Distri-Award
– Jetzt zur Umfrage!

Suchen

Datenschutz Digitale Werte im Unternehmen besser schützen

| Autor / Redakteur: Martin Gasper / Dr. Gesine Herzberger

Privacy Shield, Bundesdatenschutzgesetz und EU-Datenschutzgrundverordnung: Wie kann die produzierende Industrie Risiken in punkto Datenschutz minimieren? Dieser Beitrag klärt Sie auf.

Firma zum Thema

(Bild: gemeinfrei / CC0 )

Produktionsumgebungen und Office-Strukturen sind immer stärker vernetzt, Automatisierungsvorgänge sind datengetrieben: Professionelles, auflagen- und gesetzeskonformes Datenschutzmanagement in Industrie-Unternehmen wird künftig deutlich komplexer. Die intelligente Fabrik von morgen bietet detaillierte Möglichkeiten, Produktivität und Qualität der Produktion zu steigern. Allerdings: Nachverfolgen lässt sich nicht nur der gesamte Lebenszyklus eines Produkts, transparent werden auch das Verhalten von Produktionsmitarbeiter und Endverbraucher. Unternehmen, die sich nicht an das geltende Datenschutzrecht halten, nehmen potenziell erhebliche finanzielle Risiken in Kauf.

In einer juristisch prekären Situation waren die vergangenen Monate darüber hinaus Unternehmen, die einen transnationalen Datenaustausch pflegen. Das kann allein dann der Fall sein, wenn sie die Dienste eines US-Cloud-Providers in Anspruch nehmen.

Seit dem 12. Juli 2016 haben sie wieder Rechtssicherheit, denn seitdem ist die „Privacy Shield“-Vereinbarung offiziell in Kraft. Damit betrachtet die EU-Kommission die Vorgaben dieser Vereinbarung zum Schutz der personenbezogenen Daten von EU-Bürgern in den USA als angemessen.

Die neue Übereinkunft war notwendig geworden, weil der Europäische Gerichtshof die Vorgängerregelung „Safe Harbor“ im vergangenen Jahr gekippt hatte. Bis zu einer möglichen Klage sind Unternehmen geschützt, etwa im Zusammenhang mit dem in Deutschland gültigen Bundesdatenschutzgesetz, das bei Verstößen Strafzahlungen von bis zu 300.000 Euro vorsieht.

Der Privacy Shield ist kompatibel mit dem Bundesdatenschutzgesetz

Allerdings: Die Überprüfung des „Privacy Shield“ durch den Europäischen Gerichtshof steht noch an. Reicht ein Bürger Klage ein und gewinnt vor dem Europäischen Gerichtshof, droht das Abkommen erneut zu kippen.

Die Kritikpunkte: Nutzer und Verbraucher können der kommerziellen Nutzung ihrer Daten durch US-amerikanische Unternehmen grundsätzlich nicht widersprechen. Auch ist nach Ansicht von Kritikern nicht ausreichend klar gefasst, welche Grenzen für Unternehmen gelten, die Daten nicht erheben, sondern ausschließlich verarbeiten. Ebenfalls nicht hinreichend geregelt sehen Kritiker den staatlichen Zugriff auf in den USA gespeicherte personenbezogene Daten, die US-Geheimdienste nach wie vor massenhaft erheben dürfen. Darüber hinaus ist offen, wie die im US-Außenministerium angesiedelte Ombudsperson, die bei Streitfragen vermitteln und bei der Durchsetzung der Rechte europäischer Bürger helfen soll, ihre Unabhängigkeit und Neutralität wahrt.

Zur Einordnung: Der „Privacy Shield“ ist kompatibel mit dem Bundesdatenschutzgesetz, löst es aber nicht ab – im Gegensatz zur EU-Datenschutzgrundverordnung, die das BDSG in 2018 ersetzt. Der Privacy Shield ist per Beschluss als angemessen zur der noch gültigen EU-Datenschutzrichtlinie Directive 95/46/EC definiert (die dann durch die neue DGSVO abgelöst werden wird). Das BDSG ist wiederum von der EU-Datenschutzrichtlinie abgeleitet.

EU-Standardvertragsklauseln: Bestimmungen müssen unverändert übernommen werden

Orientierung im Dickicht der Verordnungen bietet TÜV Rheinland unabhängig vom Herkunftsland Kunden innerhalb und außerhalb Europas an. Das Team um Martin Gasper, Experte für Informationssicherheit und IT-Risikoanalysen bei TÜV Rheinland, berät Firmen, die beim Thema Datenschutz auf Nummer Sicher gehen wollen. Es unterstützt Unternehmen unter anderem in Konzeption und Implementierung eines Datenschutz-Management-Systems.

