DSGVO - Herausforderung auch für Google & Co.
Auch für "Big Player" wie Windows, Apple, Google und Facebook ist das neue EU-Datenschutz-Gesetz eine große Herausforderung. Wer macht hier seine Hausaufgaben? Wer hinkt hinten nach?
Das viel propagierte Datum 25. Mai 2018 ist
mittlerweile wohl jedem ein Begriff: An diesem Tag tritt die neue
EU-weite Datenschutzgrundverordnung, kurz DSGVO, ohne
Übergangsfristen in Kraft. Und mittlerweile dürfte auch jedem
Unternehmer, Geschäftsführer oder Gewerbetreibendem klar sein, dass so
gut wie alle europäischen Unternehmen – vom Großkonzern bis zum
Einzelunternehmer – davon betroffen sind. Auch für Unternehmen, die
ihren Sitz außerhalb der EU haben, ist die DSGVO verpflichtend, sofern
Sie im Europäischen Wirtschaftsraum (EWR) aktiv sind
und defacto Daten von EU-Bürgern verarbeiten. Die hohen Auflagen, die
die DSGVO für den Schutz personenbezogener Daten bringt, sollen mit der
Androhung hoher Bußgelder bis 20 Mio. Euro oder 4% des
weltweiten Konzernumsatzes durchgesetzt und bei Missachtung geahndet
werden.
Wenn Sie derzeit
viel extra Zeit und Arbeit investieren, um noch vor dem 25. Mai Ihre
Hausaufgaben für die DSGVO zu machen, dann sind Sie durchaus
in bester Gesellschaft.
Auch „Big
Player“ wie Windows, Apple, Google und Facebook sind durch die DSGVO
gefordert und müssen auch als US-amerikanische Anbieter das neue
europäische Datenschutzgesetz umsetzen, um ihre
Dienste auch weiterhin in Europa anbieten zu können. Durchwegs haben all
vier bereits entsprechende Verfahren entwickelt, um die Nutzung ihrer
Dienste DGSVO-konform zu ermöglichen und die
Betroffenenrechte umzusetzen. Dazu werden die bisherigen
Nutzungsverträge (-bedingungen) mit ihren Kunden Schritt für Schritt
hinsichtlich der DSGVO-Vorgaben upgedatet und den Kunden umfassende
Informationen geboten.
Microsoft
Microsoft verfügt über umfassende Expertise beim Datenschutz und bei der
Wahrung der Privatsphäre und hat sich der Einhaltung des EU/US Privacy Shield und der EU-Standardvertragsklauseln verpflichtet. Zu den Vorbereitungen zum neuen Datenschutzrecht werden die Nutzer im Microsoft-Trust-Center umfassend informiert. Zudem bietet Microsoft seinen Kunden zur Unterstützung mehrere Tools an, u.a. ein kostenloses Selbstbewertungs-Tool und ein 4-Punkte-Programm für die Einhaltung der DSGVO.
Apple
Auch Apple hat sich der EU-Datenschutz-Grundverordnung verpflichtet und will diesen hohen Standard international umsetzen. Kunden erhalten die Möglichkeit ihre Daten einzusehen und sämtliche auf den Servern gespeicherte Daten, die für die Nutzung von Apples Diensten und Apps verarbeitet werden, herunterzuladen. Dafür wird u.a. ein neuer Bereich im iCloud-Online-Dienst des Konzerns eingerichtet. Zudem wird mit dem nächsten Update bzw. ab der Version iOS 11.3 der Apple Mobiltelefone auch eine längst überfällige Sicherheitslücke geschlossen, indem der Zugriff von Apps auf das Kontaktbuch reguliert wird. Dadurch kann der Nutzer sicherstellen, dass die auf dem iPhone installierten Apps z.B. keinen Zugriff auf berufliche Kontakte haben.
Google hat bereits die aktualisierte Richtlinie zur Einwilligung der Nutzer in der EU vorbereitet und
informiert über seine Initiativen zum Datenschutz.
Die DSGVO-konforme Nutzung des weit verbreiteten Tracking Tools Google Analytics
wurde bereits durch ergänzende Tools umgesetzt. Das erste Tool bietet
„Data Retention Controls“,
über die festgelegt werden kann, nach welchem Zeitraum personenbezogene
Daten automatisch gelöscht werden. Die entsprechenden Einstellungen sind
in der Admin-Konsole unter Tracking/Data
Retention verfügbar – nutzbar aber erst ab 25. Mai. In den Einstellungen
kann man festlegen, ob personenbezogene Daten gestaffelt nach 14 bis 50
Monaten automatisch gelöscht werden.
