FAQ

Alles zur geplanten EU-Datenschutzreform

14.04.2014 von Simon Hülsbömer
Sollte die EU-Kommission die geplante reformierte Datenschutzrichtlinie verabschieden, würden für Unternehmen verschärfte Spielregeln gelten. Hier kommen die wichtigsten Fragen und Antworten.

Bereits seit Anfang 2012 liegt die "EU-Datenschutz-Grundverordnung" (kurz EU-DS-GVO) in der "endgültigen" Entwurfsfassung vor, wurde vor einem halben Jahr vom Europäischen Parlament angenommen und wartet seitdem auf ihre Verabschiedung durch die Europäische Union in Brüssel.

Wegen unterschiedlicher Auffassungen innerhalb des EU-Rates ist derzeit aber davon auszugehen, dass die Reform frühestens Mitte 2015 vom EU-Rat verabschiedet und dann erst 2017 (nach der zweijährigen Umsetzungsfrist) in allen Mitgliedsstaaten in Kraft tritt. Das sagte zumindest der Bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, kürzlich im Gespräch mit der COMPUTERWOCHE.

In unseren FAQ beantworten wir schon heute die wichtigsten Fragen zum Inhalt der Richtlinie und den angestrebten Veränderungen gegenüber den bislang geltenden Datenschutzgesetzen.

Wird die neue EU-Richtlinie überhaupt noch kommen?

Andrew Rose, Forrester Research
Foto: Forrester Research

Forrester-Analyst Andrew Rose veröffentlichte vor wenigen Wochen gemeinsam mit seinem Kollegen Chris Sherman das Whitepaper "EU Privacy Regulations", das wir in diesen FAQ in Auszügen aufgreifen werden. Im Gespräch mit der COMPUTERWOCHE bezeichnet Rose die lange Verzögerung der Ratifizierung der Richtlinie zwar als "enttäuschend", bezweifelt jedoch, dass sie gar nicht kommt: "Sollte jemals in Erwägung gezogen worden sein, den Entwurf nicht umzusetzen, ist dieser Plan spätestens seit den Enthüllungen rund um die NSA passé."

Warum wäre eine Datenschutzreform wichtig?

Facebook-Gründer Mark Zuckerberg erklärte bereits 2010: "Privacy is dead." Er brachte auf den Punkt, was viele (US-)Unternehmen und teils auch "Digital Natives" im Zeitalter der Digitalisierung bereits lange denken mögen, die ein ganz anderes Verständnis von "Teilen" und "Privatsphäre" haben als frühere Generationen.

"Privacy is dead." - Dieser Ausspruch von Mark Zuckerberg aus dem Jahr 2010 entspricht nicht ganz den Tatsachen.
Foto: Jürgen Fälchle, Fotolia.de

Dennoch ist das Thema Datenschutz auch weiterhin wichtig. Rose vertritt eine klare Meinung: "Die Privatsphäre an sich ist nicht teilbar. Es gibt zwar persönliche Daten, die gerne mit anderen geteilt werden und es gibt welche, für die das nicht gilt. Aber leider zieht jeder Mensch diese Grenze woanders. Dazu kommt: In Zeiten von Big Data Analytics ist die Privatsphäre an sich in Gefahr, weil selbst eine Anonymisierung von Daten kaum noch vollständig möglich ist. Wir müssen uns auf die Anbieter von Datenkorrelations-Diensten verlassen können, dass ihre Lösungen einen angemessenen Datenschutz ermöglichen. Das wird aber nur geschehen, wenn es für sie entweder ausreichende Anreize dafür oder spürbare "Nichtanreize" dagegen gibt - in Form von Regulierungen und Bußgeldern. Letzteres sieht die neue EU-Richtlinie vor."

Was sind die wichtigsten Eckpunkte der Reform?

Im Vergleich zur bisher geltenden Datenschutzrichtlinie aus dem Jahr 1995 sind vor allem zehn Punkte entscheidend, an denen es zu wichtigen Veränderungen kommen soll. Wir haben sie in der folgenden Bilderstrecke zusammengefasst:

EU-Datenschutzreform 2014: Die zehn wichtigsten Änderungen -
Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Was bedeutet die Reform für die Unternehmen konkret?

