Selbst umfassende Datenschutzkonzepte reichen nicht EU-DSGVO-Einhaltung führt zu Compliance

Im Zuge der Datenschutzgrundverordnung (DSGVO) müssen Unternehmen nun noch mehr auf eine hochsichere Konfiguration ihrer gesamten IT achten. Auch Anbieter von IT-Strukturen sind gefordert, einen großen Teil des Datenschutzes durch modernste am Markt verfügbare Technik aktiv zu unterstützen. Ein Managed Services Provider hilft dabei durch Angebote für Datenschutz und Datensicherheit, Managed Security und Compliance-Beratung.

Personenbezogene Daten

Ende Mai 2018 wird die Datenschutzgrundverordnung (DSGVO) der Europäischen Union in allen Mitgliedsstaaten in Kraft treten. Damit sollen die Unternehmen in der EU Klarheit beim Umgang mit personenbezogenen Daten erhalten. Tatsächlich bringt die Verordnung viele Vorteile für Unternehmen – aber auch zahlreiche Herausforderungen. Daher sollten sie die Compliance spätestens jetzt in Angriff nehmen. Bis Mai scheint zwar noch viel Zeit, doch angesichts der Weihnachtsferien und anderer zu erledigender Projekte ist sie schnell vorbei.

Bei jeder Datenschutzverordnung stellt die Definition des Ausdrucks „personenbezogene Daten“ einen zentralen Punkt dar. Laut DSGVO, Artikel 4 – Begriffsbestimmungen, fallen darunter „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen.“ Der Begriff „identifizierbar“ bedeutet, dass nicht nur klar erkennbar personenbezogene Daten unter diese Regelung fallen. Schließlich lässt sich eine Person anhand vieler Informationen identifizieren, etwa über eine IP-Adresse, eine Kennnummer, Standortdaten oder besondere Merkmale. Werden alleine solche Daten gespeichert, kommt die DSGVO zur Anwendung.

Diese schreibt unter anderem vor, dass die Art und Menge der gespeicherten personenbezogenen Daten dem Zweck angemessen sein müssen. Demnach dürfen nur solche Daten gespeichert werden, die für eine Verarbeitung relevant sind. Sobald diese Daten für den ursprünglichen Verarbeitungszweck nicht mehr erforderlich sind, müssen sie daher gelöscht werden. In diesem Zusammenhang ist vor allem das im Vorfeld stark diskutierte „Recht auf Vergessen“ zu beachten. Damit kann eine betroffene Person ihre personenbezogenen Daten vom zuständigen Verantwortlichen löschen lassen. Dazu reicht mindestens einer der folgenden Gründe:

•    die Daten werden nicht mehr für den ursprünglichen Zweck benötigt,
•    die Person widerruft ihre Einwilligung zur Datenspeicherung oder
•    die Person legt Widerspruch gegen die Verarbeitung der Daten ein.

Die Pflicht zum Löschen dieser Daten umfasst auch sämtliche Kopien, Backups und Links auf Daten und Kopien. Zudem schließt sie andere Datenspeicher wie Papierakten, Mikrofilme und Fotos ein – sowie Systeme und Infrastrukturen von Partnern, selbst wenn diese außerhalb der EU sitzen.

Dokumentationspflicht

Ebenfalls eine deutliche Verschärfung im Vergleich zur bisherigen Rechtslage gibt es im Bereich der Dokumentation. Unternehmen müssen die Verarbeitung und Verwendung der personenbezogenen Daten dokumentieren. Zudem sind sie dazu verpflichtet, jederzeit die Einhaltung der Datenschutzgrundsätze nachzuweisen. Das erfordert beispielsweise regelmäßige Kontrollen der Einhaltung des Datenschutzes und die Dokumentierung der Ergebnisse. Hinzu kommt eine Meldepflicht bei Datenschutzverletzungen innerhalb von 72 Stunden bei der zuständigen Behörde. Dabei sind alle betroffenen Personen zu informieren, wenn ein solcher Vorfall deren persönliche Rechte gefährdet.

Die Einhaltung der neuen Regeln wird dadurch verkompliziert, dass die DSGVO Raum für nationale Anpassungen lässt. Daher wird sie nicht in allen EU-Ländern einheitlich sein. So verabschiedete der Deutsche Bundestag am 27. April 2017 das ergänzende „Datenschutz-Anpassungs- und Umsetzungsgesetz“, kurz EU DSAnpUG-EU. Zusätzlich wird nach Inkrafttreten der Verordnung die Rechtsprechung in Mitgliedsländern sowie EU-weit zu weiteren Anpassungen führen.

Um die neuen Vorschriften im Geschäftsalltag umsetzen und einhalten zu können, sind neben organisatorischen auch technische Maßnahmen durchzuführen. Das gilt vor allem für das Speichern personenbezogener Daten in Cloud-Strukturen. So müssen auch Cloud-Anbieter die Themen Datenschutz und Informationssicherheit noch stärker in den Fokus rücken, um sich auf die DSGVO vorzubereiten.

Unterstützung für Compliance

Ein unabhängiger Berater und Managed Services Anbieter kann als Partner bei anstehenden DSGVO-Projekten helfen, zum Beispiel mit verschiedenen Produkten und Services, die Unternehmen bei der Erfüllung der Compliance-Anforderungen unterstützen. Dazu gehören Dienste wie Datenschutz und Datensicherheit. Diese helfen Unternehmen bei der Identifizierung und dem Schutz sensibler Daten.

Ein Managed Services Provider sollte die notwendige Erfahrung und Expertise beim Schutz und der Absicherung von Umgebungen sowie zu verschiedenen regionalen und branchenspezifischen Compliance- und regulatorischen Anforderungen besitzen. Dies gilt aus technologischer Sicht für eine Reihe von Plattformen wie Public, Hybrid und Private Clouds sowie für Multi-Cloud-Umgebungen innerhalb eines Unternehmens.

Rackspace bietet zum Beispiel ein umfassendes Paket an Sicherheits- und Datenschutzlösungen an. Dazu gehören ein Rund-um-die-Uhr-Betrieb von Sicherheitsprozessen sowie die Unterstützung von Angriffserkennung und Abwehrdiensten. Zudem ermöglicht Rackspace Managed Security die Erkennung und Abwehr von Gefahren. In Bezug auf die EU-DSGVO kann das Unternehmen aufgrund seiner Erfahrung bei der Absicherung von Umgebungen und dem Schutz großer Datenmengen Kunden auch zu Prozessen und organisatorischen Aspekten für die Compliance beraten. Dies erfolgt durch eigene Experten in den Compliance-Teams.

Alex Fürst

ist Vice President bei Rackspace für den Bereich DACH.

Hier geht es zu Rackspace