Ist Verschlüsselung die beste Antwort auf die EU-DSGVO?
Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO), engl. General Data Protection Regulation (GDPR), wurde nach vierjähriger Beratung zwischen Europäischem Rat, Parlament und Kommission am 14. April 2016 verabschiedet.
Die Verordnung 2016/679 tritt am 25. Mai 2018 in Kraft und ersetzt die seit 1995 gültige Richtlinie 95/46/EC. Sind Sie bereit?
Nutzen Sie Verschlüsselungsverfahren um die EU-DSGVO umzusetzen?
Falls ja, machen Sie es richtig? Welche Best Practices es gibt und warum Sie HSM einsetzen sollten.
Wichtige Fragen im Zusammenhang mit der EU-DSGVO (GDPR)
Folgende Punkte sollten Unternehmen für sich klären:
- Gilt die EU-DSGVO (GDPR) für mein Unternehmen? Auch wenn mein Unternehmenssitz außerhalb der EU ist? Auch wenn ich keine Daten in der EU speichere oder verarbeite – ob in der Cloud oder vor Ort?
- Mit welcher Sicherheitsstrategie können wir einen angemessenen Schutz personenbezogener Daten gewährleisten und Bußgelder vermeiden?
- Nutzen wir geeignete Technologien, um personenbezogene Daten zu schützen?
- Welche anderen Aspekte müssen wir berücksichtigen, um GDPR-compliant zu agieren?
- Wer hilft uns bei der Implementierung dieser Lösungen? Und zu guter Letzt:
- Welche Best Practices gibt es?
Was will die EU-DSGVO erreichen?
Die neue EU-DSGVO, die am 25. Mai 2018 in Kraft treten wird, definiert die Mindeststandards für die Verarbeitung, Sicherung und Weitergabe personenbezogener Daten. Übergeordnetes Ziel der Datenschutz-Grundverordnung ist nicht, Datenbewegungen innerhalb oder außerhalb der EU einzuschränken. Im Gegenteil: Das Hauptziel ist, den Austausch personenbezogener Daten zu erleichtern, ähnlich wie die EU den freien Waren- und Personenverkehr fördert. Die EU-DSGVO empfiehlt zudem die Definition von Standards, die den Datenaustausch erleichtern. Gleichzeitig zielt sie darauf ab, die Eigentumsrechte jeder einzelnen Person an ihren personenbezogenen Daten zu wahren, ebenso wie das Recht auf Bearbeitung, Löschung und Schutz vor Missbrauch.
Laut EU-DSGVO sind „personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, egal ob diese mit dem privaten, beruflichen oder öffentlichen Leben der betreffenden Person in Verbindung stehen. Dies kann ein Name, ein Foto, eine E-Mail-Adresse, eine Bankverbindung, ein Post in einem sozialen Netzwerk, eine Gesundheitsinformation oder die IP-Adresse eines Computers sein. (Artikel 4)
Wie wird das erreicht?
Technologie
Als Hauptmechanismus empfiehlt die EU-DSGVO eine Pseudonymisierung. Das bedeutet, personenbezogene Daten können nicht missbraucht werden, da sie dank Verschlüsselung keiner spezifischen Person zugeordnet werden können. Selbst bei Datendiebstahl ist also ein Missbrauch unmöglich.
Verantwortlichkeiten
Die EU-DSGVO definiert klare Verantwortlichkeiten. Das gilt sowohl für den Dateneigentümer (den sogenannten „Verantwortlichen“, der über den Zweck und die Mittel der Datenverarbeitung entscheidet) als auch für den „Auftragsbearbeiter“ (der die Daten im Auftrag des Verantwortlichen bearbeitet). Zudem legt sie fest, dass es in jedem Unternehmen, das Eigentümer von Daten ist, einen Datenschutzbeauftragten (Data Protection Officer, DPO) geben muss. Er hat die Aufgabe, die Compliance bei Verantwortlichen und Auftragsbearbeitern zu überwachen und das mit der Datenverarbeitung verbundene Risiko zu bewerten.
Bußgelder
Verstößt ein Unternehmen gegen die GDPR-Vorgabe, einen Datenschutzbeauftragten einzusetzen oder eine Datenschutzverletzung innerhalb des festgesetzten Zeitraums (72 Stunden) zu melden, können Bußgelder in Höhe von bis zu 20 Mio. US-Dollar oder 4 % des globalen Jahresumsatzes des Unternehmens erhoben werden.
Utimaco: EU DSGVO – warum Verschlüsselung so wichtig ist
Sie möchten mehr erfahren?
Schauen Sie sich das Utimaco Webinar zur EU-DSGVO (englisch) an oder wenden Sie sich direkt an uns unter hsm@utimaco.com.