Rose meint: "Angesichts der geplanten Geldbußen bei Verstößen gegen die Richtlinie werden Unternehmen die Position eines Chief Privacy Officer etablieren und mit entsprechenden Rechten ausstatten. Dieser bekommt im Management dann auch Gehör und die finanziellen Mittel, um ein ausreichendes Datenschutzniveau aufzubauen und zu kontrollieren. Das Daten-Management wird zu einer zwingenden Aufgabe - dazu gehören unter anderem auch die Bereiche Datenklassifizierung, Lebenszyklen von Daten und Zugangssicherheit. Unternehmen werden ihre gesammelten Daten gezielter auf ihre Business-Tauglichkeit hin untersuchen."

Was sagen die Unternehmen selbst?

Der IT-Branchenverband BITKOM teilte bereits 2012 in einer offiziellen Stellungnahme mit, dass man die Reformpläne grundsätzlich unterstütze, weil es die internationale Abstimmung mit den Datenschutzbehörden erheblich vereinfache. Der Verband weist aber auch darauf hin, dass die neuen Vorgaben darüber, wie mit Daten in Unternehmen umgegangen werden solle, teils gar nicht oder nur mit hohem Aufwand umsetzbar seien. Auch sei der Ansatz des "Verbotsprinzips mit Erlaubnisvorbehalt" (es ist alles das verboten, was nicht ausdrücklich erlaubt wird) noch einmal zu überdenken. Legitime Datenverarbeitungsprozesse würden unnötig behindert.

Der BITKOM schlägt den umgekehrten Weg einer "Datenverkehrsordnung" vor, die Datenverarbeitung grundsätzlich erlaubt und durch Leitplanken eingrenzt. "Der Bitkom würde sich wünschen, dass sich der Verordnungsentwurf mehr auf die Ziele eines modernen und effektiven Datenschutzes in der Informationsgesellschaft fokussiert und weniger Vorgaben im Detail macht", heißt es dazu.

Welche Daten sind überhaupt betroffen?

Es geht ausschließlich um personenbezogene Daten - solche Daten, die die Privatsphäre ihres "Besitzers" (im deutschen Datenschutzrecht auch "Betroffener" genannt) unmittelbar betreffen und ihn (zumindest in der Kombination) eindeutig identifizierbar machen. Klassische personenbezogene Daten sind Angaben wie Name, Adresse oder Geburtstag, die erst in der Kombination miteinander wirklich einen Wert erhalten und einzeln beispielsweise zu statistischen Zwecken anonymisiert durchaus verarbeitet werden dürfen.

Weitere Beispiele sind die besonders schutzbedürftigen Informationen über ethnische Herkunft einer Person, politische, religiöse, gewerkschaftliche, sexuelle Gesinnung oder auch gesundheitsbezogene Daten, deren Erhebung und Verarbeitung zumindest hierzulande laut Bundesdatenschutzgesetz §3 Abs. 9 noch einmal stärker reglementiert wird als die der "einfachen" personenbezogenen Daten. Diese Daten dürfen nur mit dem expliziten Einverständnis ihrer Besitzer und nur aus guten und nachvollziehbaren Gründen heraus überhaupt erhoben und verarbeitet werden.

Hat "Safe Harbor" noch eine Zukunft?

Mit dem "Safe Harbor"-Programm der EU sollen US-Unternehmen die Möglichkeit bekommen, im Rahmen der europäischen Datenschutzgesetze Geschäfte machen zu können. "Safe Harbor"-zertifizierten Firmen wurde nachgewiesen, dass sie personenbezogene Daten von EU-Bürgern gesetzeskonform erheben und verarbeiten. Safe Harbor fußt auf den sieben grundlegenden Prinzipien der europäischen Datenschutzrichtlinie von 1995:

