Rund 500 deutsche Unternehmen müssen damit rechnen, innerhalb der nächsten Wochen Post von den deutschen Datenschutzbehörden zu erhalten. Der Grund: Die Datenschutzaufsichtsbehörden haben einen ausführlichen Fragebogen zum grenzüberschreitenden Datentransfer erstellt und fordern Unternehmen nun auf, diesen zu beantworten. Sie müssen dadurch offenlegen, ob sie die datenschutzrechtlichen Anforderungen an einen sogenannten Drittlandtransfer erfüllen - also die Übermittlung personenbezogener Daten in Staaten, deren Datenschutzniveau nicht dem europäischen Standard entspricht.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Hintergrund der Datenschutz-Sonderprüfung
In den letzten Jahren hat der globale Datentransfer durch die fortschreitende Globalisierung und die Nutzung von Cloud-Services massiv zugenommen. Software-as-a-Service-Dienste aus der Cloud, wie zum Beispiel Office-Anwendungen, ERP und CRM-Systeme, werden heute erheblich mehr genutzt als in der Vergangenheit. Diese Dienste werden überwiegend von Providern mit Sitz in den USA angeboten, so dass personenbezogene Daten aus der Europäischen Union in die USA oder auch in andere Staaten übermittelt werden.
Häufig schafft das Rechtsystem in diesen Ländern kein den europäischen Standards entsprechendes, angemessenes Datenschutzniveau. Dies gilt zum Beispiel auch für die USA. Deshalb ist der Datentransfer in diese Länder nicht ohne weiteres zulässig. Die Datenschutzaufsichtsbehörden haben in der Vergangenheit die Erfahrung gemacht, dass Unternehmen der Privatwirtschaft sich häufig nicht bewusst sind, welche datenschutzrechtlichen Anforderungen zu erfüllen sind, bevor Daten in Drittstaaten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums übermittelt werden dürfen. In der Praxis verstößt deshalb eine Vielzahl von Unternehmen gegen die datenschutzrechtlichen Anforderungen.
- Prognose 1: Regionale Player ergänzen das Angebot der Cloud-Giganten
Auch AWS, Microsoft oder Google können nicht jede Kundenanforderung abdecken. Für kleinere regionale Cloud-Provider ergeben sich dadurch Chancen. Cloud-Nutzer sollten sie bei der Auswahl berücksichtigen. - Prognose 2: CIOs bringen Cloud-Kosten unter Kontrolle
2017 werden CIOs das Kosten-Management ihrer Cloud-Services besser in den Griff bekommen. Dabei helfen einschlägige Tools, etwa von AWS, Cloudability oder Cloudyn. - Prognose 3: Apps werden für den Cloud-Betrieb angepasst
Unternehmen sollten ihre Applikationen nicht einfach unverändert in die Wolke schieben, sondern sie für den Betrieb in der Public Cloud anpassen, empfiehlt Forrester. - Prognose 4: Hyperconverged Systems erleichtern Private-Cloud-Installationen
Forrester empfiehlt den Einsatz von Hyperconverged Systems für Private-Cloud-Szenarien insbesondere für neue Workloads, die eine rasche und automatisierte Skalierung der Infrastruktur erforderten. - Prognose 5: Container-Techniken drängen in die Cloud
Linux-Container werden 2017 Bestandteil jeder großen Public- oder Private-Cloud-Plattform sein, erwarten die Analysten. - Prognose 6: Enterprise-Anwendungen wandern in die Public Cloud
"Die Cloud ist der beste Ort, um aus Enterprise-Daten schnell Erkenntnisse zu gewinnen“, sagt Forrester-Analyst Dave Bartoletti. Schon jetzt hosten etliche Unternehmen auch Enterprise-Anwendungen in der Public Cloud. Dieser Trend werde sich 2017 verstärken.
Rechtlicher Hintergrund: Safe Harbor & Privacy Shield
Unternehmen, die personenbezogene Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums übermitteln, müssen sicherstellen, dass der Empfänger der personenbezogenen Daten ein den europäischen Standards entsprechendes Datenschutzniveau einhält. Die Europäische Kommission hat bei einer Reihe von Staaten, wie zum Beispiel der Schweiz, Kanada oder Argentinien, das durch das nationale Rechtssystem gewährleistete Datenschutzniveau durch Beschluss ausdrücklich als angemessen anerkannt.
Andere Staaten, wie die USA oder Indien weisen indes kein angemessenes Datenschutzniveau auf. In der Folge muss die Datenübermittlung in diese Länder auf andere Weise legitimiert werden. Für Datenübermittlungen in die USA steht zurzeit das sogenannte EU-US Privacy Shield zur Verfügung, unter dem sich das empfangende Unternehmen in den USA selbst zertifizieren lassen kann. Das Privacy Shield, das das im letzten Oktober vom EUGH für ungültig erklärte Safe-Harbor-Abkommen abgelöst hat, erkennen die Aufsichtsbehörden als Rechtsgrundlage der Fragebogenaktion an. Der Datentransfer in andere Drittstaaten kann zum Beispiel dadurch legitimiert werden, dass mit dem Empfänger die sogenannten Standardvertragsklauseln der EU-Kommission abgeschlossen werden.
So sieht der Datenschutz-Fragebogen für Unternehmen aus
Der dreiseitige Fragebogen umfasst ganz konkret Fragen nach Übermittlungen von Daten in die USA sowie in sonstige Drittstaaten und fragt darüber hinaus auch die Rechtsgrundlagen für diese Übermittlungen ab. Dabei spielt im Detail auch eine Rolle für welche Zwecke die Übermittlung erfolgt: Konzerninterner Datentransfer, Fernwartung, Wartung, Reisemanagement, Vertrieb und Marketing, oder Personalwesen.
Zusätzlich werden Fragen unter anderem nach Kommunikationsdiensten, Cloud-Office-Lösungen, Kollaborationsplattformen, Ticketsystemen oder sonstigen Systemen gestellt, bei deren Einsatz Daten in Drittstaaten übermittelt werden. Zu guter Letzt müssen die Unternehmen ausführen, ob ihr betrieblicher Datenschutzbeauftragter in die Prüfung der Rechtmäßigkeit der Übermittlung einbezogen wurde und müssen - falls das nicht geschehen ist - begründen, warum nicht.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Datenschutzrecht: Hilfestellung bei der Umsetzung
Laut der Pressemeldung der Datenschutzaufsichtsbehörden soll die Prüfung eine Hilfestellung für Unternehmen darstellen, um eventuelle Lücken in der Umsetzung des geltenden Datenschutzrechts zu identifizieren und zu schließen. Die Unternehmen werden rein zufällig ausgewählt, wobei Unternehmen unterschiedlicher Größenordnung und verschiedener Branchen umfasst sind. Angeschrieben werden Unternehmen mit Sitz in Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, dem Saarland und Sachsen-Anhalt.
Sofern ein Unternehmen den Fragebogen erhält, sollte dieser innerhalb der von der Aufsichtsbehörde gesetzten Frist beantwortet werden. Die Erfahrungen aus der letzten Fragebogenaktion, die nach der Entscheidung des EUGH zu Safe Harbor gestartet wurde, haben gezeigt, dass die Datenschutzaufsichtsbehörden sich nicht nur darauf beschränken, die Antworten auszuwerten. Unternehmen, die nicht reagierten oder bei denen Missstände aufgedeckt wurden, wurden weitergehenden Kontrollen unterzogen. Es drohen Bußgelder in Höhe von bis zu 300.000 Euro. (fm)