EFS Consulting
12.12.2024

DSGVO einfach erklärt: Data Privacy, Cybersicherheit und Pflichten für Unternehmen

Die Datenschutz-Grundverordnung, kurz DSGVO, ist der rechtliche Rahmen für den Schutz von personenbezogenen Daten in der Europäischen Union. In diesem Artikel werden die wesentlichen Aspekte der DSGVO sowie deren Zusammenhang mit der Cybersicherheit in Kürze erläutert und gezeigt, welche Pflichten und Herausforderungen Unternehmen und Organisationen dahingehend haben.

DSGVO: einfach erklärt 

Die seit dem 25. Mai 2018 angewendete Datenschutz-Grundverordnung hat zu einer grundlegenden Veränderung im Umgang mit personenbezogenen Daten für Unternehmen und Verbraucher:innen geführt. Die DSGVO bringt hier nicht nur hohe Bußgelder bei Verstößen mit sich, sondern eröffnet auch neue Chancen für den datenschutzfreundlichen und verantwortungsvollen Umgang mit Daten. 

In einer zunehmend datengetriebenen Wirtschaft steht die DSGVO sinnbildlich für den Balanceakt zwischen Innovation und Privatsphäre und hat die Grundlage für weitere Regularien gebildet, welche sich heute zu großen Teilen in der europäischen Datenstrategie wiederfinden und Wegbereiter für technologische Innovationen wie Künstliche Intelligenz sind. 

Hintergrund und Entstehung 

Die DSGVO ist die zeitgemäße Neuauflage der ursprünglich 1995 veröffentlichten EU-Datenschutzrichtlinie, die aus den Anfangszeiten des Internets stammt und die inhaltlich mit der rasanten technischen, wie wirtschaftlichen Entwicklung nicht mehr Schritt halten konnte. Die Neuauflage der EU-Datenschutzanforderungen resultiert aus den hohen Ansprüchen der EU, global agierende Unternehmen zu regulieren und gleichzeitig die Rechte der Verbraucher:innen zu stärken. Die Überarbeitung des europäischen Datenschutzgesetzes begann im Jahr 2011 durch erstmalige Äußerung des europäischen Datenschutzbeauftragten zu den Überarbeitungsansätzen der EU-Kommission. Das In-Kraft-Treten der Verordnung am 24. Mai 2016 und deren Anwendung ab dem 25. Mai 2018 waren für die EU wichtige Meilensteine auf dem Weg in die digitale Zukunft. 

 

Grundlegende Prinzipien und Anwendungsbereich der DSGVO 

Die DSGVO setzt sich aus zentralen Prinzipien im Bereich der Verarbeitung personenbezogener Daten zusammen, darunter die Rechtmäßigkeit der Verarbeitung, der Verarbeitung nach Treu und Glauben, der Datenminimierung sowie der Transparenz während der Datenverarbeitung. Die EU unterstreicht hier einmal mehr ihren Ansatz, Verbraucher-freundlich zu regulieren. Daten dürfen dementsprechend nur für einen spezifischen Zweck erhoben und verarbeitet werden. Betroffenen muss dabei vollständige Transparenz gewährt werden, was bedeutet, dass sie über jegliche Datenverarbeitungen durch den Verarbeitenden informiert werden müssen. 

Der Anwendungsbereich der DSGVO erstreckt sich über alle Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürger:innen verarbeiten. Dies umfasst nicht nur in der EU ansässige Institutionen, sondern auch Anbieter von Dienstleistungen und Produkten innerhalb der EU. Die EU hat den Mitgliedsstaaten die Option offengelassen, die DSGVO im Rahmen von nationalen Gesetzen weiter auszuführen. In Österreich ist hieraus das Datenschutzgesetz (DSG) und in Deutschland das Bundesdatenschutzgesetz (BDSG) entstanden. 