  1. Information des Betroffenen

  2. Möglichkeit zum "Opt-out"

  3. Einschränkungen der Datenweitergabe

  4. Datensicherheit gewährleisten

  5. Datenintegrität wahren

  6. Zugriffsmöglichkeit für den Anwender auf seine hinterlegten Daten

  7. Aktive Durchsetzung des Datenschutzes seitens des Unternehmens

Eine Zertifizierung ist über ein Self-Assessment oder einen Drittprüfer möglich und muss alle zwölf Monate erneuert werden. Durch die NSA-Affäre hat Safe Harbor als aussagekräftiges Zeugnis darüber, dass man einem US-Unternehmen ruhigen Gewissens vertrauen könne, jedoch erheblich gelitten - zumal eine Zertifizierung keinesfalls zwingend ist, um in Europa Geschäfte machen zu dürfen. Daher zweifelt so manch einer an der Zukunft des Programms.

Die EU-Kommission hat 13 Empfehlungen ausgesprochen, die Angemessenheit und Aussagekraft von Safe Harbor-Zertifikaten zu verbessern. Beispielsweise solle die US-Handelskommission FTC alle Safe-Harbor-Unternehmen zu unabhängigen Compliance-Audits bitten. "Damit Safe Harbor zukunftstauglich ist, muss es die USA aktiv unterstützen. Im Sommer 2014 werden wir sehen, wie stark das Interesse seitens der US-Regierung wirklich ist - entweder Safe Harbor wird gestärkt oder abgeschafft", machte EU-Kommissarin Viviane Reding bereits klar, dass die Zukunft des Programms keinesfalls sicher ist.

Checkliste Cloud-SLAs -
Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen:
Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung.
Punkt 2:
Version in der Landessprache des Kunden.
Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn.
Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden").
Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!).
Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen).
Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte).
Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail).
Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?).
Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden).
Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden).
Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier.
Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren.
Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).

Sollte Safe Harbor nicht weitergeführt werden, muss für jeden Datentransfer zwischen Europa und den USA ein entsprechender Compliance-Vertrag ausverhandelt werden. Dieser umfasst Kontrollprüfungen, Audits und drohende Strafen bei Nichtbeachtung. Wird das europäische Datenschutzrecht wie geplant reformiert, drohen verstoßenden US-Anbietern dann Strafzahlungen in schwindelerregender Höhe.

Forrester-Analyst Rose ist überzeugt, dass es gar nicht erst soweit kommen wird: "Ich glaube, dass Safe Harbor überleben wird. Einfach deshalb, weil die amerikanischen Behörden alles dafür tun werden, die entsprechenden EU-Forderungen umzusetzen. Unabhängige Audits und zusätzliche Compliance-Zertifikate werden Safe Harbors Fortbestand sichern."

Was versteht man unter "Binding Corporate Rules"?

Die "Binding Corporate Rules" (BCR) werden häufig als wichtige Ergänzung zum Safe Harbor-Programm gesehen und sind ebenfalls per Zertifikat zu belegen. Sie beziehen sich auf die Datenverarbeitung innerhalb eines global agierenden Unternehmens. Es werden dadurch auch solche Unternehmenseinheiten erreicht, die weder innerhalb der EU noch in den USA sitzen. Jedes multinationale Unternehmen kann eigene BCRs erstellen, was desto aufwändiger und kostspieliger ist, je mehr Staaten abgedeckt werden müssen.

Transferiert also beispielweise Microsoft Großbritannien personenbezogene Daten in ein Rechenzentrum in Mexiko, würden dort weder die allgemeinen EU-Richtlinien noch die speziellen britischen Datenschutzgesetze noch die Safe-Harbor-Regeln gelten. Weil sich die BCRs aber auf den gesamten Microsoft-Konzern beziehen, verpflichtet sich das Unternehmen dennoch, die festgelegten Spielregeln auch in Mexiko zu beherzigen. EU-Unternehmen, die personenbezogene Daten über Ländergrenzen hinweg auslagern, sollten in jedem Fall eigene BCRs aufstellen und sich auch ausschließlich mit solchen Partnern zusammentun, die ebenfalls welche haben.

Welche Vorgaben macht die EU bezüglich Drittstaaten?

