Die neue EU-Datenschutz-Grundverordnung

Michael Steig

„Datenschutz ist zurzeit in aller Munde, nicht nur wegen der EU-Datenschutz-Grundverordnung, die im Mai 2018 rechtswirksam in Kraft tritt. Die zunehmende Digitalisierung in Unternehmen und nahezu allen privaten Lebensbereichen zwingt jeden dazu, über den Schutz und die Sicherheit sensibler Daten neu nachzudenken“.¹

Nach jahrelanger Arbeit haben das Europäische Parlament, der Europäische Rat und die Europäische Kommission beraten und der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) zugestimmt. Seit dem 26. Mai 2016 ist diese Verordnung in Kraft, sie ersetzt die seit 1995 geltende EU-Datenschutzrichtlinie. Am 25. Mai 2018 läuft die zweijährige Übergangsfrist aus. Die EU-DSVO ist damit ab Mai 2018 geltendes Gesetz (https://dsgvo-gesetz.de) . Diese Übergangsfrist sollte es allen Unternehmen, Institutionen und Verwaltungen ermöglichen, die Anforderungen der neuen Verordnung korrekt und wirksam umzusetzen.

Die EU-DSGVO umfasst elf Kapitel mit insgesamt 99 Artikeln und 290 Seiten.

Mit der neuen EU-DSGVO wurde der Datenschutz in Europa vereinheitlicht. Jede einzelne natürliche Person soll mehr Kontrolle über ihre persönlichen Daten erhalten, die in diversen IT-Systemen gespeichert worden sind oder werden.

Was kommt auf uns zu?

Es gelten strengere Regeln im Umgang mit personenbezogenen Daten

Was aber kommt nun wirklich auf Unternehmen, Einrichtungen, Verwaltungen und Privatpersonen zu? Wichtig dabei ist, dass für Organisationen viel strengere Regeln im Umgang mit personenbezogenen Daten gelten. Die Organisationen tragen in Zukunft die volle Verantwortung für die bei ihnen genutzten Daten, wobei die Daten insbesondere von natürlichen Personen besonders geschützt werden müssen. Neben dem Aspekt zum Schutz vor Diebstahl spielen die Aspekte der Datenmanipulation und -zerstörung eine weitere, wichtige Rolle.

Umkehr der Beweislast

Und noch etwas: Nach der neuen Rechtslage kehrt sich die Beweislast um, d.h. dass die Organisationen die Pflicht haben, ihre IT-Systeme sicher zu machen. Die oberste Leitung einer Organisation ist nun rechenschaftspflichtig. Es wird eine lückenlose und vollständige Dokumentation der datenschutzrechtlichen Umsetzung erforderlich, deren Fehlen sich erheblich auf die Höhe möglicher Bußgelder auswirken kann. Bußgelder können danach zwischen zwei und vier Prozent eines Jahresumsatzes einer Organisation liegen.

Kontinuierliche Beschäftigung mit der Frage, wie Cyberangriffe oder Datenpannen verhindert werden können

Für Organisationen ist es nun wichtig festzustellen, wie Cyberangriffe oder auch Datenpannen in Zukunft verhindert werden können. Weil häufig in den Organisationen die Zeit und das Budget fehlen, sich mit datenschutzrelevanten Fragen auseinanderzusetzen, muss ein Paradigmenwechsel stattfinden.

Datensicherheit muss als kontinuierliche dauerhafte Anstrengung verstanden werden. Denn ein heute bestehender Schutz kann mit neuen Technologien schon bald überholt sein.

Schwachstelle Mensch

„Nicht vergessen werden sollte auch die „Schwachstelle Mensch“. Denn die beste IT-Sicherheitsinfrastruktur und die besten Datenschutzgesetze nützen nichts, wenn Menschen mit eigenen oder den Daten anderer leichtfertig umgehen. Auch hier entstehen für Unternehmen, Kunden und Geschäftspartner durch sogenanntes ‚Social Engineering' Risiken für sensible Informationen und personenbezogene Daten. Benötigt werden noch nicht einmal Hacker-Fachkenntnisse. Helfen können hier schon Aufklärung und regelmäßige Schulungen der Mitarbeiter durch Fachpersonal sowie gelebter Datenschutz im Unternehmen auf allen Ebenen.“²

Vorgehensmodell zur Situationsanalyse und Umsetzung

Das Implementierungsprojekt sollte nach den Regeln des PDCA-Zyklus‘ (Plan-Do-Check-Act) realisiert werden.