 

Rechte von Personen im Rahmen der DSGVO 

Den Betroffenen einer Datenverarbeitung werden umfangreiche Rechte gewährt, mit denen diese die „Kontrolle“ über die verarbeiteten Daten behalten und Transparenz geschaffen wird. Grundsätzlich steht es jedem Betroffenen zu, Auskunft zu verarbeiteten Daten (Art. 15 DSGVO) zu erhalten, inwiefern diese gespeichert und genutzt werden. Betroffene haben daneben ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO) und können sich personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format aushändigen lassen, um beispielsweise einen Anbieterwechsel zu vollziehen, bei dem sie vom ursprünglichen Verarbeitenden nicht behindert werden dürfen. Damit einhergehend können Betroffene das Recht auf Berichtigung und Löschung ausüben und falsche Daten korrigieren (Art. 16 DSGVO) oder Daten vollständig löschen lassen. Letzteres spiegelt sich insbesondere im Recht auf Vergessenwerden (Art. 17 DSGVO) wider. Abschließend können Betroffene der Verarbeitung personenbezogener Daten grundsätzlich im Rahmen ihres Widerspruchsrechts (Art. 21 DSGVO) widersprechen oder aber ihr Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) beanspruchen, welches die Datennutzung einschränkt. 

 

Warum ist die DSGVO wichtig? 

Die DSGVO schafft die rechtlichen Rahmenbedingungen für den Schutz der Privatsphäre und den verantwortungsvollen Umgang mit Daten. Innerhalb einer zunehmend Daten-getriebenen Welt spielt die DSGVO also eine entscheidende Rolle. 

Schutz personenbezogener Daten 

Daten sind nichts anderes als eine Ressource, welche nachhaltig und nach festen Regeln genutzt werden soll. Der Missbrauch von Daten ist ein ernsthafter Einschnitt in die Privatsphäre und Sicherheit Betroffener. Die DSGVO gewährleistet also eine möglichst effiziente Nutzung der Ressource „personenbezogene Daten“ durch Unternehmen bei gleichzeitiger Wahrung der Rechte Betroffener. 

Unternehmen müssen technisch-organisatorische Maßnahmen implementieren, um beispielsweise risiko-basiert Daten vor unberechtigten Änderungen, missbräuchlicher Nutzung und dem Verlust zu schützen. Unter missbräuchliche Nutzung fällt auch die Verarbeitung und Speicherung von Daten nach Ablauf der Aufbewahrungsfrist. 

Verbindlichkeiten und Pflichten für Unternehmen 

Im Rahmen der DSGVO werden Unternehmen umfangreiche Pflichten auferlegt. Unternehmen müssen in der Lage sein, gegenüber den Betroffenen Rechenschaft über die Umsetzung dieser Pflichten abzulegen, also auskunftsfähig zur Umsetzung der Anforderungen sein. Die Umsetzung muss in einem Verzeichnis der Verarbeitungen dokumentiert werden. Bei risikobehafteten Verarbeitungen, unter anderem bei Daten besonderer Kategorien gem. Art. 9 DSGVO, muss eine Datenschutz-Folgenabschätzung (DSFA) erstellt werden, welche die Betroffenenrechte im Kontext der Verarbeitungsprozesse und Technologien bewertet und Risiken wie eine mögliche Missachtung eines Betroffenenrechts evaluiert.

Verbindlichkeiten und Pflichten entstehen daneben auch auf personeller Ebene. Unternehmen sind gem. Art. 37 DSGVO dazu verpflichtet einen Datenschutzbeauftragten zu ernennen und der zuständigen Aufsichts- oder Datenschutzbehörde zu melden, wenn bspw. die Kerntätigkeit die Verarbeitung von Daten besonderer Kategorien umfasst. Über den Datenschutzbeauftragten sind auch Datenschutzvorfälle an Behörden zu melden, wenn ein Risiko für die Rechte und Freiheiten Betroffener einer Datenverarbeitung besteht.

