bluedesign - Fotolia

EU-Datenschutz: Betroffenenrechte nach EU-DSGVO rechtzeitig umsetzen

Damit Nutzer ihr Recht auf Zugang, Löschen und Migration der eigenen Daten erhalten können, müssen IT-Systeme frühzeitig darauf vorbereitet werden.

Dieser Artikel behandelt

Datenschutz

„Dies ist ein guter Tag für die europäischen Verbraucher und die europäischen Unternehmen. Nach vier Jahren Verhandlungen ist die EU-Datenschutzverordnung endlich in greifbare Nähe gerückt“, so Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (vzbv), anlässlich des Abschlusses der sogenannten Trilog-Verhandlungen zur europäischen Datenschutz-Reform. Sobald das Plenum des Europäischen Parlaments die europäische Datenschutz-Grundverordnung endgültig beschlossen hat, kann diese im Jahr 2018 in Kraft treten.

Auch wenn 2018 nach viel Zeit für die Umsetzung der EU-Datenschutz-Grundverordnung (EU-DSGVO) klingt, sind die von den Verbraucherschützern positiv bewerteten, neuen Datenschutzrechte der Verbraucher eine große Aufgabe für Unternehmen, die es zu bewältigen gilt. Es empfiehlt sich, sich bereits jetzt mit den neuen Rechten der von der Datenverarbeitung Betroffenen zu befassen, um den Umstellungsbedarf zu ermitteln. Dieser dürfte nicht gering ausfallen, wenn man die neuen Vorgaben der EU-DSGVO in allen IT-Systemen umsetzen will, die personenbezogene Daten verarbeiten. Ein Beginn der Umstellung in 2018 wäre viel zu spät, es besteht jetzt Handlungsbedarf.

Den Betroffenen Zugang zu ihren Daten verschaffen

Das bestehende Datenschutzrecht in Deutschland fordert bereits die Information der Betroffenen über die Verarbeitung ihrer Daten. Diese Auskunftsrechte sollen in Zukunft noch besser umgesetzt werden. Die Informationen für die Betroffenen müssen verständlicher und klarer werden, so eine Intention der EU-Datenschutzreform.

Verständliche und umfassende Informationen über die Datenverarbeitung setzen allerdings voraus, dass das Unternehmen, das die Daten verarbeitet, zuerst selbst ein genaues Bild über die Art und Weise der Verarbeitung und eine vollständige Sicht auf den Kreis der Betroffenen hat. Damit die Unternehmen besser informieren können, müssen sie sich selbst besser informieren. Es wird also Zeit, die Verfahren der Datenverarbeitung genau zu dokumentieren, mit dem Kreis der Betroffenen, den betroffenen Datenkategorien, der Art der Datenverarbeitung und dem Zweck der Verarbeitung. Andernfalls kann das Betroffenenrecht nicht erfüllt werden, nicht heute und schon gar nicht in besserer Form in der Zukunft.

Daten der Betroffenen migrieren können

Die EU-Datenschutz-Grundverordnung sieht ein neues Recht auf Datenübertragbarkeit vor. Personenbezogene Daten müssen auf Wunsch des Betroffenen von einem Anbieter auf einen anderen übertragen werden können. Mit diesem Recht soll die Wahlfreiheit und Unabhängigkeit des Nutzers sowie der Wettbewerb auf dem Markt gestärkt werden.

Für Unternehmen bedeutet dies nicht nur, dass sich Kunden weniger leicht „auf Systemebene“ binden lassen, dies war und ist sowieso kein gutes Geschäftsgebaren. Die technische Möglichkeit einer Datenmigration ist sehr anspruchsvoll, das neue Recht auf Datenübertragbarkeit wird sich in vielen Systemen kaum ohne große Anstrengungen umsetzen lassen. Man denke nur an die notwendigen Schnittstellen und einheitlichen Datenformate, an Übertragungswege und die notwendige Sicherheit bei der Migration der Daten. Hier müssen also umfangreiche Planungen vorgenommen werden.

Daten der Betroffenen sicher löschen können

Trotz Kritik und der vielfachen Hinweise auf die technischen Probleme hat es das Recht auf Vergessenwerden in die EU-Datenschutz-Grundverordnung geschafft. Wenn die Betroffenen nicht wollen, dass ihre Daten weiter verarbeitet werden, und es keine legitimen Gründe für die Speicherung mehr gibt, müssen die Informationen gelöscht werden. Dies ist bereits im bestehenden Datenschutzrecht in Deutschland der Fall.

Das neue Recht auf Datenübertragbarkeit wird sich in vielen Systemen kaum ohne große Anstrengungen umsetzen lassen.

Unternehmen müssen nun nochmals prüfen, ob sie über entsprechende Löschverfahren verfügen, um zumindest alle Daten löschen zu können, die sich innerhalb der eigenen Kontrollbereiche befinden. Das Problem, dass sich Daten aus dem Internet kaum jemals vollständig löschen lassen, bleibt bestehen.

Betroffene über erfolgte Angriffe informieren

Schon heute sieht das Bundesdatenschutzgesetz vor, dass unter bestimmten Voraussetzungen neben den Aufsichtsbehörden auch die Betroffenen selbst über eine unrechtmäßige Kenntniserlangung von Daten informiert werden. Die EU-DSGVO verlangt, dass die Betroffenen ohne Verzögerung über sie betreffende, schwere Datenschutzverstöße informiert werden, in verständlicher Sprache, mit einer Beschreibung, was genau passiert ist, was als Gegenmaßnahme getan wurde und wie nun reagiert werden soll, um Schlimmeres zu verhindern.

Die Datenschutz-Grundverordnung legt dabei Wert auf für die Betroffenen verständliche Informationen. Dies erfordert aber, dass Unternehmen sich besser darauf vorbereiten, bei Datenpannen mehr als technische Fehlermeldungen zu kommunizieren. Dazu müssen Unternehmen zuerst selbst ein tiefes Verständnis der Konsequenzen und genauen Vorgänge bei Datenpannen haben, ein Verständnis, das nicht immer in der notwendigen Tiefe vorhanden sein wird. Somit sind auch hier vorbereitende Maßnahmen innerhalb der Unternehmen zu treffen, die in Zukunft personenbezogene Daten im Rahmen der EU-DSGVO verarbeiten wollen.

Alleine die Umsetzung der Betroffenenrechte zeigt die Arbeit, die in technische und organisatorische Maßnahmen gesteckt werden muss, damit die Betroffenen wirklich so von der Datenschutzreform profitieren können, wie es die Verbraucher- und Datenschützer erwarten und bei Nichterfüllung ahnden werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Januar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close