Mit der DSGVO und der eIDAS-Verordnung wird eine EU-Rechtsharmonisierung vollzogen, die das Vertrauen der Nutzer stärken soll, in Zukunft mehr digitale Dienste in Anspruch zu nehmen und sich auch selbst als Teil des digitalen Zeitalters zu identifizieren.
Die Datenschutz-Grundverordnung – abgekürzt DSGVO oder englisch GDPR – wurde unter der Kennung (EU) 2016/679 veröffentlicht und muss bis 28.05.2018 umgesetzt werden. Sie hat zum Ziel, personenbezogene Daten der EU-Bürger besser zu schützen, indem sie die unterschiedlichen Datenschutzgesetze der EU-Mitgliedsstaaten harmonisiert. Sie definiert, wie manuelle oder automatische Verarbeitung von personenbezogenen Daten im beruflichen und wirtschaftlichen Kontext zu erfolgen hat.
Die bereits veraltete Datenschutzrichtlinie 95/46/EG wird durch die DSGVO abgelöst. Die größten Unterschiede sind drei neue regulatorische Prinzipien
- Räumlicher Anwendungsbereich: Die Anwendbarkeit der Datenschutzrichtlinie richtet sich nach der Absicht Waren und Dienstleitungen in der EU anzubieten. Dies wird auch „Marktortprinzip“ genannt, womit zusätzlich auch Drittstaaten der EU in die Pflicht genommen werden.
- Dokumentationspflichten: Unter Dokumentationspflichten fällt eine Summe an Maßnahmen, die die Datenverarbeitung besser dokumentieren. Ein paar Beispiele hierfür sind: Klare Einwilligungserklärungen zur Datenverarbeitung, Pseudonymisierung in der Datenverarbeitung, Datenverarbeitungsregister in Unternehmen sowie ein Maßnahmen plan bei Datenschutzverletzungen etc.
- Organisationspflichten in Unternehmen: Für die rechtskonforme Umsetzung der DSGVO-Maßnahmen sind externes Know-how, interne Mitarbeiterschulungen und Audits vorzusehen. Es kann zudem ein Datenschutzbeauftragter (z.B. bei Videoüberwachung) bestellt werden, der den Datenschutz DSGVO-konform wahrnimmt.
Die DSGVO aus Nutzersicht
Die Auswirkungen der DSGVO lassen sich am besten anhand eines Beispiels erklären. Im ersten Schritt der Anmeldung zu einem digitalen Onlinedienst muss zukünftig der Verwalter der Webseitendaten den Nutzer um klare Einwilligung bitten, diese Daten zu verarbeiten. Diese Klarheit umfasst besonders das sogenannte Profiling – dabei geht es unter dem Stichwort Big Data darum Entscheidungen oder Prognosen zu treffen, die auf personenbezogenen Daten basieren. Nach erfolgter Anmeldung stehen dem Nutzer künftig ebenfalls mehr Rechte zu, wie beispielsweise ein Auskunftsrecht zur Datenverarbeitung oder ein Berichtigungsrecht, falls inkorrekte Daten gespeichert wurden. Außerdem kommt das „Recht des Vergessenwerdens“ nach Beendigung der Nutzung des Dienstes hinzu. Neu ist auch das Recht der Datenübertragung mit Hilfe eines interoperablen strukturierten Datenformats. Im Fall einer Datenschutzverletzung steht dem Nutzer das Recht der Beschwerde bei der Aufsichtsbehörde zu.
DSGVO aus Unternehmens- und Organisationssicht
Da zusätzliche Informationspflichten und organisatorische Maßnahmen einige Vorbereitungsaktivitäten sowie Know-how benötigen, helfen spezialisierte Berater wie ti&m die DSGVO korrekt umzusetzen.
Zwei wichtige Grundprinzipien sind dabei zu beachten:
- Data Protection by Design: Dazu gehören technische Maßnahmen, wie die Minimierung der Verarbeitung personenbezogener Daten, die Schaffung von Transparenz bei der der Datenweitergabe sowie -verarbeitung, die Erstellung von technischen Sicherheitsfunktionen etc.
- Data Protection by Default: Der Nutzer eines digitalen Dienstes bekommt Datenschutz-Standardeinstellungen, die DSGVO-konform sind.
Die Geldbußen bei Nichteinhalten dieser Regelungen von bis zu 4 Prozent des Jahresumsatzes bzw. bis zu 20 Millionen Euro, wirken abschreckend und ermutigen nicht leichtfertig mit dem Thema Datenschutz umzugehen.
Drittstaaten der EU, wie die Schweiz, können in den sachlichen und räumlichen Anwendungsbereich fallen. Die Schweiz arbeitet bereits parallel zur EU-Ebene an der Revision des Schweizer Datenschutzgesetzes, die eine starke Angleichung an die DSGVO zeigt.
Elektronische Identität unter der eIDAS-Verordnung
Ein weiteres wichtiges Instrument zur Definition und zum Umgang mit der digitalen Identität ist die im EU-Binnenmarkt bereits herrschende Verordnung über elektronische Identifizierung und elektronische Transaktionen im Binnenmarkt (eIDAS, (EU) 910/2014). Die eIDAS-Verordnung bringt ein stärkeres Maß an Rechtsharmonisierung im EU-Raum als die alte EU-Richtlinie. Rechtsharmonisierung bedeutet, dass die grenzüberschreitende Datenübertragung im Binnenmarkt und die Nutzung von Diensten, beispielsweise im E-Government-Bereich, erleichtert werden sollte.
Hauptmotivation für die Schaffung der eIDAS ist die Stärkung des Vertrauens in elektronische Transaktionen. Es wird eine gemeinsame Grundlage für eine sichere elektronische Interaktion zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen geschaffen. Anwendbar ist die eIDAS-Verordnung für elektronische Identifikationssysteme und für Vertrauensdienstanbieter in der EU.
Wenn ein elektronisches Identifikationssystem elektronische Identifizierungsmittel ausstellt, muss die europäische Kommission über den Vorgang der Notifizierung informiert werden. Dies ermöglicht die gegenseitige Anerkennung dieser Systeme. Aktuell sind bereits erste EU-Staaten, wie Deutschland, Spanien, Italien, Frankreich und Dänemark in der eID-Vorbereitung. Deutschlands eID-System gilt als Vorreiter – es speichert den Personalausweis und Aufenthaltstitel auf einen mit PIN-Code geschützten Chip auf der Ausweiskarte.
Im Allgemeinen muss die Notifizierung gemäß eIDAS-Verordnung aller EU-Staaten bis 29. September 2018 abgeschlossen sein. Damit ist ein wichtiger Schritt im Binnenmarkt getan, um grenzüberschreitende Informationen, wie beispielsweise Geburtsurkunde oder Wohnsitzbestätigung auszutauschen.
Außerhalb der EU wird in der Schweiz stark an einer rechtlichen Grundlage zur Einführung der E-ID als staatlich anerkannten Identitätsnachweis gearbeitet. Neben der staatlichen Roadmap hat sich die sogenannte SwissID als Konsortium gebildet. Dieses setzt ein positives Signal, zur Nutzung der elektronischen Identifikation in einem wirtschaftsnahen Kontext.
Zusammenwirken von DSGVO und eIDAS
Die EU zeigt mit den beiden Verordnungen DSGVO und eIDAS, dass das Thema Vertrauen in digitale Dienste ein wichtiger rechtlicher Schwerpunkt ist. Die Wahrung des Dateneigentums und die übergreifende Regelung der digitalen Identität sind dabei Kernthemen im digitalen Zeitalter. Spannend wird, wie Unternehmen im EU-Binnenmarkt wie auch außerhalb mit dem Mehraufwand in Bezug auf Datenschutz umgehen werden. In Bezug auf die elektronische Identität ist ein umfassender Ansatz der Schritt in die richtige Richtung, erst dadurch ist diese nicht mehr auf einen bestimmten Staat beschränkt und über Grenzen hinweg nutzbar.
Rainer Knupfer ist Co-Autor des Beitrags. Er ist Lead Engineer bei ti&m, hat einen Abschluss in Informatik und IT-Informationssicherheit. Sein besonderes Interesse gilt verschiedenen Aspekten der technischen Sicherheit, die bei der Software-Integration und -Entwicklung in verschiedenen Bereichen zum Tragen kommen, wie beispielsweise Digital Payment, Security Authentication Design, Regulatory Compliance und Omni-Channel-Anwendungen.
Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.