Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Licht am Ende des Tunnels: Die EU Datenschutzverordnung

Über zwei Jahre lang haben wir kontinuierlich über die neuen EU Regelungen berichtet und beobachtet, wie sich die Ausarbeitungen, einer alten Dampflok nicht unähnlich, mit Schnaufen und Stampfen schrittweise vorwärts...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Inhalt

    Über zwei Jahre lang haben wir kontinuierlich über die neuen EU Regelungen berichtet und beobachtet, wie sich die Ausarbeitungen, einer alten Dampflok nicht unähnlich, mit Schnaufen und Stampfen schrittweise vorwärts bewegt haben. Doch die lange, mühselige Reise könnte nun endlich ihr Ende finden. Momentan sieht es aus, als würde die Datenschutzverordnung noch bis Ende 2015 oder Anfang 2016 verabschiedet.

    Natürlich bleibt während der letzten Verhandlungsrunden der Interessenvertreter (des EU Parlaments und der Vertreter der Mitgliedstaaten) zur Datenschutzverordnung ausreichend Zeit für Feinschliff und Kleingedrucktes.

    Was also ist der neueste Stand bei den wichtigsten Punkten: zum Beispiel einer einheitlichen Regelung, der Anzeigepflicht bei Datenschutzverstößen, einer Datenschutzbehörde als zentraler Anlaufstelle und dem Recht auf Löschung?

    Zum Zeitpunkt der Veröffentlichung dieses Beitrags waren die Grundzüge dieser wichtigen Neuerungen der Datenschutzverordnung noch weitgehend erhalten. Unternehmen sollten also mit einem baldigen Inkrafttreten neuer Datenschutzregelungen rechnen und sich entsprechend vorbereiten.

    Zeiten des Wandels
    Eine der bedeutsamsten Änderungen im Zuge der Datenschutzverordnung: Es wird ein einheitliches Regelwerk geschaffen, das die 28 unterschiedlichen Datenschutzverordnungen der EU Mitgliedstaaten ersetzen soll.

    Theoretisch sollten diese Datenschutzverordnungen mehr Gemeinsamkeiten als Unterschiede aufweisen, doch über die Jahre haben sich aus der unterschiedlichen Auslegung der zugrunde liegenden Datenschutzrichtlinie von 1995 uneinheitliche Regelungen ergeben. So hat beispielsweise die Definition personenbezogener Daten dazu geführt, dass E Mails, URLs und IP Adressen in einigen Ländern geschützt sind, in anderen aber nicht.

    Die Idee einer zentralen Anlaufstelle hängt ebenfalls mit der Vereinheitlichung der Regelungen zusammen: Eine einzige Datenschutzbehörde ist für die Bearbeitung sämtlicher Beschwerden und die Einhaltung sämtlicher Vorschriften zuständig. Momentan werden diese Angelegenheiten von einer oder mehreren der – Sie ahnen es – 28 nationalen Datenschutzbehörden geregelt.

    In dieser Hinsicht wird die endgültige Regelung von den ursprünglichen Plänen des EU Parlaments abweichen. Die EU Länder verfügen weiterhin über eigene Datenschutzbehörden. In wichtigen grenzüberschreitenden Fällen geht die Zuständigkeit allerdings auf eine zentrale Datenschutzbehörde über, die ihre Untersuchungsergebnisse einer übergeordneten Aufsichtsinstanz vorlegt.

    Das ist nicht der Bürokratieabbau, der ursprünglich im Rahmen der Datenschutzverordnung umgesetzt werden sollte. Aber sie ist zumindest eine Verbesserung im Vergleich zu den bestehenden Regelungen.

    Jetzt wird es ernst: Anzeigepflicht bei Datenschutzverstößen und Datenlöschung
    Die umstrittensten der neuen Bestimmungen sind die Anzeigepflicht bei Datenschutzverstößen und das Recht auf Löschung (das zunächst unter der Bezeichnung „Recht auf Vergessen werden“ bekannt wurde).