Laut Artikel 25 der EU-Datenschutzrichtlinie dürfen EU-Mitgliedsstaaten personenbezogene Daten in Nicht-EU-Staaten transferieren, wenn das dortige Datenschutzniveau den EU-Standards ähnlich erscheint und als ausreichend angesehen wird. Das ist häufig einzelfallabhängig - muss aber laut Richtlinie in jedem Fall nach einigen festen Kriterien objektiv beurteilt werden können: die Art der Daten, der Zweck und die Dauer ihrer Verarbeitung, das Ursprungs- und Zielland sowie die Gesetze, Marktregeln und IT-Sicherheitsniveau des Ziellandes. Besteht der Verdacht, dass das gewünschte Datenschutzniveau nicht erreicht wird, ist die EU-Kommission seitens des EU-Mitglieds davon zu unterrichten respektive umgekehrt.

Welche Nicht-EU-Staaten sind "EU-compliant"?

Neben ihren Mitgliedsstaaten hat die Europäische Union zwölf Drittländer identifiziert, die einen den EU-Standards angepassten und damit ausreichenden Datenschutz gewährleisten. Unternehmen, die Daten in diese Staaten respektive Gebiete der britischen Krone übertragen, sollen sich demnach in Compliance-Sicherheit wiegen können: Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Isle of Man, Israel, Jersey, Neuseeland, Schweiz, Uruguay und USA.

Wie sieht der "Datenschutz" der USA konkret aus?

Auch wenn es nach allgemeiner öffentlicher Auffassung so aussieht, als seien sämtliche Daten in den USA Freiwild, müssen sich doch zumindest datenverarbeitende Unternehmen auch in den Staaten an branchenspezifische Regeln halten. Der europäische Datenschutz begreift sich als individualrechtliche Angelegenheit, als das Recht jedes einzelnen Menschen auf Privatsphäre - egal ob innerhalb oder außerhalb der Ökonomie. Das nordamerikanische "Datenschutzrecht" hingegen ist treffender als Sammlung von Compliance-Richtlinien zu bezeichnen und fokussiert sich vollständig auf bestimmte unternehmerische Pflichten im marktwirtschaftlichen Umgang mit Daten. Daten, die keinem ökonomischen Zweck dienen, sind demnach tatsächlich "Freiwild". Wichtig für den amerikanischen Datenschutz sind Industriestandard wie der PCI DSS (für die Kreditkartenindustrie) oder der HIPAA (für die Gesundheitsbranche). Mehr zu diesen und weiteren US-Standards lesen Sie im Beitrag "Die Compliance-Spielregeln der USA".

Müssen europäische Unternehmen im Wettbewerb mit den USA "leiden"?

Forrester-Analyst Rose meint: Nein! "Da alle EU-Staaten die gleichen strengen Datenschutzgesetze hätten, könnte es für Unternehmen von Vorteil sein, ihre Services nur innerhalb der EU zu kaufen und zu verkaufen. US-Unternehmen beginnen ja bereits, EU-Rechenzentren zu bauen, um Dienste anbieten zu können, die EU-compliant sind und weiter wettbewerbsfähig mit der europäischen Konkurrenz zu bleiben", gibt er sich zuversichtlich, dass EU-Unternehmen künftig vielleicht sogar einen kleinen Vorteil gegenüber der amerikanischen Konkurrenz besitzen.

Was mache ich als deutsches Unternehmen, wenn mir Daten entwendet wurden?

Liegt der Verdacht einer Straftat vor, also beispielsweise eines gezielten Hacker- oder Insiderangriffs auf das Unternehmen, bei dem Daten kopiert wurden, genügt die Information der Datenschutzstelle nicht. Betroffene sollten zusätzlich polizeilich Anzeige erstatten und die Staatsanwaltschaft einschalten. Datenschutzverstöße sind Antragsdelikte - die Strafverfolgungsbehörden können diesen deshalb erst nach einer Anzeige wirksam nachgehen.

Wohin können sich deutsche Unternehmen bei Fragen wenden?

An die zuständige Landesdatenschutzstelle ihres Bundeslandes, auf folgender interaktiver Karte mit Kontaktdaten dargestellt: