Gilt die EU-DSGVO auch für Industrie PCs?

Dipl. Ing. (FH) Mark Schetter, 06.04.2017

Gilt die EU-DSGVO auch für Industrie PCs?


Sie setzen Industrie PCs aufgrund ihrer Robustheit, ihrer Langzeitverfügbarkeit, der nachhaltigen Ersatzteilversorgung und ähnlichen Vorzügen auch in der IT Infrastruktur (Beispiel 19 Zoll Server) außerhalb der Automatisierung in der Fertigung ein? Dann bleibt Ihnen nur noch bis zum Frühjahr 2018 Zeit, die EU-Datenschutz-Grundverordnung (EU-DSGVO) umzusetzen. Wir informieren Sie, was es hierbei zu berücksichtigen gibt.

Mit der EU-DSGVO kommt der einheitliche Datenschutz für Europa

Zwischen Wertschöpfung durch Datenverarbeitung und Protektion der Privatsphäre durch Datenschutz fordert die Digitalisierung einen zunehmend sensibleren Umgang mit der Datenverarbeitung. Bisher gab es in Europa erhebliche Unterschiede im Bereich Datenschutz durch nationale Gesetzgebungen. Durch die Schaffung der EU-Datenschutz-Grundverordnung soll der Schutz personenbezogener Daten für alle EU-Bürger einheitlich gestärkt werden. Bereits im Dezember 2015 erfolgte die europäische Einigung auf eine gemeinsame Grundverordnung. Ab dem 25. Mai 2018 wird das Gesetz als direkt geltendes Recht in allen europäischen Mitgliedsstaaten in Kraft treten. 

Ziele der DSGVO

Im Fokus der Verordnung steht der Schutz der Grundrechte und Freiheiten natürlicher Personen und deren Recht auf Schutz personenbezogener Daten. Auf der anderen Seite soll der freie Verkehr personenbezogener Daten geregelt und kontrolliert werden. Dies soll durch neue Transparenz- und Informationspflichten umgesetzt werden und letztendlich das Grundrecht der informationellen Selbstbestimmung aller EU-Bürger stärken.


Diese Rechte der User werden gestärkt - eine Übersicht:

  • Informationsrecht 
  • Auskunfts- und Widerspruchsrecht 
  • Recht auf Berichtigung, Löschung und Einschränkung 
  • Recht auf Datenübertragbarkeit 

Von den Regelungen sind Unternehmen mit Sitz in der EU und solche, die mit EU-Bürgern Daten arbeiten, betroffen. Was aber genau ändert sich mit der neuen Verordnung für datenverarbeitende Unternehmen, bzw. die Hersteller von elektronischen Geräten, wie z. B. Industrie-PCs?


Änderungen für Unternehmen

Im Zuge der neuen Informationspflichten, müssen Unternehmen zukünftig sofort bei der Erhebung von personenbezogenen Daten, die Betroffenen über die Verarbeitung der Daten informieren, z. B. Zweck, Empfänger, Dauer der Speicherung, etc. 

Auch über eine mögliche Zweckänderung oder das Erstellen eines umfassenden Nutzerprofils (Profiling) müssen Betroffene in Kenntnis gesetzt werden und der Datenverarbeitung zustimmen.

Durch die DSGVO sollen Betriebe bei der Durchsetzung des Rechts auf Vergessenwerden stärker involviert werden. Wurden z. B. Daten an Dritte weitergegeben oder veröffentlicht, liegt die Verantwortlichkeit der Löschung bei einer Löschungsanfrage seitens des Betroffenen bei den Unternehmen. 
Strenger werden die Vorschriften im Falle eines Datenleaks. Hier werden Unternehmen zukünftig ihre zuständige Aufsichtsbehörde und die Betroffenen unverzüglich informieren müssen (Date Breach Notification).

Mit der Datenschutz-Grundverordnung werden auch neue Vorgaben zur Dokumentationspflicht der Datenverarbeitung eingeführt. Z. B. muss zukünftig ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten implementiert werden. Wenn der Betroffene es wünscht, müssen ihm diese Informationen von den verantwortlichen Stellen in einem gewissen zeitlichen Rahmen bereitgestellt werden.

