SharePoint und die neue EU-Datenschutz Grundverordnung
Nach vier Jahren Verhandlungen wurde die neue EU-Datenschutz Grundverordnung am 4. Mai 2016 im EU-Amtsblatt veröffentlicht und trat 20 Tage später in Kraft. Das bedeutet, dass die darin definierten Regularien nach zweijähriger Übergangszeit am 25.05.2018 anwendbar sein werden. Oder kurz gesagt, ab diesen Zeitpunkt wird es spannend, da die neuen Strafmaßnahmen „scharf“ geschaltet werden.
Die neue Grundverordnung umfasst die weltweit weitreichendsten Datenschutzrichtlinien mit 9 Artikeln und 173 Erwägungsgründen. Damit ist sie deutlich umfangreicher als das deutsche Bundesdatenschutzgesetz. Aber nicht nur inhaltlich wurde der Umfang erweitert. Auch der Rahmen der Verantwortlichen und der betreffenden Firmen, auf welche die Richtlinien anzuwenden sind, wurde vergrößert. Neben den IT Administratoren, wird nun viel mehr die Management Ebene und vor allem die CISOs, CIOs und CPOs in Veranwortung genommen. Alle müssen dabei enger zusammen arbeiten, damit Ziele und Anforderungen umgesetzt werden können.
Neuerungen:
- Schutz der Grundrechte und Grundfreiheiten natürlicher Personen (der EU) in Bezug auf personenbezogene Daten
- Stärkung und Präzisierung der Rechte
- freier Verkehr personenbezogener Daten
- Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten
- Gleiche Befugnisse und Sanktionen aller Mitgliedstaaten
Diese Kernpunkte verdeutlichen, dass personenbezogene Daten dem Nutzer gehören und daher hat jeder das Recht – klar und verständlich – zu erfahren, welche Daten über ihn gesammelt werden oder welche gelöscht werden müssen. Auf dieser Basis soll es auch erleichtert werden, dass man seine Daten von einem Internetportal zu einem anderen umziehen kann. Dies war in der Vergangenheit kaum möglich. Neu ist außerdem, dass Jugendliche erst ab 16 Jahren in die Datenverarbeitung einwilligen dürfen. Dies wird besonders bei sozialen Netzwerken interessant.
Aber die einschneidensten Neuerungen sind folgende:
- Jede Firma, die Daten europäischer Bürger verarbeiten, ist an dieses Recht gebunden – auch US-Firmen, selbst wenn sie keinen Sitz in Europa haben
- Die neuen Strafen können in die Milliarden gehen und die Existenz von Firmen bedrohen
bis 10 Mio. € oder bis 2% des weltweiten Vorjahresumsatzes | bis 20 Mio. € oder bis 4% des Weltweiten Vorjahresumsatzes
(je nachdem, was höher (!) ist) |
bis 20 Mio. € oder bis 4% des weltweiten Vorjahresumsatzes |
Verstöße gegen Regelungen, z.B. – Schutzmaßnahmen – Auftragsverarbeitung | Verstöße gegen Grundsätze, z.B. – Einwilligung – Drittlandsübermittlung | Verstöße gegen Anordnungen der Aufsichtsbehörde |
Vor- und Nachteile:
Allerdings ist nicht alles so überzeugend, wie es zunächst klingt – besonders wenn wir an das bereits sehr starke deutsche Bundesdatenschutzgesetz denken. Folgenden Vorteilen möchte ich daher auch die Nachteile gegenüber stellen:
Besonders der zweite Nachteil wird interessant, denn obwohl die Aufsichtsbehörden mehr Rechte haben und härtere Strafen verhängen können, so sind einfach die Rahmenbedingungen dafür nicht geschaffen. Dies weicht die aktuell sehr strengen deutschen Richtlinien auf und somit stehen die erweiterten Rechte der Verbraucher nur auf dem Papier, aber sind faktisch nicht durchsetzbar.
Im deutschen Bundesdatenschutzgesetz gab/gibt es eine Verpflichtung für alle deutschen Unternehmen, bei denen mehr als neun Beschäftigte Zugriff auf personenbezogene Daten haben, einen Datenschutzbeauftragten einzuberufen. Dies wird also nicht mehr so streng sein, sofern bei Firmen mit weniger als 250 Mitarbeitern die Ddatenverarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, nur gelegentlich erfolgt oder nicht besondere Datenkategorien (Art. 9) oder Straftaten (Art. 10) einschließt. Dies würde beispielsweise noch Gesundheitsdienstleister betreffen, aber alle anderen Firmen mit weniger als 250 Mitarbeitern sind quasi von Datenschutzbeauftragten befreit. Hier bleibt zu hoffen, dass die Bundesregierung von der Öffnungsklausel in Art. 35 Abs. 4 EU-DSGVO Gebrauch macht. Damit könnte eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten – wie aktuell in Deutschland – weiterhin lokal durchgesetzt werden.
Und obwohl die Erfüllung der neuen EU-DSGVO ein Markenzeichen und damit einen Wettbewerbsvorteil darstellt, so fallen die rationellen Gründe für kleine Firmen weg, freiwillig einen Datenschutzbeauftragten zu bestellen. Dies wird nämlich in Zukunft nicht mehr mit finanziellen Erleichterungen belohnt.