Der wichtigste Rat der Experten in Bezug auf den „Privacy Shield“ ist: Unternehmen sollten sich unabhängig machen von Vereinbarungen und sich schnellstmöglich selbst um eine juristisch verbindliche datenschutzrechtliche Absicherung ihrer Geschäfte kümmern. Eine Option sind die EU-Standardvertragsklauseln (EU standard contractual clauses). Bereits 2001 von der Europäischen Kommission herausgegeben und seitdem regelmäßig aktualisiert und angepasst, regeln die Klauseln sowohl die Auftragsdatenverarbeitung als auch die Datenübermittlung personenbezogener Daten in Drittstaaten außerhalb der EU.

EU-Standardvertragsklauseln geben den Verträgen eine einheitliche Struktur, einheitliche Inhalte und schreiben einheitliche Prinzipien des Datenschutzes für den Umgang mit Ländern vor, die die EU in Bezug auf den Schutz personenbezogener Daten als nicht „sicher“ einstuft, also unter anderem USA und Japan.

Einige US-Unternehmen haben ihren Kunden direkt nach dem Ende von Safe Harbor bereits entsprechende Verträge angeboten. Das Wichtigste ist: Diese Bestimmungen selbst darf das Unternehmen nicht anpassen, sondern muss sie unverändert als Ergänzung zum Dienstleistungsvertrag übernehmen. Für TÜV Rheinland sind diese EU-Standardvertragsklauseln schon lange eine relevante Anforderung, wenn es darum geht, die Umsetzung des Datenschutzes in Unternehmen zu prüfen. Im Rahmen des „Certified Cloud Service“, der Zertifizierung von Cloud Service Providern sowie bei der Zertifizierung „Geprüfter Datenschutz und Datensicherheit“, checken die Experten etwa, ob diese Klauseln tatsächlich so übernommen wurden und das Unternehmen den Geist der Vorgaben in der Realität auch lebt, zum Beispiel durch die Umsetzung technischer wie organisatorischer Sicherheitsmaßnahmen.

Nutzen Sie die Zeit bis Mai 2018

Die nächste Verschärfung des Datenschutzes wirft auf EU-Ebene bereits ihre Schatten voraus. In der Europäischen Union regelt die im Mai 2016 in Kraft gesetzte EU-Datenschutzgrundverordnung den Umgang mit personenbezogenen Daten. Mit dieser Verordnung soll das Datenschutzrecht innerhalb Europas weiter vereinheitlicht und verbessert werden. Im Mittelpunkt stehen die planmäßige Datenverarbeitung und Pflichten im Falle möglicher Datenschutzverletzungen sowie verschärfte Meldepflichten gegenüber Betroffenen und Aufsichtsbehörden sowie empfindliche Strafzahlungen bei Verstößen.

Gültig wird diese Regelung im Mai 2018. TÜV Rheinland rät Unternehmen, diese Zeit zu nutzen, um vorbereitet zu sein auf den Stichtag. Wie umfangreich der Aufwand dabei ist, hängt nicht zuletzt vom aktuell implementierten Datenschutzniveau im Unternehmen ab.

Grundsätzlich ist jeder Geschäftsführer in der Pflicht, zu wissen, welche rechtlichen, technischen und organisatorischen Anforderungen an den Datenschutz bzw. an die Datensicherheit im Unternehmen unbedingt zu beachten sind.

Ein Beispiel: Sind in einem Unternehmen mehr als neun Mitarbeiter mit der automatisierten Bearbeitung personenbezogener Daten beschäftigt, so ist gemäß Bundesdatenschutzgesetz ein Datenschutzbeauftragter zu bestellen. Dieser muss außer der erforderlichen Zuverlässigkeit auch die entsprechende Fachkunde besitzen, die er beispielsweise in externen Weiterbildungen erwerben kann. Reichen die internen Kapazitäten nicht aus, kann es sinnvoll sein, einen externen Datenschutzbeauftragten zu beauftragen.

Der externe Datenschutzbeauftragte...

  • analysiert und bewertet die Datensicherheit in Unternehmen.
  • prüft in einem Datenschutz-Checkup den aktuellen Stand des Datenschutzes in der Organisation.
  • hält die notwendigen Maßnahmen nach Dringlichkeit in einer Liste fest.
  • sorgt dafür, dass die offenen Punkte nacheinander abgearbeitet werden, damit das Unternehmen in punkto Datenschutz ein angemessenes Niveau erreicht.
  • überwacht kontinuierlich den erreichten Status des Datenschutzes und strebt danach, ihn zu verbessern.

Ergänzendes zum Thema
Über den Autor:

Martin Gasper ist Experte für Datenschutz und Datensicherheit bei TÜV Rheinland. TÜV Rheinland ist der größte unabhängige Dienstleister, der die Cyber Security-Kompetenz mit einer umfassenden Expertise in Industrie verbindet und die technische Sicherheit von Mensch und Umwelt international seit mehr als 140 Jahren als Kerngeschäft betreibt.

* Mehr zum Thema Datenschutzmanagement erfahren Sie hier.

Dieser Beitrag stammt von der IT-BUSINESS-Schwesterpublikation Marconomy.

(ID:44254059)