Um den neuen Informationspflichten in Zukunft nachkommen zu können, sollen alle Unternehmen in Europa und Unternehmen die Waren oder Dienstleistungen in Europa anbieten und mit personenbezogenen Daten von EU-Bürgern arbeiten, grundsätzlich einen Datenschutzbeauftragten bzw. einen EU-Vertreter ernennen. Dieser soll insbesondere als Ansprechpartner für Aufsichtsbehörden und betroffene Personen zur Verfügung stehen.

Unternehmen sollen interne Strategien festlegen und Maßnahmen treffen, um die Verarbeitung personenbezogener Daten zu minimieren, dies soll z. B. durch datenschutzfreundliche Voreinstellungen (protection by default) in Software oder in elektronischen Geräten, wie z. B. Industrie-PCs oder Datenloggern realisiert werden. 

Die Rolle der neuen Aufsichtsbehörden

Derzeit können Unternehmen hinsichtlich datenschutzrechtlicher Fragen noch mehreren Behörden unterliegen, u.a. dann, wenn sie in mehreren europäischen Ländern agieren. Dieses Problem wird durch das "One Stop Shop"-Prinzip gelöst. Ab 2018 haben Unternehmen nur noch einen Ansprechpartner, und zwar die Aufsichtsbehörde in deren Zuständigkeitsbereich der Hauptsitz des Unternehmens liegt.

Mit der Einrichtung dieses zentralen Organs soll die einheitliche Kontrolle der datenschutzrechtlichen Belange ermöglicht werden. Die Hauptaufgaben der Aufsichtsbehörden liegen in der Überwachung und Durchsetzung der Vorschriften, der Öffentlichkeitsarbeit und der Aufklärung der Unternehmen über ihre datenschutzrechtlichen Pflichten.

Zum Aufgabengebiet der Aufsichtsbehörden wird auch die Schaffung von mehr Transparenz für die Datenverarbeitungsprozesse gehören, z.B. durch Black- und White-Listen, nach der Folgenabschätzungen durchzuführen sind oder nicht. Auch der in der Grundverordnung neu eingeführte Begriff der "Datenschutz-Folgenabschätzung" fällt in diesen Kontrollbereich.


Viele Unternehmen sind schlecht auf die DSGVO vorbereitet

Einer Studie von Dell zufolge,

  • haben 80% der befragten Unternehmen ein unzureichendes Verständnis für die Umsetzung der Datenschutz-Grundverordnung und sind über Details nur in Ansätzen, bzw. ungenau informiert.
  • 70% der Beteiligten gaben an, dass sie den gesetzlichen Anforderungen der DSGVO nicht gerecht werden bzw. nicht wissen, ob sie diesen überhaupt gerecht werden können.
  • 97 % der befragten Unternehmen besitzen kein Konzept, um die neuen Vorschriften der DSGVO zu erfüllen. Dabei sind die Konsequenzen bei Nichteinhaltung der neuen Vorschriften nicht zu unterschätzen und können gerade bei mittelständischen Unternehmen existenzbedrohend sein.

Konsequenzen bei Nichteinhaltung der neuen Vorschriften

Um die neuen Anforderungen der EU-DSGVO umzusetzen, werden strenge Kontrollmaßnahmen bei Nichteinhaltung eingeführt. Bußgelder in Höhe von bis zu 20 Millionen Euro können bei Nichteinhaltung fällig werden. Bisher drohen maximal 300.000 Euro Strafe. 
Desweiteren können strafrechtliche Sanktionen verhängt werden, wie z. B. 

  • eine Gewinnabschöpfung oder 
  • ein zeitlich begrenztes oder endgültiges Verbot der Datenverarbeitung. 

Weitere Strafmaßnahmen sollen auf nationaler Ebene geregelt und durch die Aufsichtsbehörden der jeweiligen Mitgliedsstaaten durchgeführt werden.
Abgesehen von den Sanktionen und finanziellen Strafen erhöht sich die Gefahr eines Imageschadens, da Datenpannen durch die verschärften Regelungen zur Meldepflicht bei Verletzungen des Datenschutz in Zukunft noch leichter an die Öffentlichkeit gelangen können.