Auch bei der Datenverarbeitung selbst werden Unternehmen in die Pflicht genommen. So gilt es bspw. in Unternehmensgruppen sicherzustellen, dass der Datenverkehr mit Tochterunternehmen DSGVO-konform und transparent gestaltet ist. Die Auslagerung von Datenverarbeitungen an Externe lässt hier einen Auftragsverarbeitungsvertrag erforderlich werden, der Verantwortlichkeiten, Rechte und Pflichten des Verarbeitenden und des Auftraggebers sowie die technisch-organisatorischen Maßnahmen beinhalten sollte. Dies gewährleistet die Achtung der Betroffenenrechte auch bei der Auslagerung von Datenverarbeitungen. 

Konsequenzen bei Verstößen gegen die DSGVO 

Betroffene einer Datenverarbeitung, die glauben in ihren Rechten verletzt worden zu sein, können sich bei den Aufsichtsbehörden beschweren. Wird der betroffenen Person Recht gegeben, kann dies zum einen zu Schadensersatzansprüchen führen, zum anderen aber auch zu Bußgeldern seitens der Behörden. Diese Bußgelder können bis zu 20 Millionen Euro oder 4% des gesamten weltweiten Jahresumsatzes betragen. 

Zusätzlich können Verstöße gegen die DSGVO Reputationsschäden verursachen, die in erster Instanz einen Image-Schaden zurücklassen und in zweiter Instanz möglicherweise daraus folgende Umsatzeinbußen bedeuten. 

Darüber hinaus können die Datenschutzbehörden der EU-Mitgliedsstaaten gem. Art. 84 DSGVO weiterführende Sanktionen gegen Unternehmen erlassen, angefangen bei besonderen Auflagen hinsichtlich Datenverarbeitungen bis hin zu Standortschließungen bei schwerwiegenden Verstößen. Allgemein gilt hier der Grundsatz der Verhältnismäßigkeit und die Wahl des mildesten Mittels. 

Die Rolle der Cybersicherheit in der DSGVO 

Wo gibt es Parallelen zu Anforderungen aus anderen Bereichen der Informations- und Cybersicherheit, die Unternehmen helfen könnten, die DSGVO-Anforderungen in der Praxis umzusetzen? Obwohl sich die DSGVO ausschließlich auf personenbezogene Daten bezieht, gibt es tatsächlich viele Synergien zum Information Security Management System (ISMS). Von der International Organization for Standardization (ISO) gibt es außerdem mehrere datenschutzrechtliche Erweiterungen des ISMS: 

  • Die ISO/IEC 27701 erweitert das Managementsystem 
  • Die ISO/IEC 27018 definiert Datenschutzmaßnahmen für eine Verarbeitung in Clouds wie Amazon Web Services (AWS), Google Cloud und Microsoft Azure 
  • Die ISO/IEC 29134 beschreibt ein Standard-Verfahren für Datenschutz-Folgeabschätzungen 
  • Die ISO/IEC 29151 erweitert die Maßnahmen der ISO/IEC 27002 um spezifische Datenschutzmaßnahmen 

Datenschutz und Datensicherheit 

Ein Beispiel für das Zusammenspiel von ISMS und Datenschutz ist die starke Überschneidung der technischen und organisatorischen Maßnahmen (TOMs), um die Datensicherheit zu gewährleisten. Art. 32 DSGVO schreibt vor, dass Unternehmen und Organisationen geeignete TOMs ergreifen müssen, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Als beispielhafte TOMs nennt die DSGVO zwar einerseits spezifische Maßnahmen wie zum Beispiel die Pseudonymisierung von personenbezogenen Daten, andererseits aber auch die Sicherstellung der Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit). Durch die TOMs sollen insbesondere die beiden Datenschutzgrundsätze „Datenschutz durch Technik (data protection by design)“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen (data protection by default)“ von den Unternehmen erfüllt werden und das Risiko eines Schadens reduziert werden.  