Anforderungen:
Aus diesen Neuerungen sowie Vor-und Nachteilen ergeben sich Anforderungen, die Firmen mit Anwendbarkeit der Grundverordnung erfüllen müssen:
Mit diesen Informationen sind wir grundsätzlich gut aufgestellt, um unser Geschäft in Sachen Datenschutz fitt für die Zukunft zu machen. Dabei wird klar, dass diese Verordnung natürlich das gesamte Unternehmen betrifft und nicht nur auf SharePoint reduziert werden darf. Denn es gibt neue Begriffe und neue Definitionen zur Auftragsdatenverarbeitung, Einwilligungen, Informationen an Betroffene, interne Dokumentationen, etc. Dies sind Änderungen, welche die gesamte Unternehmung betreffen.
Anwendung auf SharePoint:
Schauen wir uns dennoch isoliert den SharePoint an, so bedeutet dies, dass beispielsweise für den User Profile Service dokumentiert werden muss, wie und welche Daten gespeichert sind. Werden über den Business Data Connectivity Service weitere personenbezogene Daten aus z.B. SAP angebunden, dann muss auch hierfür eine Dokumentation angelegt werden. Dies ist insbesondere deswegen notwendig, weil hier die Daten möglicherweise anders verarbeitet und genutzt werden, als im Urspungssystem, und somit eventuell für einen anderen Zweck verwendet werden. Dies muss den Besitzern der Daten bekannt gemacht und der Nutzung explizit zugestimmt werden.
Weiterhin liegen vermutlich im SharePoint Dokumente, die personenbezogene Daten enthalten. Dies können Gehaltsnachweise sein, Beurteilungen, aber auch ganz einfache Dokumente über eine Mitarbeiterselbstauskunft. Diese Dokumente gilt es zu identifizieren, damit festgehalten werden kann, wo und zu welchem Zweck sie gespeichert sind.
Mit der Dokumentation ist es jedoch nicht getan. Denn weiterhin müssen personenbezogene Daten proaktiv geschützt werden, damit es nicht zu Datenschutzverstößen und somit zu den empfindlichen Strafen kommt. Microsoft hat uns dafür die Data Lost Prevention (DLP) Funktionalitäten zur Verfügung gestellt. Ich kann nur empfehlen, diese zu nutzen. (siehe mein Blogbeitrag vom März 2016: http://blogs.msdn.com/b/robert_mulsow/archive/2016/03/24/governance-und-compliance-mit-dem-neuen-sharepoint-2016-dlp-im-compliance-center.aspx)
Diese Funktionen helfen sehr, doch brauchen sie Zeit, um sie korrekt einzustellen. Leider sind die Standardmöglichkeiten auch sehr begrenzt, sodass auch 3rd-Party Software in Betracht gezogen werden muss, um alle neuen Anforderungen korrekt zu erfüllen. Exemplarisch sei die Firma AvePoint genannt, deren Sicherheitslösungen einen datenzentrischen Ansatz verfolgen (DCAP – Data Centric Audit and Protection).
Es wird klar, es gibt noch eine Menge zu tun, aber auf der anderen Seite sind es keine zwei Jahren mehr, die wir für eine finale Umsetzungen zur Verfügung haben. Das ist in der Tat sehr wenig Zeit, daher sollte man nicht warten, sich mit diesen neuen Anforderungen auseinander zu setzen.
Es wird klar, es gibt noch eine Menge zu tun. Auf der anderen Seite sind es keine zwei Jahren mehr, die uns für eine finale Umsetzungen zur Verfügung stehen. Das ist für den großen Anforderungskatalog, der mit den neuen Regularien auf uns zukommt, in der Tat sehr wenig Zeit. Daher sollte man nicht warten, sich mit diesen neuen Vorschriften auseinander zu setzen und keine Strafzahlungen riskieren.
Eine wichtige Frage zum Abschluss:
Ein COO einer deutsche Firma sagte folgendes: „Wir müssen möglicherweise in Betracht ziehen, unsere dot-com Webseite wieder auf deutschen Servern zu hosten, um mit der neuen EU-DSGVO auf der sicheren Siete zu stehen.“
Warum muss ich selbst diesen Schritt in Betracht ziehen, selsbt wenn alle meine peronenbezogenen Daten korrekt gespeichert, gesichert und dokumentiert sowie die Besitzer der Daten informiert sind? Der Trick ist die zweite Ebene der Anforderungen – als vertrauenswürdig eingestufte Drittländer! Die USA ist nicht als vertrauenswürdig mit der EU-DSGVO eingestuft und damit dürfen keine personenbezogenen Daten von EU-Bürgern in die USA gelangen.
Was bedeutet dies für Cloud-Provider und speziell für Microsoft mit Azure und O365? Für solche Dienste arbeiten bereits die Regierungen zusammen, um das „Privacy Shield“ Abkommen zu unterzeichnen. Was dies dann für unsere Daten und speziell für die Datenschutz Grundverordnung bedeutet, erkläre ich in einem nächsten Blog.
Bis dahin happy „SharePointing“!
Eine Antwort
[…] können und damit Schaden von der Firma abzuwenden. Ich kann dabei nur immer wieder auf die neue EU-Datenschutzgrundverordnung […]