Schon mal was von GDPR gehört? Nein, die „GDPR“ ist weder eine neue Partei noch ein Bahnunternehmen. Vielmehr steht das Akronym GDPR für ein Gesetzespaket namens „General Data Protection Regulation“, mit dem Unternehmen dazu gezwungen werden, die Sicherheit der ihnen anvertrauten Personendaten massiv zu verbessern.

Auf Deutsch heißt das GDPR „DSGVO“, was ausgeschrieben „Datenschutzgrundverordnung“ heißt.

 

Wozu das alles?

 

Es ist leidlich bekannt, dass in demselben Ausmaß, wie unsere Abhängigkeit von digitaler Technologie zunimmt, auch die Menge der von uns im World Wide Web hinterlassenen Spuren wächst. Von wegen digitaler Fußabdruck, aber hallo!

Die Plattform „Wikileaks“ macht uns seit Jahren auf spektakuläre Weise vor, welch enorme, für die Betroffenen oftmals verheerende Konsequenzen Datenlecks nach sich ziehen können.

Selbst Geheimdienste bleiben, aller noch so aufwendigen und teuren Dateninfrastruktur zum Trotz, von Lecks nicht verschont. Auch sie werden gehackt, oftmals von irgendwelchen jungen Nerds, deren Hobby, neben aberwitzigem Pizza- und Colakonsum, daraus besteht, möglichst viele möglichst komplexe Systeme zu hacken.

Bald tagtäglich sind wir auch mit nicht endenden Veröffentlichungen um den Wahlkampf der Trump-Administration konfrontiert. Zwar ist die Echtheit der an die Öffentlichkeit lancierten Datenlecks nach wie vor nicht unumstritten – zu schwer wiegt der Verdacht, die Gegenseite wolle sich, unterstützt von bestimmten Interessentengruppen, für die Niederlage im Kampf um das Weiße Haus rächen.

Trotzdem zeigt allein schon die Tatsache, dass mit derartigen Lecks – ob real oder nicht – auf diese Weise hantiert und gezündelt werden kann, mit welchem Problem wir hier konfrontiert sind.

Beide Seiten – die demokratische wie die republikanische – warfen in diesem schmutzigsten Wahlkampf aller Zeiten mit Schmutz ohne Ende, und hielten sich gegenseitig despektierlichsten Emailverkehr vor. Wobei immer die Frage im Raum steht, was schlimmer ist: Das Leck, der Schnüffler oder der erschnüffelte, skandalöse Inhalt …

Diese krassen und prominenten Beispiele sollen nicht davon ablenken, dass ausnahmslos alle Institutionen, Organisationen und natürlich auch Einzelpersonen –  Stichwort „Identitätsdiebstahl“ –  von dem Problem betroffen sind. Dabei wäre der Diebstahl an sich noch gar nicht so tragisch, würde nicht mit gestohlenen Identitäten und Personendaten gleich massenhaft Missbrauch getrieben. Von der psychisch enorm unangenehmen Rufschädigung bis zum Vermögensdelikt: Vielen Gaunern ist das Datenphishing, „-Pharming“ und „Spoofing“ ein lukrativer Erwerb.  

 

Phishermen’s Enemies

 

Während nun der Phisher Fakemails verschickt und, ganz geduldiger Angler, darauf wartet, dass der Fisch anbeißt, verseucht der sogenannte „Pharmer“ die Ziele mit Malware. Die Malware ist wie der Samen, den der Bauer sät. Danach wartet der Absender auf die Ernte. Sobald nämlich der Samen dem Opfer implantiert ist, wird die Adresseingabe von der Zielperson unbemerkt auf eine Phishing-Seite umgeleitet.

Der Spoofer dringt unter Verwendung einer vorgetäuschten oder gestohlenen Identität in Computer und Netzwerke ein. Dabei werden Absender-IPs und –Adressen so gekonnt gefälscht, dass der Empfänger nichts merkt.

Diesem seuchenhaften Missbrauch von Personendaten versucht nun die EU mit dem GDPR entgegenzutreten. Das mehr als notwendige Gesetz, am 4. Mai 2016 erstmals veröffentlicht, am 24. desselben in Kraft getreten und bindend anzuwenden ab dem 25. Mai 2018, wird zu einer ganz neuen Umgangsweise mit personenbezogenen Daten führen.

Damit wird die bisher geltende, hoffnungslos veraltete „Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“, die von den Mitgliedsstaaten uneinheitlich und nach Gusto interpretiert und umgesetzt wurde, für sämtliche EU-Länder kompatibel vereinheitlicht und gesetzlich bindend.

 

Achtung! Hohe Strafandrohung!

 

Das besondere an der neuen GDPR ist nun, dass sie für alle EU-Mitgliedsstaaten definitiv rechtsgültig ist und sich niemand mehr dem Datenschutz entziehen kann. Die GDPR bezieht sich auf ausnahmslos alle personenbezogene Daten aller EU-Bürger, ob diese nun gesammelt, gespeichert, verarbeitet oder weitergeleitet wurden, davon betroffen sind sämtliche Zwecke der Datenanwendung sowohl innerhalb als auch außerhalb der EU.

 

Prüfen Sie ihre GDPR Compliance!

 

Nun, wie funktioniert das GDPR, und wie wird es umgesetzt?

Zunächst baut es, wie bereits skizziert, auf der Richtlinie von 1995 auf.