Eine Roadmap zur Umsetzung der neuen DSGVO-Anforderungen

Die neue EU-DSGVO ist bereits am 25.05.2016 europaweit in Kraft getreten. Für die Unternehmen bleibt eine 2 jährige Übergangsfrist, bis die neuen Anforderungen dann am 25. Mai 2018 verbindlich gelten. Damit gerade mittelständische Unternehmen vorbereitet sind, sollte diese nicht bis zum letzten Moment mit der Umsetzung der Vorschriften warten, sondern bereits im Vorfeld Maßnahmen zur Einhaltung der Datenschutz-Verordnungen ergreifen. Die folgenden drei Punkte können als Vorgabe dienen:

1. Bestandsaufnahme über datenverarbeitende Prozesse

Unternehmen sollten ihre datenverarbeitende Geschäftsprozesse und involvierten IT-Systeme in einem Verfahrensverzeichnis analysieren und feststellen wie der aktuelle IST-Zustand zur Einhaltung aktueller und zukünftiger Regelungen ist. Eine ausführliche Dokumentation über datenverarbeitende Prozesse bei denen Daten mit Personenbezug verarbeitet werden, ist bereits jetzt Pflicht.
Bei allen Vereinbarungen sollten geprüft werden, ob sie den neuen Vorgaben entsprechen.

2. Änderungsbedarf identifizieren

Die Erfassung des aktuelle IST-Zustands dient als Vorraussetzung zur Identifizierung der SOLL-Situation. Der ermittelte Änderungsbedarf sollte entsprechend dokumentiert werden, um daraus ein Maßnahmenplan für die Umsetzung der Anforderungen abzuleiten.

3. Dieser Plan sollte abschließend bis zum Mai 2018 umgesetzt werden.

Hinweise auf weiterführende Quellen und Hilfestellungen

  1. Die Umsetzung der Datenschutzrechte gemäß der EU-DSGVO, stellt eine große Herausforderung für Unternehmen dar. Die Anforderungen sind im Cloud-Zeitalter und im Zeitalter der Industrie 4.0 nicht immer einfach zu realisieren. Hier müssen Unternehmen im eigenen Interesse für mehr Klarheit sorgen.
  2. Security Information and Event Management (SIEM) spielt eine wichtige Rolle bei der Planung von Sicherheitsstrategien. 
  3. Dieses kostenlose E-Handbook bietet zahlreiche Ratgeber für Administratoren, CIOs und kaufmännische Leiter zur Umsetzung der Richtlinien der EU-Datenschutz-Grundverordnung: http://www.searchsecurity.de/news/450412029/Kostenloses-E-Handbook-EU-Datenschutz-Grundverordnung-richtig-umsetzen
  4. Dieses eBook liefert Informationen, wie die EU-Datenschutz-Grundverordnung die IT-Sicherheit tangiert. Es werden Tools zur Umsetzung der EU-Datenschutz-Grundverordnung (EU-DSGVO) vorgestellt und Problematiken und Möglichkeiten bei der Nutzung dieser aufgezeigt. http://www.security-insider.de/datenschutz-tools-zur-umsetzung-der-eu-dsgvo-v-37828-13274/

Zusammenfassung

Die 2016 in Kraft getretene Datenschutz-Grundverordnung der EU regelt das gesamte Datenschutzrecht in der Europäischen Union neu und sorgt für einheitliche Normen für die Industrie und einen verbesserten Schutz für die EU-Bürger. Damit einher, geht eine stärkere Ausweitung der Verantwortlichkeiten für IT-Dienstleister und Datenverarbeiter. Bis Mai 2018 müssen Unternehmen die Richtlinien umsetzen, sonst drohen hohe Bußgelder, Imageschäden oder Sanktionen durch die Kontrollorgane. Aktuellen Umfragen zufolge, haben sich allerdings viele Unternehmen, noch nicht mit den neuen Regelungen vertraut gemacht, bzw. mit der Umsetzung der Richtlinien begonnen. Unternehmen bleibt zur Umsetzung der Vorgaben des DSGVO allerdings nicht mehr viel Zeit.

 

Quellen:
https://www.power-datenschutz.de/die-eu-datenschutzgrundverordnung/
https://www.datenschutzbeauftragter-info.de/dsgvo-studie-97-schlecht-vorbereitet-trotz-sanktionsrisiko