Mit der Datenschutz-Grundverordnung (EU DSGVO, GDPR) macht die Europäische Union einen großen Schritt in Richtung eines einheitlichen digitalen Binnenmarktes. Für die Unternehmen bringt ein einheitlicher Binnenmarkt erhebliche Kosten-Vorteile, weil sie sich europaweit auf einheitliche Regelungen einstellen können. Und durch den in Artikel 3 definierten "räumlichen Anwendungsbereich" der EU DSGVO wird der digitale Binnenmarkt rechtlich im Fall von Auftragsverarbeitung personenbezogener Daten auch auf Dienstleister aus dem Nicht-EU-Ausland ausgedehnt. Dienstleister aus den USA oder Asien unterliegen damit nach dem so genannten Marktortprinzip den Regelungen der EU DSGVO.
Verschärfung bestehender Bestimmungen
Viele Bestimmungen der DSGVO finden sich auch schon in der derzeit noch geltenden EU-Richtlinie von 1995 und im Bundesdatenschutzgesetz. Aber es gibt auch deutliche Verschärfungen. Verschärft wurden beispielsweise die Bußgelder, die verhängt werden können, die Dokumentationspflichten allgemein sowie Beweis-Pflichten bei Auftragsverarbeitung und Cloud-Dienstleistungen
Die Datenschutz-Gesetzgebung bewegt sich heutzutage in einem Umfeld, in dem Smartphones und Tablets sowie mobile Apps, die in der Cloud positioniert sind, eine wesentliche Rolle spielen. Läuft doch der Zugriff auf moderne Cloud-Dienste, wie zum Beispiel Salesforce oder Office 365, heutzutage im Wesentlichen über mobile Endgeräte. Insofern spielen System-Management-Tools wie Enterprise-Mobility-Management-(EMM-)Systeme eine wichtige Rolle, wenn es darum geht, die Unternehmens-IT in Übereinstimmung mit der DSGVO zu betreiben.
Nachweispflicht für Schutzmechanismen
Verfahren aus dem Bereich Enterprise Mobility Management sind wegweisend beim Schutz von Persönlichkeitsrechten und sie helfen dabei nachzuweisen, dass die verantwortlichen Stellen entsprechende Schutzmechanismen aufgebaut haben. Denn die GDPR legt Unternehmen und Auftragsverarbeiter umfangreiche Dokumentationspflichten auf (so genannte Rechenschaftspflicht in Artikel 5 Absatz 2) und führt gegenüber den bisher gültigen Bestimmungen eine Beweislastumkehr bei Auftragsverarbeitung und Cloud-Dienstleistungen ein (Artikel 82). Die Paragrafen sind mit hohen Strafgeldern von bis zu 20 Millionen Euro beziehungsweise bis zu 4 Prozent des weltweit erzielten Jahresumsatzes bewehrt (Artikel 83 Absatz 5, Buchstabe a).
Die erwähnte Beweislastumkehr in Artikel 82 bedeutet, dass die verantwortlichen Unternehmen Maßnahmen zur Dokumentation der Einhaltung der DSGVO jederzeit vorweisen können müssen, auch wenn keine Schadensfälle aufgetreten sind oder Klagen von betroffenen Personen eingereicht wurden.
Rahmenbedingungen zur Einhaltung der GDPR
Die in Artikel 5 Absatz 2 aufgeführte unbedingte Rechenschaftspflicht, die Kriterien wie Transparenz, Zweckbindung, Datensparsamkeit, Datenrichtigkeit, zeitlich begrenzten Speicherung und Integrität und Vertraulichkeit (siehe Kasten) umfasst, kann mit sinnvollem Aufwand nur durch ein leistungsfähiges EMM-System erfüllt werden. In erster Linie ist dafür nämlich eine zuverlässige Unterscheidung von geschäftlichen und privaten Daten auf einem Endgerät notwendig, um beide Datenwelten zuverlässig vor externen Bedrohungen sowie unbefugter Verwendung oder Offenlegung zu schützen.
Moderne EMM-Systeme verfügen über entsprechende Steuerungsmechanismen und Prozeduren. Eine klare Trennung von geschäftlichen und privaten Daten und Apps hilft nicht nur bei der Erfüllung der erwähnten Rechenschaftspflicht in Artikel 5, Absatz 2, sondern auch dabei, die Bestimmungen der Sicherheit der Verarbeitung personenbezogener Daten zu erfüllen, die in Artikel 32 benannt sind (u.a. Pseudonymisierung und Verschlüsselung der Daten).
Außerdem unterstützen Containerisierung und ähnliche Trennungsmaßnahmen dabei, die so genannte Datenschutz-Folgenabschätzung, die in Artikel 35 verlangt wird, korrekt umzusetzen. Zu letzterem: bei nicht vorhandener Trennung von geschäftlichen und privaten Daten auf dem Endgerät wird eine Prüfung nach Art. 35 grundsätzlich dazu führen, dass die Folgen für den Schutz von Personendaten als unkalkulierbar eingeschätzt werden, die DSGVO also nicht erfüllt ist.