Die neue Datenschutz Grundverordnung (DSGVO) - was sich für Unternehmen ändert

​​Nach langen Verhandlungen einigten sich EU-Parlament und Ministerrat im April 2016 auf eine europäische Datenschutz Grundverordnung (EU-DSGVO). Die am 4. Mai 2016 im Amtsblatt der Europäischen Union erschienene Verordnung tritt nach einer zweijährigen Übergangsphase, in der die Mitgliedsstaaten die Regeländerungen in ihre nationalen Gesetze übernehmen sollen, am 25. Mai 2018 endgültig in Kraft. Dies wird zu einer weitgehenden Vereinheitlichung des bislang doch recht unterschiedlichen Datenschutzrechtes der einzelnen Mitgliedsstaaten führen. Obwohl einige der Paragraphen an deutsches Recht angelehnt sind, wird die neue Verordnung auch hierzulande zu Änderungen führen, von denen vor allem Unternehmen und Behörden betroffen sein werden. Im folgenden Abschnitt soll es darum gehen, was sich für Unternehmen ändert und wie sie den neuen Anforderungen gerecht werden können.


Was ändert sich?
Grundsätzlich regelt die neue Verordnung den Umgang mit personenbezogenen Daten natürlicher Personen. Unter personenbezogenen Daten werden in diesem Zusammenhang beispielweise der Name, die Adresse oder auch die E-Mail-Adresse einer Person verstanden. Darüber hinaus gelten aber z.B. auch Login-Daten, IP Adressen oder Standortdaten als personenbezogene Daten, weshalb eine IT gestützte Datenverarbeitung im unternehmerischen Umfeld in der Regel immer auch mit personenbezogenen Daten verbunden ist. Um festzustellen, ob Daten die auf einem Fileserver oder im SharePoint abgelegt sind, personenbezogene Daten enthalten, können Unternehmen beispielsweise die Klassifikations-Funktion des Microsoft Azure Information Protection Clients nutzen. Basierend auf vorkonfigurierten Regeln prüft der Scanner ob Daten personenbezogene Inhalte haben und erzeugt einen Report, der im Detail aufzeigt, welche Dateien betroffen sind.

Auftragsdatenverarbeitung
Die bisher in §11 des Bundesdatenschutzgesetzes geregelte Auftragsdatenverarbeitung, also das Verarbeiten von personenbezogenen Daten durch Dritte, wird zukünftig nach Artikel 28 der DSGVO geregelt. Gemäß Artikel 28 Abs. 1 ist der Auftraggeber (also das Unternehmen) zur sorgfältigen Auswahl des Auftragsverarbeiters verpflichtet. Unter sorgfältiger Auswahl ist beispielsweise die Prüfung, ob der Auftragsverarbeiter geeignete technische Maßnahmen implementiert hat, um einen sicheren und reibungslosen Betrieb zu garantieren, zu verstehen. Die in diesem Zusammenhang in Artikel 5 Abs. 2 DSGVO festgesetzte Rechenschaftspflicht, nach der der Auftraggeber für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich ist, wird im Falle der Microsoft Online Dienste zumindest dem Grunde nach durch die Zertifizierungen der Plattformen erfüllt. Auch das nach Artikel 30 Abs. 2 vom Auftragsverarbeiter geforderte Verzeichnis von Verarbeitungstätigkeiten listet Microsoft sowohl für Office 365 als auch für Azure im Detail auf.

Sperrung und Löschung von DatenTextbild(1)-DSGVO.jpg
In Artikel 18 der neuen DSGVO wird das Recht einer Person, die Einschränkung der Verarbeitung personenbezogener Daten zu verlangen beschrieben. Zu den Voraussetzungen für die Einschränkung der Verarbeitung zählen unter anderem das Bestreiten der Richtigkeit oder der Widerspruch der Person gegen die Verarbeitung der Daten. Ob eine der Voraussetzungen gegeben ist muss selbstverständlich juristisch geprüft werden. Sollte dem jedoch so sein, stehen sowohl in Office 365 als auch in Azure Funktionen zur Verfügung, um die dann notwendige Kennzeichnungspflicht umzusetzen. Dies kann entweder durch einen Sperrvermerk erfolgen, der einen Zugriff auf die Daten für bestimmte Zwecke unmöglich macht oder durch die separate Speicherung der Daten. In der Regel stehen die betroffenen Daten dann nur noch eingeschränkt zur Verfügung.

Neue Regeln gelten mit in Kraft treten der Verordnung auch für die Löschung personenbezogener Daten. Unter Löschung wird in diesem Zusammenhang die generelle Unkenntlichmachung oder Vernichtung von Daten verstanden. Die DSGVO unterscheidet dabei zwischen dem normalen Recht auf Löschung nach Artikel 17 Abs. 1 und dem Recht auf „Vergessenwerden“ nach Artikel 17 Abs. 2. Verlangt ein Kunde die Löschung seiner personenbezogenen Daten und ist eine, der im Zweifel juristisch zu prüfenden Voraussetzungen für die Anwendbarkeit des Artikels 17 gegeben, ist der Verantwortliche verpflichtet die Daten unverzüglich zu löschen. Um dieser Verpflichtung nachzukommen definiert Microsoft das Vorgehen bei der Löschung eines kompletten Office 365 Tenants in den Licensing Terms and Documentation wie folgt: „Nach Ablauf des Aufbewahrungszeitraums von 90 Tagen wird Microsoft das Konto des Kunden deaktivieren und die Kundendaten löschen“. Daten sind lediglich dann nicht zu löschen, wenn einer der in Artikel 17 Abs. 3 beschriebenen Fälle zutrifft. Demnach muss eine Löschung beispielsweise nicht erfolgen, wenn sie einen unverhältnismäßigen Aufwand bedeutet und nur ein geringes Interesse des Betroffenen an der Löschung vorliegt sowie wenn satzungsgemäße oder vertragliche Aufbewahrungspflichten bestehen. In bestimmten Fällen können gesetzliche Archivierungspflichten eine Löschung der Daten sogar verbieten. Wie Sie Dokumente in Office 365 und SharePoint Online mit Hilfe des KPMG zertifizierten Archivsystems unseres Partners tecmasters revisionssicher archivieren können, erfahren Sie hier.