Allerdings werden die Vorschriften 1. präzisiert und 2. auf den neuesten Stand gebracht.

Konkret betreffen sie

▪ Die Verarbeitungsmethoden von Personendaten unter besonderer Berücksichtigung von Transparenz, Zweckbindung und Verhältnismäßigkeit

▪ Die Betroffenen müssen umfassend über die Verwendung ihrer Daten informiert werden und darin einwilligen, wobei diese Einwilligung jederzeit revidiert werden kann

▪ Die Betroffenen können verlangen, über die Art und Weise der Verwendung ihrer Daten jederzeit auf dem Laufenden gehalten zu werden, um ggfs. Widerspruch einlegen zu können

▪ Die Einhaltung der Datenschutzstandards muss jederzeit überprüfbar sein

▪ Bestimmte „Risikofirmen“ müssen einen Datenschutzbeauftragten ernennen

▪ Die eigene Datenverarbeitung muss so standardisiert werden, dass der Datenschutz automatisch gewährleistet ist

▪ Gravierende Verstöße müssen protokolliert und binnen 72 Stunden den zuständigen Behörden gemeldet werden

▪ Vorhaben, in deren Verlauf Datenlecks absehbar nicht vollständig ausgeschlossen werden können, müssen der Aufsichtsbehörde gemeldet werden

▪ Das Outsourcen des Datenschutzes bedarf der Genehmigung

▪ Die Datenschutzstandards von Drittländern sind vor Datentransfers auf ihre Kompatibilität mit dem GDPR hin zu überprüfen.

 

Ein oftmals vernachlässigtes Recht: Vergessen zu werden

 

Auch dieses war überfällig: Personen, die nicht wollen, dass ihre Daten bis zum Sankt Nimmerleinstag in den Dateien irgendwelcher Firmen gespeichert bleiben, können bei Wegfallen der Speichergründe die Löschung verlangen.

Die Strafen bei Nichteinhaltung der Anforderungen des GDPR können horrend ausfallen: Auf bis zu 20 Mio. € können sie sich belaufen. Dagegen nehmen sich die bisher zu verhängenden Geldstrafen von bis maximal 300 Tsd. doch eher mickrig aus.

Zusätzlich steht es den Behörden der einzelnen Länder offen,  ihre eigene Gesetzgebung so zu ergänzen, dass Unternehmensgewinne konfisziert werden können.

Es macht also Sinn, sich zu informieren, welche Maßnahmen in welcher Firma durchgeführt werden müssen. Drum herum kommt sowieso niemand mehr, und ganz am Rande: es ist ja auch sinnvoll.

Der Anreiz, die vorgeschriebenen Maßnahmen zu ergreifen, ist, über die gesetzlichen Neuregelungen hinaus, aber auch noch ein anderer: Sich unnötigen Datenballasts zu entledigen kann durchaus befreiend wirken.

 

Endlich besserer Terrorschutz durch EU-weiten Datentransfer

 

Die Vorteile der Novelle liegen aber nicht nur im Schutz von Personendaten. Vielmehr kommt das GDPR auch der Terror- und allgemeinen Kriminalitätsprävention sowie der Kontrolle ungehemmter Immigration und innergemeinschaftlicher Binnenmigration zugute. In Zukunft wird es kaum noch möglich sein, mit mehreren Identitäten unterwegs zu sein und in gleich mehreren Ländern Sozialhilfe abzukassieren, hier und da gemeldet zu sein und nach Belieben unter- oder aufzutauchen. Für derartigen Missbrauch des bisher unerträglich laxen Datenschutzes gibt es in Zukunft keine Entschuldigung mehr.

Bisher wurden nämlich, vornehmlich von Politikern, eigene Schlampereien gerne mit dem Argument relativiert, der Austausch von Personendaten scheitere an den unterschiedlichen Datenschutzstandards. Dieser Irrsinn wurde mit dem GDPR behoben. Endlich!

 

Noch ein wichtiger Aufruf: Es geht nicht ohne dich. Und deshalb ist es sehr wichtig, dass du diesen Podcast mit deiner Bewertung bei iTunes unterstützt. Denn durch deine Bewertung rankt dieser Podcast bei iTunes entsprechend höher und schafft höhere Aufmerksamkeit, wodurch mehr Fragen an mich gestellt werden, mehr Interaktion stattfindet und dieser Podcast einen Dialog erfährt und damit lebendig gestaltet werden kann - nicht nur von mir, sondern von uns allen. Vielen Dank also jetzt schon für deine Bewertung bei iTunes.

 

Frisches Hörfutter direkt auf dein Smartphone

Du kannst nun umgehend auf dem Messenger deiner Wahl über neue Podcast-Episoden, Blogbeiträge, Newsletter und Aktionen auf dem Smartphone informiert werden und die Inhalte auch gleich abrufen. Zusätzlich kannst Du dem MARKENREBELL auch Anregungen, Fragen oder andere Feedbacks senden, die dieser dann auf dem kurzen Weg gerne beantwortet. Wie das funktioniert, erfährst du hier.

 

Klicke hier und wir versorgen dich kostenfrei einmal im Monat mit den wichtigsten Informationen in unserem Newsletter.

Wenn dir der Artikel gefallen hat, teile ihn bitte in deinen Netzwerken, dadurch unterstützt du uns enorm! Danke!!!