25. Mai 2019: Ein Jahr endgültiges Inkrafttreten der DSGVO

David Kemp wirft in seiner Stellungnahme einen Blick zurück und voraus

[datensicherheit.de, 20.05.2019] Am 25. Mai 2019 wird die EU-Datenschutzgrundverordnung (DSGVO) ein Jahr endgültig in Kraft getreten sein – das bis dato wohl umfangreichste Datenschutzgesetz. David Kemp, „Business Strategist“ bei Micro Focus, wirft in einer Stellungnahme einen Blick zurück und voraus.

17 der 24 europäischen Datenschutzbehörden fehlten zum Start die nötigen Mittel

Die EU-Datenschutzgrundverordnung sollte ab dem 25. Mai 2018 einen einheitlichen und fest definierten Standard des Datenschutzes gewährleisten, um sowohl vor Cyber-Angriffen als auch Missbrauch zu schützen.
„Allerdings gaben zum Stichtag nur 27 Prozent der EU-Unternehmen an, sämtliche Anforderungen bereits umzusetzen. Gleichzeitig waren auch die zuständigen Behörden nicht auf den Punkt vorbereitet: 17 der 24 europäischen Datenschutzbehörden fehlten zum Start die nötigen Mittel, um die Umsetzung angemessen verfolgen zu können“, so Kemp.

Befürchtete Abmahnwelle bisher ausgeblieben…

Ein Jahr später sei die befürchtete Abmahnwelle zwar ausgeblieben, allerdings zeigten verschiedene Datenschutzpannen, darunter auch prominente Fälle, dass auch nach einem Jahr noch kein vollumfänglicher Datenschutz in der EU herrsche. Kemp blickt zurück: „Facebook musste eingestehen, Passwörter ungesichert Mitarbeitern zugänglich gemacht zu haben und Amazon gab versehentlich Daten von ,Alexa‘ an den falschen Nutzer heraus.“
Ein großer Streitpunkt sei zudem nach wie vor die Auslegung der Formulierungen wie „angemessener Datenschutz“ und „Zweckmäßigkeit der Datenverarbeitung“. So sei Google von der französischen Datenschutzbehörde CNIL nicht wegen eines Datenlecks zu 50 Millionen Euro verurteilt worden – vielmehr habe die Behörde als Grund mangelnde Transparenz und Verletzung der Informationspflicht sowie dem Zwang, die Nutzungsbedingungen zur Datenverarbeitung zu akzeptieren, genannt. „Dies war der erste Fall, in dem ein Bußgeld gegen ein global operierendes Internetunternehmen gemäß der DSGVO verhängt wurde“, betont Kemp.

Zumindest langfristig ein höherer Datenschutz gewährleistet

„Es wird noch einige Zeit vergehen, bis Compliance in ganz Europa zu 100 Prozent gewährleistet ist, allein schon, weil sich die etwas freier formulierten Passagen abhängig vom Unternehmen unterschiedlich umsetzen lassen. Dennoch ist zu erkennen, dass die DSGVO den digitalen Alltag inzwischen mitbestimmt, da Privatpersonen und Unternehmen stärker für Datenschutz sensibilisiert sind“, so Kemps Einschätzung.
„Internetnutzer haben sich an die Datenschutz-Hinweise und Opt-In-Notifications auf Webseiten gewöhnt und der ,Privacy by Design‘-Ansatz, der durch das Regelwerk vorgeschrieben wird, ist nun Bestandteil sämtlicher Entwicklungszyklen neuer digitaler Produkte und Services.“ Somit sei zumindest langfristig ein höherer Datenschutz gewährleistet. Die DSGVO gebe Unternehmen zudem die Möglichkeit, die Standards zur Datenstrukturierung und –Sicherheit auch auf andere Bereiche zu übertragen und so das allgemeine Sicherheitsniveau und die operative Effizienz über personenbezogene Daten hinaus zu verbessern.

Mehrfachnutzen der DSGVO-Standards

Um in Zukunft die DSGVO-Standards sinnvoll im Unternehmen umzusetzen, empfiehlt Kemp die folgenden drei „Use Cases“:

1. Zweckgebundene Datenerhebung, -speicherung und -verarbeitung als Blaupause für sämtliche operativen Prozesse
   Die rein zweckgebundene Erhebung, Speicherung und Verarbeitung von Daten können Unternehmen als Blaupause für sämtliche operativen Prozesse nutzen, um deren Effizienz zu verbessern. So lässt sich beispielsweise das Volumen der Dunkeldaten in Unternehmen reduzieren, die zwar gespeichert, aber noch nicht identifiziert, klassifiziert und somit auf deren Nutzen hin bewertet wurden. Der Anteil solcher Daten von heute etwa 30 Prozent ließe sich somit stark reduzieren und der Wert der Daten nutzbar machen.
2. DSGVO-Standards auch für nicht personenbezogene, aber ebenso geschäftskritische Sicherheitstrategien
   Ebenso lassen sich die DSGVO-Standards zu Datenschutz und transparenten Prozessen der Datenverarbeitung dazu nutzen, um andere Sicherheitsstrategien zu unterstützen, die nicht personenbezogen, aber ebenso geschäftskritisch sind. Die Nachvollziehbarkeit und zweckgebundene Zugriffskontrolle, die das Regelwerk vorschreibt, unterstützt Strategien der Data Loss Prevention (DLP) und kann durch Identity und Access Management sowie Verschlüsselung durchgesetzt werden.
3. Beschleunigung der Aufnahme von Geschäftsprozesse
   Im Rahmen der Sorgfaltspflicht, die bei Geschäftsübernahmen und Zusammenschlüssen anfällt, kann eine Datenerfassung gemäß der DSGVO-Richtlinien dabei helfen, die verschiedenen Datensätze schneller und reibungsloser zusammenzuführen, um die neuen Geschäftsprozesse schneller aufzunehmen.

Weitere Informationen zum Thema:

datensicherheit.de, 20.05.2019
DSGVO brachte mehr Datenhygiene und auch Bürokratie

datensicherheit.de, 21.04.2019
Studie: DSGVO mangelhaft umgesetzt

datensicherheit.de, 10.04.2019
Art. 6 Abs. 1 b DSGVO: Leitlinien zur Interpretation verabschiedet

datensicherheit.de, 09.02.2019
DSGVO: Fast 60.000 Datenverstöße seit endgültigem Inkrafttreten

datensicherheit.de, 27.01.2019
13. Europäischer Datenschutztag: DSGVO gilt es besser zu machen

datensicherheit.de, 24.01.2019
Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen

datensicherheit.de, 30.11.2018
EU-DSGVO: Datenschutz als Chance