Zwei Jahre EU-DSGVO: eine Zwischenbilanz

0
200
Die DSGVO ist ein wichtiger Meilenstein, nun sind weitere Vorgaben notwendig um personenbezogene Daten wirksam zu schützen. (Foto: BS/Rohde & Schwarz Cybersecurity)

Am 25. Mai 2018 trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Zeit, ein Fazit zu ziehen.

Mit der EU-DSGVO wurde ein wichtiges Ziel erreicht: Das Thema Datenschutz gelangte ganz oben auf die Agenda all derer, die personenbezogene Daten speichern oder verarbeiten. Aber die EU-DSGVO ist auch ein Mammutprojekt. Viele Behörden fühlen sich durch die Vorgaben stark belastet. Ihnen fehlen zeitliche und personelle Ressourcen und das nötige Know-how. Zu diesem Ergebnis kam eine Umfrage, die der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg Mitte 2019 in seinen Gemeinden durchführte.

Regulatorische Unklarheiten

Gleichzeitig eröffnet die voranschreitende Digitalisierung der Behörden – Stichwort Onlinezugangsgesetz – immer neue Fallstricke beim Datenschutz. Diese müssen die Behörden laufend berücksichtigen. Regulatorische Unklarheiten erleichtern den Prozess nicht. Die EU-DSGVO bleibt beispielsweise bei der Einwilligungspflicht für das Setzen von Cookies unkonkret. Inzwischen hat ein EuGH-Urteil Klarheit geschaffen. Tracking-Cookies dürfen nur noch mit ausdrücklicher Einwilligung der Nutzer gesetzt werden.

Eine weitere Lücke in der EU-DSGVO sehen Kritiker darin, dass Hersteller nicht in die Pflicht genommen wurden, Produkte zu entwickeln, die den Datenschutz fördern. Privacy by Design – also das Berücksichtigen des Datenschutzes bei der Produktion eines Gerätes – ist ein wichtiger Baustein für den sicheren Umgang mit Daten. Ähnliches gilt für das Speichern von Daten in der Cloud. Die marktbeherrschenden Cloud-Anbieter sitzen im Ausland. Die EU-DSGVO wird von einigen dort geltenden Regelungen wie dem “Clarifying Lawful Overseas Use of Data Act” unterlaufen. 

Neue IT-Sicherheitstechnologien

Ausländische Cloud-Provider bieten ihren Kunden zwar zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Das löst jedoch das Problem nicht. Um wirklich der EU-DSGVO zu genügen, braucht es stattdessen neue IT-Sicherheitstechnologien, die von Anbietern bereitgestellt werden, welche vollumfänglich europäischer Jurisdiktion unterliegen. Es sollte zudem ein datenzentrischer Ansatz gewählt werden, bei dem alle Daten verschlüsselt werden, die Behörde selbst entscheiden kann, wo die Daten gespeichert werden und die Schlüssel ausschließlich im Besitz des Kunden sind. Damit haben Zugriffsversuche dritter Parteien auf die Daten keine Erfolgschance.

Ausblick

Die EU-DSGVO ist ein Meilenstein auf dem Weg zu mehr Schutz personenbezogener Daten. Nach zwei Jahren zeigt sich: Vieles wurde bereits erreicht und die Umsetzung läuft. Doch die Regelung ist erst ein Anfang. Weitere Vorgaben sind notwendig, um persönliche Daten vollumfänglich zu schützen. Die EU-DSGVO gibt dafür die grundlegende Richtung vor – Staat, Gesellschaft und Politik müssen diesen Weg jetzt konsequent weitergehen.

Autor des Gastbeitrages ist Dr. Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here