• IT-Karriere:
  • Services:

Datenschutz-Grundverordnung: Was Unternehmen und Admins jetzt tun müssen

Ab dem 25. Mai gilt europaweit ein neues Datenschutz-Gesetz, das für Unternehmen neue rechtliche Verpflichtungen schafft. Trotz der nahenden Frist sind viele IT-Firmen schlecht vorbereitet. Wir erklären, was auf Geschäftsführung und Admins zukommt.

Artikel von veröffentlicht am
Der EU-Abgeordnete Jan Philipp Albrecht war maßgeblich an der Verabschiedung der DSGVO beteiligt.
Der EU-Abgeordnete Jan Philipp Albrecht war maßgeblich an der Verabschiedung der DSGVO beteiligt. (Bild: Ruprecht Stempell/CC-BY-NC-SA 4.0)

Als im Frühjahr 2016 der finale Text der neuen Datenschutz-Grundverordnung (kurz: DSGVO) veröffentlicht wurde, erntete die EU viel Zuspruch dafür. Die Verordnung sei "eine gute Nachricht für Verbraucher und Unternehmen", zeigten sich die Verbraucherschützer des VZBV (Verbraucherzentrale Bundesverband) überzeugt. Auch die EU-Kommission war voll des Lobes: Das neue Gesetz markiere einen "wichtigen Meilenstein" und sei "der Höhepunkt" für Europas Datenschutz.

Inhalt:
  1. Datenschutz-Grundverordnung: Was Unternehmen und Admins jetzt tun müssen
  2. Keine Datenverarbeitung ohne Rechtsgrundlage
  3. Dokumentations-, Nachweis- und Rechenschaftspflichten
  4. Permanente Auskunftspflicht
  5. Fazit

Aber wie sieht es auf Unternehmensseite aus? Was müssen Admins und IT-Verantwortliche beachten, um nach dem 25. Mai weiterhin gesetzeskonform zu arbeiten? Trotz der nahenden Frist für die Einhaltung der neuen Regeln schleift die Umsetzung in der Praxis offenbar noch immer erheblich. "Nur rund jedes achte Unternehmen wird nach eigener Einschätzung bis zum Stichtag die Vorgaben der DSGVO vollständig umgesetzt haben", sagt der deutsche Verband der Digitalwirtschaft Bitkom. Und einer Umfrage des IT-Sicherheitsunternehmens Watchguard zufolge wissen fast die Hälfte von 277 befragten Unternehmen in Deutschland noch nicht einmal, ob die DSGVO für sie überhaupt greift.

Grund genug, die wichtigsten Neuerungen und Verpflichtungen für Unternehmen und Admins genau zu untersuchen. Denn wer den neuen Verpflichtungen nach dem 25. Mai nicht nachkommt, riskiert hohe Bußgelder. Auch wenn die häufig zitierten Maximalstrafen von 20 Millionen Euro beziehungsweise 4 Prozent des globalen Unternehmensumsatzes in der Praxis eher die Ausnahme bleiben dürften, können Bußgelder in Abhängigkeit der Schwere des Vorfalls und der Unternehmensgröße schnell an die Substanz gehen.

Was sind personenbezogene Daten?

Die DSGVO regelt, wie Unternehmen mit personenbezogenen Daten umgehen müssen. Die Verordnung fasst den Begriff der personenbezogenen Daten sehr weit. Beispiele für personenbezogene Daten nach DSGVO sind laut EU-Kommission neben Name, Anschrift und E-Mail-Adresse auch Ausweisnummer, Standortdaten, IP-Adressen, Cookie-Kennungen, Werbe-IDs und Gesundheitsdaten aus Krankenhäusern oder bei Ärzten, die zur eindeutigen Identifizierung einer Person führen könnten.

Stellenmarkt
  1. GCP - Grand City Property, Berlin
  2. Rail Power Systems GmbH, München

Grundsätzlich gelten alle Informationen als personenbezogen, die sich auf eine "identifizierte oder identifizierbare lebende Person" beziehen. Identifizierbar bedeutet, dass selbst wenn es auch nur theoretisch möglich ist, durch die Kombination verschiedener Teilinformationen bestimmte Personen zu identifizieren, diese Teilinformationen bereits ebenfalls personenbezogene Daten darstellen.

  • Screenshot der Datenschutzeinstellungen in Firefox 58 (Quelle: Golem.de)
  • Ausschnitt des Musterverzeichnisses für Datenverarbeitungstätigkeiten (Quelle: Landesdatenschutzbeauftragte Niedersachsen)
  • Eine Übersicht verschiedener Arten personenbezogener Daten (Quelle: Enterprivacy.com)
  • Beispiel eines Anmeldeformulars mit Werbe-Opt-in (Quelle: otto.de)
Eine Übersicht verschiedener Arten personenbezogener Daten (Quelle: Enterprivacy.com)

Dies betrifft Informationen der EU-Kommission zufolge auch personenbezogene Daten, die anonymisiert, verschlüsselt oder pseudonymisiert wurden, aber zur erneuten Identifizierung einer Person genutzt werden könnten. Erst wenn die Daten so anonymisiert wurden, dass auch mit größerem Aufwand keine Rückschlüsse mehr auf die betroffenen Personen gezogen werden können, gelten Daten als nicht mehr personenbezogen.

