen Unternehmen eine Erlaubnis einholen, bevor personenbezogene Daten verwendet werden dürfen. Das BDSG-neu präzisiert und erweitert ältere Vorschriften. Außerdem enthält es Bestimmungen zum Umgang mit spezifische Kategorien personenbezogener Daten sowie Einschränkungen im Hinblick auf deren Nutzung für bestimmte Zwecke wie beispielsweise Werbung.

Unternehmen müssen jetzt sicherstellen, dass sie über eine rechtliche Grundlage (vorherige Zustimmung oder Erforderlichkeit für die Bereitstellung von Dienstleistungen) zur Speicherung von Daten verfügen, und dies auch nachweisen können. Auskunftsersuchen von Betroffenen muss nachgekommen werden: Die DSGVO räumt betroffenen Personen das Recht ein, Informationen bezüglich der Datenweitergabe einzuholen und die Löschung von Daten einzufordern. Einmal mehr beruht die Fähigkeit, dieser Vorschrift nachzukommen, auf den Kenntnissen der Unternehmen hinsichtlich der eigenen Datenverarbeitung. Sie müssen also umfassend überprüfen, wie Daten erfasst und im gesamten Unternehmen genutzt werden.

Selbstverständlich handelt es sich hierbei um eine Herausforderung. Diese bringt jedoch auch erhebliche Vorteile mit sich. Durch die Offenlegung, wie und warum Daten verwendet werden, können sich Unternehmen einen Ruf als transparentes Unternehmen verschaffen und das Kundenvertrauen stärken.

Schritt 4: Datenerfassung mit „Kindersicherung“

In der digitalisierten Gesellschaft sind auch Minderjährige online. Was folgt daraus für den Datenschutz? Unternehmen können zwar ein Mindestalter von 18 Jahren für eine Registrierung vorgeben, dürfen sich jedoch nicht darauf verlassen, dass diese Vorgabe befolgt wird. Aus aktuellen Daten geht hervor, dass bereits 51 Prozent der in Deutschland lebenden Minderjährigen über ein Profil in einem sozialen Netzwerk verfügen. Das BDSG-neu bringt einige Neuerungen zu diesem Thema mit sich. Laut dem Gesetz dürfen nur Personen über 16 Jahren ihre direkte Einwilligung erteilen. Bei einem Alter darunter ist die Zustimmung zur Datennutzung von einem Elternteil oder rechtlichen Vertreter einzuholen. Die Unternehmen müssen jedoch selbst entscheiden, wie sie das Alter überprüfen, die entsprechende Einwilligung einholen und mögliche Schlupflöcher schließen. Dieser Fall eines nicht volljährigen Gamers aus den USA zeigt, wie viel Schaden eine fehlende Einwilligung verursachen kann.

Die Einführung strenger Altersbeschränkungen sowie Einverständniserklärungen, in denen eindeutig erklärt wird, worum es sich bei der Datenweitergabe handelt, haben bei der Einhaltung der Vorschriften des BDSG-neu höchste Priorität. Kinder – und Unternehmen – sollen sich sicher im digitalen Umfeld bewegen können.

Schritt 5: Datenzentralisierung und -anonymisierung

Die wachsende Anzahl an Geräten und Plattformen hat eine zunehmende Fragmentierung der generierten Daten zur Folge, die einen Abgleich unmöglich macht, da die Daten in unterschiedlichen Abteilungen gespeichert werden. Unternehmen können daher kaum ein Profil mit allen Aktivitäten eines Verbrauchers zusammenstellen, das einen besseren Service ebenso gewährleisten würde wie den vollständigen Schutz der Daten und die Einhaltung gesetzlicher Vorschriften.

Die Zusammenführung dezentral gespeicherter Daten sollte höchste Priorität haben. Durch die Bereitstellung intelligenter Tools, die unterschiedliche Datenströme zusammenführen und in einem zentralen Hub speichern, können Unternehmen Datenschutzmaßnahmen umsetzen und erhalten zudem ein vollständiges Verbraucherprofil, mit dem sich das eigene Angebot optimieren lässt. Darüber hinaus müssen im Rahmen der Datenschutzbestimmungen möglicherweise Verfahren zur Verbesserung des Datenschutzes eingeführt werden, ohne dass die Nutzung der angebotenen Services eingeschränkt wird: z. B. Pseudonymisierung, bei der Erkennungsmerkmale innerhalb eines Datensatzes durch anonyme Bezeichner ersetzt werden, die sich keiner Einzelpersonen zuordnen lassen.

Auch wenn die Wahrscheinlichkeit von Datenschutzverletzungen in Deutschland niedriger als anderswo ist, können sich Unternehmen nicht einfach zurücklehnen. Die Datenlandschaft verändert sich immer weiter und wird täglich komplexer. Datensicherheit ist jedoch möglich. Von der Überarbeitung und Erneuerung der Datenschutzrichtlinien bis hin zur Konsolidierung und Einholung der ausdrücklichen Einwilligung – es gibt zahlreiche Wege, die neuen Vorschriften einzuhalten und sich sicher im neuen Umfeld zu bewegen.

Über den Autor: Martin McDonald ist Country Manager für Deutschland, Österreich und die Schweiz bei Tealium, einem Anbieter von Realtime-Kundendaten-Lösungen und Enterprise Tag Management.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45369503 / Compliance und Datenschutz )