Auskunftsrecht
Gemäß Artikel 15 der neuen DGSVO haben Personen zukünftig das Recht auf Auskunft darüber, ob von ihnen personenbezogene Daten verarbeitet werden. Ist dies der Fall, ergibt sich daraus das Recht auf Auskunft darüber, welche personenbezogenen Daten genau von ihnen verarbeitet werden, zu welchem Zweck und in welchem Umfang dies geschieht sowie über die geplante Speicherdauer. Um in einem ersten Schritt festzustellen, ob personenbezogene Daten verarbeitet werden, können Sie in Office 365 mithilfe einer Richtlinie zur Verhinderung von Datenverlust (DLP Policies) im Security und Compliance Center vertrauliche Informationen identifizieren und automatisch schützen. Ähnliches ist auch mit der bereits oben beschriebenen Klassifikations-Funktion des Microsoft Azure Information Protection Clients möglich. Werden personenbezogene Daten verarbeitet, besteht nach der neuen DGSVO grundsätzlich ein Recht auf Auskunft. Betroffene können also die Aushändigung der Daten in einem gängigen elektronischen Format verlangen. Dies kann in Office 365 ganz einfach durch den Export- oder den Download von Inhalten geschehen.

Verfahrensverzeichnis
Auch für die Erstellung des nach Artikel 30 zu führenden Verzeichnisses aller Verarbeitungstätigkeiten bieten Office 365 und Azure hilfreiche Tools. In Office 365 kann mithilfe des „Free Office 365 Reporting Tools“ eine ausführliche Auflistung aller genutzten Services erstellt werden. Das Tool stellt Microsoft kostenlos zum Download bereit. Im Azure Portal kann eine Liste der genutzten Services direkt unter dem Punkt „Dashboard -> All Resources“ eingesehen werden. Die Reports müssen in der Regel zwar weiter präzisiert werden, bieten aber eine gute Ausgangsposition um Verfahren zu dokumentieren.

Datensicherheit Textbild(2)-DSGVO.jpg
Darüber hinaus enthält die Verordnung auch einige neue Regelungen zur Datensicherheit. So sind Unternehmen gemäß der Artikel 32-34 verpflichtet angemessene technische und organisatorische Maßnahmen zu implementieren, welche die Sicherheit der Daten gewährleisten. Weiterhin verlangen sie Regelungen und Prozesse, die im Falle eines Datenschutzvorfalls Anwendung finden. Unter angemessenen technischen und organisatorischen Maßnahmen werden in diesem Kontext beispielsweise Rights Management, Verschlüsselung oder Multifaktor Authentifizierung verstanden. Typische Szenarien in diesem Zusammenhang sind beispielsweise der Verlust eines Handys mit Firmendaten oder nicht autorisierte Zugriffsversuche auf personenbezogene Daten. Microsoft bietet in diesem Bereich zahlreiche Optionen als Teil unterschiedlicher Lizenzmodelle an, die Unternehmen helfen den gesetzlichen Bestimmungen gerecht zu werden. Darunter unter anderem die Funktion „Customer Lockbox“, die regelt wie ein Supporttechniker von Microsoft auf Daten zugreifen darf.

Wie aXon Ihnen helfen kann
Mit in Kraft treten der DSGVO am 25. Mai nächsten Jahres werden der Umgang mit, und die Verarbeitung von personenbezogenen Daten natürlicher Personen stärker reglementiert. Auch in puncto Datensicherheit werden die Vorschriften strenger und Unternehmen stärker in die Verantwortung genommen. Die Umsetzung dieser neuen Anforderungen stellt für viele Betriebe sicherlich eine Herausforderung dar. Als Implementierungsdienstleister beschäftigt aXon sich in Kundenprojekten seit Jahren mit großen Teilen der Themenbereiche Datenschutz, Datensicherheit und GDPdU. Softwareseitig implementieren wir für unsere Kunden sowohl Integrierte Management Systeme (IMS) und revisionssichere Archive als auch an die Inhaltsstrukturen angepasste Rechte- und Rollenkonzepte und dergleichen mehr, um eine nachhaltige Betrachtung des Themas Compliance zu ermöglichen.

Wenn Sie noch Fragen bezüglich der Umsetzung der neuen Anforderungen in Ihrem Unternehmen haben, melden Sie sich einfach zu einem unserer Anfang 2018 startenden Workshops zum Thema DSGVO an! Im Mittelpunkt der Workshops soll insbesondere das Zusammenspiel von DSGVO und Social Intranet (sowohl OnPremise als auch in der Cloud) stehen. Darüber hinaus halten wir für Sie auch einige Dienstleistungspakete bereit, um dieses Thema konkret in Ihrem Unternehmen anzupacken.

Melden Sie sich bei uns – wir helfen Ihnen gerne!