Wie schwer eine rechtssichere Anonymisierung großer Datenmengen ist, demonstrierte Netflix unfreiwillig schon vor über zehn Jahren. Die von dem Unternehmen veröffentlichten anonymisierten Filmbewertungen von rund einer halbe Million Kunden konnten von Forschern direkt mit öffentlichen Ratings der Internet Movie Database IMDb korreliert und ein Teil der Datensätze so Personen zugeordnet werden.

Ähnlich erging es vor einigen Jahren einem rund 20 GByte großen, eigentlich pseudonymisierten Datensatz mit Informationen über 170 Millionen Taxifahrten in New York. Wegen Fehlern beim Hashen sowie mit Hilfe zuvor bekannter Eigenschaften der pseudonymisierten Daten war die anschließende Deanonymisierung der betroffenen Taxis ein Kinderspiel. Auch deswegen verlangt die DSGVO, dass die Anonymisierung unumkehrbar sein muss, damit die Daten ihre rechtliche Eigenschaft der Personenbezogenheit verlieren.

Technische Vorgaben dazu, wie eine rechtssichere Anonymisierung oder Pseudonymisierung gelingen kann, enthält die DSGVO nicht. "Es gibt im Prinzip zwei Möglichkeiten", erklärt Rechtsanwalt Martin Schirmbacher im Gespräch mit Golem.de. "Entweder man entfernt identifizierende Merkmale wie etwa Namen oder Geburtsdaten oder man aggregiert die Daten so, dass man den Rückschluss auf eine Person nicht mehr ziehen kann." In jedem Fall empfiehlt Schirmbacher Unternehmen, die jeweils gewählte Anonymisierungstechnik ausgiebig zu dokumentieren. "Wie überall in der DSGVO ist eine transparente Dokumentation hier essenziell."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Keine Datenverarbeitung ohne Rechtsgrundlage 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Hardware-Angebote

Anonymer Nutzer 17. Apr 2018

Das Stichwort hierzu lautet Bundesmeldegesetz. (https://www.gesetze-im-internet.de/bmg...

Auspuffanlage 17. Apr 2018

Soweit ich weiß besteht hier bereits länger die Möglichkeit https zu benutzen also...

Auspuffanlage 17. Apr 2018

Wo steht das mit dem zwingenden Zeitstempel? Ich möchte das gerne einmal überprüfen!

Auspuffanlage 17. Apr 2018

Wenn man sich einmal intensiv damit befasst hat, merkt man schnell wieviel Blödsinn...

Avarion 14. Apr 2018

Probleme mit der DSGVO sind meiner Meinung nach nur die Bereiche "Berechtigtes...


Folgen Sie uns
       


Samsung Galaxy Note 20 (Ultra) - Hands On

Die neuen Galaxy Note 20 und Galaxy Note 20 Ultra von Samsung kommen wieder mit dem S Pen.

Samsung Galaxy Note 20 (Ultra) - Hands On Video aufrufen
Mario Kart Live im Test: Ein Klempner, der um Konsolen kurvt
Mario Kart Live im Test
Ein Klempner, der um Konsolen kurvt

In Mario Kart Live (Nintendo Switch) fährt ein Klempner durchs Wohnzimmer. Golem.de hat das Spiel mit einem Konsolen-Rennkurs ausprobiert.
Von Peter Steinlechner

  1. Nintendo Entwickler arbeiten offenbar an 4K-Updates für Switch Pro
  2. Nintendo Switch Mario Kart Live schickt Spielzeugauto auf VR-Rennstecke
  3. 8bitdo Controller macht die Nintendo Switch zum Arcade-Kabinett

Philips-Leuchten-Konfigurator im Test: Die schicke Leuchte aus dem 3D-Drucker
Philips-Leuchten-Konfigurator im Test
Die schicke Leuchte aus dem 3D-Drucker

Signify bietet mit Philips My Creation die Möglichkeit, eigene Leuchten zu kreieren. Diese werden im 3D-Drucker gefertigt - und sind von überraschend guter Qualität. Golem.de hat eine güldene Leuchte entworfen.
Ein Test von Tobias Költzsch

  1. Smarte Leuchten mit Kurzschluss Netzteil-Rückruf bei Philips Hue Outdoor
  2. Signify Neue Lampen, Leuchten und Lightstrips von Philips Hue
  3. Signify Neue Philips-Hue-Produkte vorgestellt

SSD vs. HDD: Die Zeit der Festplatte im Netzwerkspeicher läuft ab
SSD vs. HDD
Die Zeit der Festplatte im Netzwerkspeicher läuft ab

SSDs in NAS-Systemen sind lautlos, energieeffizient und schneller: Golem.de untersucht, ob es eine neue Referenz für Netzwerkspeicher gibt.
Ein Praxistest von Oliver Nickel

  1. Firecuda 120 Seagate bringt 4-TByte-SSD für Spieler

    •  /