Aktueller Channel Fokus:

IT-Security

Aktuelle Entwicklungen zur DSGVO im Januar

Cyber-Vorfall unterstreicht Bedeutung der DSGVO

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Auch acht Monate nach Ende der Übergangsfrist wird die DSGVO immer noch missverstanden.
Auch acht Monate nach Ende der Übergangsfrist wird die DSGVO immer noch missverstanden. (© vectorfusionart - stock.adobe.com)

Die Veröffentlichung hunderter gestohlener Datensätze von Prominenten und Politikern, die Anfang Januar 2019 bekannt wurde, zeigt, wie wichtig die Datenschutz-Grundverordnung (DSGVO) ist. Die richtige Reaktion auf Datenpannen und der Schutz vor Hacking und Phishing setzen einen zuverlässigen und koordinierten Datenschutz voraus. Genau darum geht es in der DSGVO.

Viele Unternehmen klagen weiterhin über die hohe Belastung durch die Umsetzung der DSGVO. Die Aufsichtsbehörden beklagen hingegen Missverständnisse und Fehleinschätzungen, die genau zu diesem Gefühl einer Überlastung bei den Unternehmen führen können. Es gibt einen ganzen Strauß an Beispielen, die die Missverständnisse zur DSGVO illustrieren.

Der Sächsische Datenschutzbeauftragte zum Beispiel nannte diese Fälle, in denen die DSGVO zu Unrecht als Verursacher von hohen Aufwänden oder gar als Verhinderer eingestuft wurde: die Sammlung von Brötchenbestellzetteln beim Bäcker oder das Ausmessen der Wohnung eines Kunden beispielsweise durch einen Maler oder einen Fußbodenleger. Bei diesen Beispielen erscheint die DSGVO übertreiben, in Wirklichkeit aber kommt die DSGVO gar nicht zur Anwendung, fordert nichts Neues im Vergleich zum alten Bundesdatenschutzgesetz oder wird schlichtweg falsch verstanden.

Die Bundesdatenschutzbeauftragte nennt weitere Beispiele und klärt die Lage: „Ob es sich um die weitere Nutzung von Klingelschildern, das Fotografieren in Kindergärten oder die Auszahlung von Weihnachtsgratifikationen für Sozialhilfeempfänger handelt; keines dieser Beispiele wird durch die DSGVO in irgendeiner Art und Weise verhindert oder unmöglich gemacht.“

DSGVO soll vor Datenmissbrauch schützen

Die Bundesbeauftragte machte einen Vergleich, der die Bedeutung des Datenschutzes klarstellen soll:„Digitalisierung ohne Datenschutz ist wie die Entwicklung eines Medikamentes ohne Prüfung auf Nebenwirkung“. Sicherlich werde es im Rahmen der Evaluierung der DSGVO geboten sein, das ein oder andere bürokratische Erfordernis auf den Prüfstand zu stellen, so die scheidende Bundesdatenschutzbeauftragte. Doch die Bedeutung des Datenschutzes sieht sie unveränderbar so: „Datenmissbrauch gefährdet unser demokratisches Grundverständnis, das den Mensch als zu schützendes Individuum in den Mittelpunkt stellt. Datenschutz hemmt nicht, sondern ist Orientierung und Navigationsleiste unseres digitalen Alltags. Er ist der Stützpfeiler einer humanen und den Menschen dienenden digitalen Welt.“

Was mangelhafter Datenschutz bedeuten kann, wurde einmal mehr sichtbar, als Anfang Januar 2019 die Veröffentlichung hunderter gestohlener Datensätze von Prominenten und Politikern einer größeren Öffentlichkeit bekannt geworden ist. Die Aufregung ist groß, natürlich zu Recht, trotzdem handelt es sich „nur“ um ein prominentes Beispiel von vielen, bei dem deutlich wird, dass es um den Datenschutz weiterhin nicht gut bestellt ist. Die DSGVO will genau das ändern, das Ziel ist der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Es geht nicht um Einschränkung oder Verbot des freien Verkehrs personenbezogener Daten in der Union, wie die DSGVO explizit klarstellt, aber es geht um den Schutz vor Datenmissbrauch und Datenausspähung.

Was die Aufsichtsbehörden bei Datenpannen tun können

Der aktuelle Fall der Veröffentlichung gestohlener Datensätze von Prominenten und Politikern zeigt sehr deutlich, dass Datenschutz nur im Rahmen einer übergreifenden, geregelten Zusammenarbeit gelingen kann, in Zusammenarbeit der Aufsichtsbehörden untereinander und mit den Unternehmen. Die Aufsichtsbehörden alleine können den Datenschutz nicht erreichen, jedes Unternehmen ist gefragt und deshalb auch nach DSGVO mit zahlreichen Pflichten (aber auch Rechten) versehen.

So schreibt der Hamburgische Datenschutzbeauftragte: „Obwohl wir aktuell alle uns zur Verfügung stehenden Maßnahmen ausgeschöpft haben, können wir nicht verhindern, dass diese Daten weiter öffentlich im Netz stehen.“ Genau deshalb sind die Meldepflichten nach DSGVO und die Regelung von Zuständigkeiten und Zusammenarbeit in der DSGVO so wichtig.

Der Hamburgischen Beauftragte für Datenschutz und Informationsfreiheit sagt dazu: „Der Fall zeigt zudem, dass der Kommunikationsfluss verbessert werden muss. Das gilt gegenüber Plattformen wie Twitter, aber auch in der Behördenkooperation. Wenn bei den Bundesbehörden bereits gestern der Vorfall bekannt war, wäre es angebracht gewesen, die Datenschutzbehörden einzubeziehen und hiervon zeitig in Kenntnis zu setzen.“

Zudem betont er die Möglichkeiten des Datenschutzes: „Gerade wenn es darum geht, dafür zu sorgen, dass Accounts auf Plattformen gesperrt werden, um den Zugriff auf die personenbezogenen Daten zu erschweren, haben die Aufsichtsbehörden im Bereich des Datenschutzes die Instrumente, um dies – zumindest bei bekannten Plattformen wie Twitter – durchzusetzen. Der Schutz der Rechte Betroffener darf nicht davon abhängig sein, dass Datenschutzbehörden die massive Verletzung von Rechten und Freiheiten Betroffener aus den Medien erfahren.“

Was Unternehmen weiterhin angehen müssen

Welche Maßnahmen im Bereich der IT-Sicherheit ergriffen werden müssen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) anlässlich des Cyber-Vorfalls nochmals zusammengefasst. Diese Maßnahmen ergeben sich auch aus der Anwendung der DSGVO (Artikel 32 Sicherheit der Verarbeitung) auf den Bereich von Online-Zugängen.

Zusätzlich aber gilt es, an die Betroffenen des Cyber-Vorfalls zu denken, ihre Rechte zu wahren. Die DSGVO führt aus gutem Grund eine Reihe von Betroffenenrechten auf, darunter Informationsrecht, Recht auf Berichtigung und Vervollständigung, Recht auf Löschung und „Recht auf Vergessenwerden“, Auskunftsrecht, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit und Widerspruchsrecht.

Ebenso müssen Unternehmen nach DSGVO die Zuständigkeiten für Informationen bei Datenverlust festlegen (Artikel 33, 34 DSGVO), wenn noch nicht geschehen. Die DSGVO will keine Brötchentüten erschweren, sondern Datenmissbrauch wo immer möglich verhindern und für richtige Reaktionen bei Datenpannen sorgen. Den Bedarf für entsprechende Maßnahmen hat der aktuelle Cyber-Vorfall nochmals mehr als deutlich gemacht.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45717108 / Recht)