Plan

Im Rahmen der Planung wird zunächst ein realistischer Zeitplan mit Meilensteinen erarbeitet und der Aufwand für die Vorbereitungen ermittelt. Nachfolgend wird der Rahmen des Vorhabens abgegrenzt und erforderliche Teilaufgaben bestimmt. Basierend darauf können die dafür notwendigen Ressourcen ermittelt und deren Beschaffung angestoßen werden.

Do

Anschließend erfolgt unter anderem die Analyse der neuen Anforderungen der EU-DSGVO und der Entwicklung einer geeigneten Vorgehensweise zur Implementierung in der Organisation. Ziel ist es, eine geeignete Methodik zur Implementierung der Anforderungen zu erarbeiten. Außerdem sollte ein Soll-Ist-Vergleich durchgeführt werden, um Lücken aufzudecken.

Check

Zusammen mit der Geschäftsleitung und dem Verantwortlichen für IT werden im Anschluss die erarbeiteten Ergebnisse auf ihre Wirksamkeit in der Praxis an einem Referenzprozess überprüft. Dies stellt dann die Grundlage für die anschließende organisationsweite Umsetzung dar. Damit ist eine geeignete Vorgehensweise für die Einführung der neuen Anforderungen bestimmt.

Act

Aufgrund der Erkenntnisse aus den vorangegangenen Prozessen kann es erforderlich sein, eine Überarbeitung und Optimierung des gesamten organisationsinternen Prozessmanagements durchzuführen, um so die Anforderungen der EU-DSGVO anhand der zuvor erarbeiteten Methodik organisationsweit in Form eines integrierten Qualitäts- und IT-Sicherheitsmanagements schrittweise zu implementieren.

Digitale Geschäftsbriefe von Unternehmen

… und noch ein Gesetz, das im Zusammenhang mit der Datensicherung ab 01. Januar 2018 relevant wird: Digitale Geschäftsbriefe von Unternehmen müssen seit dem 01. Januar 2017 entsprechend der gesetzlichen Aufbewahrungsfristen langzeitlich archiviert werden. Am 01. Januar 2018 läuft die Übergangsfrist aus, d.h. alle Unternehmen müssen bis dahin ihre Archivierung umgestellt haben. Alle dokumentierten Informationen – und das sind auch Emails mit geschäftlichem Charakter - die als Geschäftsbriefe gelten oder steuerlich relevant sind, fallen unter die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ – kurz: GoBD. Dazu gehören unter anderem auch Angebote, Rechnungen oder Handelsbriefe, die per E-Mail versendet oder empfangen wurden.

Mehr dazu finden Sie z.B. hier:

• http://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/Datenzugriff_GDPdU/2014-11-14-GoBD.html  
• Eine bemerkenswerte Dokumentation zum Thema „Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern …“: www.psp.eu/media/allgemein/GoBD-Leitfaden_Die-GoBD-in-der-Praxis.pdf

Der Autor: Michael Steig

geboren 1949, studierte 1970 bis 1976 an der Technischen Universität Berlin Bau- und Verkehrstechnik. 1996 bis 2002 studierte er berufsbegleitend an der Universität Koblenz-Landau in Landau Betriebs- und Führungspädagogik.

Von 2002 bis 2008 war er Leiter der Fachkommission Qualität und bis März 2017 Vizepräsident Qualität im Dachverband der Weiterbildungsorganisationen e.V.

Er ist in seiner Eigenschaft als geschäftsführender Gesellschafter der GfB – Gesellschaft für Bildungsformate Initiator der Aus- und Weiterbildungsperspektiven EQML (Europäischer Qualitätsmanagement-Führerschein) und IPCL (Internationaler Projektmanagement-Führerschein).

Michael Steig ist heute als Projekt-, Qualitäts- und IT-Management-Berater sowie als Prozessberater, Trainer, Lead-Auditor ISO 9001 (Qualitätsmanagement-Systeme) und ISO 27001 (IT-Sicherheitsmanagement-Systeme) tätig.

STG
Dipl.-Ing., Dipl.-Päd. Michael Steig
Zum Alten Feld 27
D-63679 Schotten
Tel. 0172 6164217
info@stg-ingenieurbuero.de 
www.stg-ingenieurbuero.de 

¹ QZ – Qualität und Zuverlässigkeit, Jahrgang 62 (2017) 10
² QZ – Qualität und Zuverlässigkeit, Jahrgang 62 (2017) 10