    Als ich die Änderungen der Datenschutzverordnung das letzte Mal unter die Lupe genommen habe, war die Frist, innerhalb derer ein Unternehmen nach einer Datenschutzverletzung die Öffentlichkeit informieren muss, auf 72 Stunden verlängert worden (von ursprünglich 24 Stunden). Diese Entscheidung gründet sich auf den Widerstand amerikanischer und anderer multinationaler Unternehmen. Ohne Zweifel wird es noch weitere Anpassungen geben.

    Was das Recht auf Löschung betrifft…hier kämpfen die amerikanischen Social-Media-Unternehmen und Suchdienstanbieter an vorderster Front gegen diese Bestimmung.

    Doch Google hat im vergangenen Jahr einen wichtigen Prozess vor dem obersten EU Gericht verloren. Bei dem Prozess ging es um das Entfernen personenbezogener Daten aus Suchergebnissen. Ein Ergebnis der Gerichtsentscheidung ist übrigens dieses Formular: Hier können Sie Google ersuchen, bestimmte Links aus den Suchergebnissen zu entfernen!

    Im Rahmen der neuen Datenschutzverordnung wird die zentrale Frage wieder aufgenommen, wer für das Löschen von Online-Daten verantwortlich ist: das Unternehmen, das die Inhalte ursprünglich veröffentlicht hat und für die Verarbeitung der Daten verantwortlich ist, oder die Unternehmen und Anwender, die sie an anderer Stelle erneut veröffentlichen und teilen.

    Google und andere Unternehmen, die Inhalte veröffentlichen, sind der Ansicht, dass die Verantwortung bei diesen Drittparteien liegt, die selbige Daten erneut veröffentlichen.

    Über diese Frage wird noch diskutiert. Nach derzeitigem Stand muss das für die Verarbeitung verantwortliche Unternehmen (Google, Bing, Facebook usw.) angemessene Schritte unternehmen, um Dritte über Anträge auf Datenlöschung zu informieren.

    Nehmen wir einmal an, Sie wären Google oder ein anderer multinationaler Konzern und würden das Recht auf Löschung oder die Anzeigepflicht bei Datenschutzverstößen missachten. Mit welchen Folgen müssten Sie rechnen? Gemäß Datenschutzverordnung können die Geldbußen bis zu 2% des global erzielten Umsatzes betragen – nicht gerade ein Taschengeld. Doch auch dieser Prozentsatz kann sich im Verlauf der Verhandlungen möglicherweise noch ändern.

    Fazit: Unabhängig davon, wie hoch die Geldbußen letztendlich angesetzt werden, wird die EU die strafrechtliche Verfolgung und Bestrafung sehr ernst nehmen.

    Besser vorbereitet sein
    Für alle Unternehmen, die nicht im Bereich der sozialen Medien tätig sind, bedeutet das Recht auf Löschung in der Praxis, dass sie verpflichtet sind, auf Ersuchen eines Nutzers sämtliche Verweise auf ihn aus dem jeweiligen Dateisystem zu entfernen.

    Und um der Anzeigepflicht bei Datenschutzverstößen nachzukommen, muss das Unternehmen die Öffentlichkeit/die Nutzer jedes Mal innerhalb einer sehr knapp bemessenen Frist informieren, wenn ein Hacker auf eine Datei mit personenbezogenen Daten zugreift oder eine solche Datei entwendet und ebenfalls darüber, welche Daten abgefangen wurden.

    Angenommen, Sie wären eine IT Abteilung in einem multinationalen oder europäischen Unternehmen. Könnten Sie Ihrem Sicherheitsbeauftragten oder Justiziar allen Ernstes versichern, dass Sie diese Anforderungen erfüllen können?

    Dabei ist die Frage nicht, ob, sondern wann Sie den Nachweis darüber liefern können, dass Sie den Auflagen der Datenschutzverordnung genügen.

    The post Licht am Ende des Tunnels: Die EU Datenschutzverordnung appeared first on Varonis Deutsch.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?