Ein Beispiel für die Umsetzung dieser Datenschutzgrundsätze ist die Implementierung eines Löschkonzepts in IT-Systemen. Die automatische Löschung von personenbezogenen Daten nach einem vordefinierten Zeitraum unterstützt die Mitarbeitenden bei der datenschutzkonformen Verarbeitung von Daten und fördert die Datenminimierung. Eine unabdingbare Voraussetzung für ein erfolgreiches automatisiertes Löschkonzept ist die korrekte Klassifizierung der Dokumente, die im gesamten Unternehmen konsistent durchgeführt werden, sollte.    

Auswirkungen der DSGVO auf die Cybersicherheit 

Für Unternehmen bedeutet dies bei Systemen und Prozessen von Beginn an die Datenschutzperspektive mit zu berücksichtigen und entsprechende Maßnahmen zu implementieren. Um die passenden Maßnahmen zu identifizieren und deren nachhaltige Wirksamkeit darzustellen, ist eine Risikobewertung notwendig, die regelmäßig aktualisiert werden muss. Diese Risikobewertung im Zusammenhang mit personenbezogenen Daten wird Datenschutz-Folgenabschätzung genannt. Laut Artikel 35 DSGVO ist sie verpflichtend für z.B. Profiling-Aktivitäten und Verarbeitungen von besonderen Kategorien von personenbezogenen Daten (Gesundheitsdaten, Daten zu religiösen Überzeugungen etc.). Ergänzend dazu gibt es in Österreich sowohl eine Verordnung über Verarbeitungen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (Bundesgesetzblatt 2018 Teil 2: 278. Verordnung) als auch eine Verordnung über Ausnahmen von der Datenschutz-Folgenabschätzung (Bundesgesetzblatt 2018 Teil 2: 108. Verordnung). 

Durch die zusätzlichen Risikobewertungen aus Datenschutzsicht, wird die Cybersicherheit des Unternehmens aus einer weiteren Perspektive beleuchtet und mit daraus resultierenden Maßnahmen verbessert.  

Herausforderungen und Best Practices 

Um die Herausforderungen bei der Umsetzung der DSGVO-Anforderungen zu meistern, gibt es zahlreiche Best Practices.  

Herausforderungen bei der Umsetzung 

Die größte Herausforderung in Zusammenhang mit dem Datenschutz ist stets auf dem Laufenden zu bleiben. Obwohl die DSGVO nun schon seit einigen Jahren angewendet werden muss, gibt es immer wieder zusätzliche Verordnungen, Gerichtsurteile und Entscheidungen der Datenschutzbehörden, die sich auf die praktische Umsetzung auswirken. Darüber hinaus hat der technologische Fortschritt, insbesondere die Entwicklungen im Bereich der Künstlichen Intelligenz (KI), große Auswirkungen auf die Umsetzung des Datenschutzes in den Unternehmen. Eine große Herausforderung dabei ist nicht nur alle aktuellen Anforderungen umzusetzen, sondern dabei auch die Balance zwischen Datenschutz und Benutzerfreundlichkeit zu finden, sodass bei den Mitarbeitenden Verständnis für den Datenschutz geschaffen ist, sie aber nicht überfordert werden. Dabei unterstützt EFS Consulting mit umfassenden ProjektErfahrungen bei der Weiterentwicklung von Best Practices sowie individualisierten Lösungen.   

Best Practices für Unternehmen zur Einhaltung der DSGVO 

Sinnvolle Methoden, um Awareness bei den Mitarbeitenden zu schaffen, sind Datenschutz-Richtlinien und regelmäßige Datenschutz-Schulungen. Für größere Organisationen können auch eigene Intranet-Seiten mit maßgeschneidertem Content z.B. in Form von FAQs, Videos oder Sprechstundenterminen entwickelt werden. Insbesondere beim Einsatz von KI-Systemen in der Organisation sind spezielle Schulungen für den datenschutz-konformen Umgang mit Künstlicher Intelligenz empfehlenswert.  