Ebenfalls wichtig für die Umsetzung der DSGVO und bereits verfügbar ist die IP-Anonymisierung. Darüber
hinaus hat Google ein weiteres Tool angekündigt, mit dem Daten einzelner
Nutzer gelöscht werden können – es soll noch vor 25. Mai fertig sein.
Ebenso hat Facebook seine Datenschutz- und Nutzungsbedingungen
neu formuliert und verspricht, sie dabei klarer und
transparenter zu machen. Insgesamt soll es leichter werden, bisher oft
verstreute Datenschutzeinstellungen an einem Ort zu finden. Zu den
weiteren Neuerungen gehört die Möglichkeit, ein
Kundenkonto zeitweise zu deaktivieren, damit ab diesem Punkt keine Daten
mehr verarbeitet werden können. Das Konto kann nur mit einem speziellen
Code wieder reaktiviert werden. Zudem können Nutzer
ebenfalls Daten und Inhalte in einem maschinenlesbaren Format
herunterladen, um diese gegebenenfalls zu anderen Diensten zu verlagern.
Nicht zuletzt der Datenmissbrauchsskandal durch Cambridge Analytica
zeigt aber auf, dass Facebook hinsichtlich Datenschutz großen
Erklärungsbedarf hat. Die Facebook-Nutzungsbedingungen werden
bereits seit langem wegen mangelnder Transparenz kritisiert und Facebook
tat bisher wenig, dies zu verbessern. Zuletzt sorgte die Auswertung
eines Experten für Aufregung, der seine Facebook-Daten
exportierte und in den Metadaten auslesen konnte, dass Facebook
zumindest zeitweilig Telefon- und SMS-Verbindungsdaten mitprotokolliert
hatte. Im US-Senat wurde aufgrund des mangelhaften
Datenschutzes zuletzt sogar eine Regulierung von Social Media Diensten
wie Facebook in den Raum gestellt.
Vollkommen überraschend hat Facebook Ende April angekündigt, die Daten der 1,5 Milliarden
nicht-amerikanischen Nutzer, für die bisher Facebook Irland
zuständig war, nun von Irland in die USA zu verlagern, damit die Daten
der nicht-europäischen Nutzer nicht
unter die DSGVO fallen. Die angekündigte Absicht von Facebook, den hohen
europäischen Datenschutz weltweit umzusetzen, wird jetzt scheindbar
doch nicht umgesetzt.
Wie überall gibt es auch bei der Umsetzung des neuen Datenschutzgesetzes sowohl „Musterknaben“ als auch „böse Jungs“. Und obwohl Anbieter grundsätzlich verpflichtet sind, ihre Services DSGVO-konform anzubieten, wird auch jeder Anwender selbst in die Pflicht genommen, sich zu vergewissern, ob die verwendete Software, App, Cloud Dienst etc. auch rechtskonform ist. Als Richtlinie dazu verspricht der Gesetzgeber die Erlassung einer sogenannter „Black und White-List“ zur Datenschutz-Folgenabschätzung. D.h. dass die auf der Positivliste stehenden Anwendungen hinsichtlich DSGVO „safe“ sind, für die auf der Negativliste stehenden aber ein erhöhtes Risiko für die Datenverarbeitung besteht und somit eine Datenschutzfolgeabschätzung durch die Datenschutzbehörde verpflichtend ist. Eventuell sieht man von der Verwendung dieser kritischen Anwendungen, sofern nicht zwingend notwendig, bereits im Vorfeld ab. Bis zur Veröffentlichung dieser Liste und im Zweifelsfall ist es immer ratsam, von kritischen Anwendungen lieber „die Finger zu lassen“ als eine Abmahnung und im schlimmsten Falle Strafen durch die Datenschutzbehörde zu riskieren.
Wir halten Sie hinsichtlich DSGVO und der neuen Richtlinien auch weiterhin auf dem
Laufenden.
Gerne können Sie sich bei Fragen und zur Beratung auch an
unsere pan-IT Datenschutzexperten wenden.