Um die Wirksamkeit der Mitarbeitenden-Sensibilisierung zu prüfen sowie die Risikobewertung aktuell zu halten, sind regelmäßige Überprüfungen der Umsetzung der DSGVO im Unternehmen unabdingbar. Dies kann in Form von Stichproben am Arbeitsplatz, Reviews der vorhandenen Prozesse und datenschutzrechtlichen Dokumente sowie Überprüfung der Aktualität von systemseitigen Einstellungen der IT-Infrastruktur erfolgen.  

Die oben genannten Awareness-Maßnahmen und Überprüfungen werden idealerweise vom Datenschutzkoordinator / Datenschutzteam ggf. mit Unterstützung des Datenschutzbeauftragten durchgeführt. EFS Consulting bietet hierbei Unterstützung in Form von Awareness-Kampagnen und Schulungen, Review bzw. Neuerstellung von datenschutzrechtlichen Dokumenten, Aufbau eines Privacy Information Management System (PIMS), Durchführung von Datenschutzaudits sowie Stellung eines externen Datenschutzbeauftragten an. 

 

Fazit und Ausblick 

Die Anforderungen und Herausforderungen im Bereich Datenschutz und Cybersicherheit sind für alle Unternehmen und Organisationen relevant. Allein der Wert der Datenwirtschaft in den 27 EU-Mitgliedsstaaten wird geschätzt von 301 Mrd. Euro im Jahr 2018 auf 829 Mrd. Euro im Jahr 2025 steigen. Dementsprechend müssen Unternehmen vor allem auf europäischer Ebene die Gesetzgebung genau beobachten und anwendbare Verordnungen und national umgesetzte Richtlinien in ihre Arbeitsweisen integrieren. Die EU wird hier in den nächsten Jahren ihre Datenstrategie weiter entwickeln, aus der unter anderem bereits die KI- und Daten-Verordnungen (AI Act, Data Act) hervorgegangen sind. Auch die sich derzeit in der Überarbeitung befindende E-Privacy-Verordnung wird den Datenschutz aus der Sichtweise der elektronischen Kommunikation auf europäischer Ebene erweitern und ergänzt in vielerlei Hinsicht die DSGVO. 

Die Zertifizierung von umgesetzten Datenschutzanforderungen entwickelt sich ebenfalls weiter. Für Unternehmen mit einem etablierten Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 könnte hier beispielsweise die Erweiterung des ISMS um die ISO/IEC 27701 in Frage kommen, die das bestehende ISMS im Umgang mit personenbezogenen Daten zielgerichtet erweitert und die Einhaltung der Anforderungen der DSGVO unterstützt. In Österreich ist unter anderem auch die Zertifizierung von Verantwortlichen (Art. 4, Z. 7 DSGVO) durch eine akkreditierte Zertifizierungsstelle möglich (Art. 43 DSGVO, § 3 ZeStAkk-V). 

Zusammenfassend lassen sich die Anforderungsbereiche Datenschutz und Cybersicherheit mit dem Zitat „Nichts ist so beständig wie der Wandel.“ (Heraklit von Ephesus, 535-475 v. Chr.) zusammenfassen, da Technologie und Recht sich im stetigen Wandel befinden und die einzige Konstante die Veränderung ist, der Unternehmen nachkommen müssen, um innovativ und rechtskonform bleiben zu können.  

Mehr über diese Business Area
Information Security

Insights

NIS-2-Richtlinie: Ein Meilenstein für die Cybersicherheit in Europa
Für Ihr ISMS ist ein Update verfügbar: Die neue Security-Norm ISO 27001

Mit Wolfgang Walter & Jonas Wagner

ISO/IEC 27001:2022 – Lang ersehnt und endlich da. Was kommt auf Unternehmen zu?