DSGVO - Herausforderung auch für Google & Co.

Auch für "Big Player" wie Windows, Apple, Google und Facebook ist das neue EU-Datenschutz-Gesetz eine große Herausforderung. Wer macht hier seine Hausaufgaben? Wer hinkt hinten nach?


Lupe

Das viel propagierte Datum 25. Mai 2018 ist mittlerweile wohl jedem ein Begriff: An diesem Tag tritt die neue EU-weite Datenschutzgrundverordnung, kurz DSGVO, ohne Übergangsfristen in Kraft. Und mittlerweile dürfte auch jedem Unternehmer, Geschäftsführer oder Gewerbetreibendem klar sein, dass so gut wie alle europäischen Unternehmen – vom Großkonzern bis zum Einzelunternehmer – davon betroffen sind. Auch für Unternehmen, die ihren Sitz außerhalb der EU haben, ist die DSGVO verpflichtend, sofern Sie im Europäischen Wirtschaftsraum (EWR) aktiv sind und defacto Daten von EU-Bürgern verarbeiten. Die hohen Auflagen, die die DSGVO für den Schutz personenbezogener Daten bringt, sollen mit der Androhung hoher Bußgelder bis 20 Mio. Euro oder 4% des weltweiten Konzernumsatzes durchgesetzt und bei Missachtung geahndet werden.
Wenn Sie derzeit viel extra Zeit und Arbeit investieren, um noch vor dem 25. Mai Ihre Hausaufgaben für die DSGVO zu machen, dann sind Sie durchaus in bester Gesellschaft.

Auch „Big Player“ wie Windows, Apple, Google und Facebook sind durch die DSGVO gefordert und müssen auch als US-amerikanische Anbieter das neue europäische Datenschutzgesetz umsetzen, um ihre Dienste auch weiterhin in Europa anbieten zu können. Durchwegs haben all vier bereits entsprechende Verfahren entwickelt, um die Nutzung ihrer Dienste DGSVO-konform zu ermöglichen und die Betroffenenrechte umzusetzen. Dazu werden die bisherigen Nutzungsverträge (-bedingungen) mit ihren Kunden Schritt für Schritt hinsichtlich der DSGVO-Vorgaben upgedatet und den Kunden umfassende Informationen geboten.

Microsoft

Microsoft verfügt über umfassende Expertise beim Datenschutz und bei der
Wahrung der Privatsphäre und hat sich der Einhaltung des EU/US Privacy Shield und der EU-Standardvertragsklauseln verpflichtet. Zu den Vorbereitungen zum neuen Datenschutzrecht werden die Nutzer im Microsoft-Trust-Center umfassend informiert. Zudem bietet Microsoft seinen Kunden zur Unterstützung mehrere Tools an, u.a. ein kostenloses Selbstbewertungs-Tool und ein 4-Punkte-Programm für die Einhaltung der DSGVO.

Apple

Auch Apple hat sich der EU-Datenschutz-Grundverordnung verpflichtet und will diesen hohen Standard international umsetzen. Kunden erhalten die Möglichkeit ihre Daten einzusehen und sämtliche auf den Servern gespeicherte Daten, die für die Nutzung von Apples Diensten und Apps verarbeitet werden, herunterzuladen. Dafür wird u.a. ein neuer Bereich im iCloud-Online-Dienst des Konzerns eingerichtet. Zudem wird mit dem nächsten Update bzw. ab der Version iOS 11.3 der Apple Mobiltelefone auch eine längst überfällige Sicherheitslücke geschlossen, indem der Zugriff von Apps auf das Kontaktbuch reguliert wird. Dadurch kann der Nutzer sicherstellen, dass die auf dem iPhone installierten Apps z.B. keinen Zugriff auf berufliche Kontakte haben.

Google

Google hat bereits die aktualisierte Richtlinie zur Einwilligung der Nutzer in der EU vorbereitet und informiert über seine Initiativen zum Datenschutz.
Die DSGVO-konforme Nutzung des weit verbreiteten Tracking Tools Google Analytics wurde bereits durch ergänzende Tools umgesetzt. Das erste Tool bietet „Data Retention Controls“, über die festgelegt werden kann, nach welchem Zeitraum personenbezogene Daten automatisch gelöscht werden. Die entsprechenden Einstellungen sind in der Admin-Konsole unter Tracking/Data Retention verfügbar – nutzbar aber erst ab 25. Mai. In den Einstellungen kann man festlegen, ob personenbezogene Daten gestaffelt nach 14 bis 50 Monaten automatisch gelöscht werden.
Ebenfalls wichtig für die Umsetzung der DSGVO und bereits verfügbar ist die IP-Anonymisierung. Darüber hinaus hat Google ein weiteres Tool angekündigt, mit dem Daten einzelner Nutzer gelöscht werden können – es soll noch vor 25. Mai fertig sein.

Facebook

Ebenso hat Facebook seine Datenschutz- und Nutzungsbedingungen neu formuliert und verspricht, sie dabei klarer und transparenter zu machen. Insgesamt soll es leichter werden, bisher oft verstreute Datenschutzeinstellungen an einem Ort zu finden. Zu den weiteren Neuerungen gehört die Möglichkeit, ein Kundenkonto zeitweise zu deaktivieren, damit ab diesem Punkt keine Daten mehr verarbeitet werden können. Das Konto kann nur mit einem speziellen Code wieder reaktiviert werden. Zudem können Nutzer ebenfalls Daten und Inhalte in einem maschinenlesbaren Format herunterladen, um diese gegebenenfalls zu anderen Diensten zu verlagern.
Nicht zuletzt der Datenmissbrauchsskandal durch Cambridge Analytica zeigt aber auf, dass Facebook hinsichtlich Datenschutz großen Erklärungsbedarf hat. Die Facebook-Nutzungsbedingungen werden bereits seit langem wegen mangelnder Transparenz kritisiert und Facebook tat bisher wenig, dies zu verbessern. Zuletzt sorgte die Auswertung eines Experten für Aufregung, der seine Facebook-Daten exportierte und in den Metadaten auslesen konnte, dass Facebook zumindest zeitweilig Telefon- und SMS-Verbindungsdaten mitprotokolliert hatte. Im US-Senat wurde aufgrund des mangelhaften Datenschutzes zuletzt sogar eine Regulierung von Social Media Diensten wie Facebook in den Raum gestellt.
Vollkommen überraschend hat Facebook Ende April angekündigt, die Daten der 1,5 Milliarden nicht-amerikanischen Nutzer, für die bisher Facebook Irland zuständig war, nun von Irland in die USA zu verlagern, damit die Daten der nicht-europäischen Nutzer nicht unter die DSGVO fallen. Die angekündigte Absicht von Facebook, den hohen europäischen Datenschutz weltweit umzusetzen, wird jetzt scheindbar doch nicht umgesetzt.

Wie überall gibt es auch bei der Umsetzung des neuen Datenschutzgesetzes sowohl „Musterknaben“ als auch „böse Jungs“. Und obwohl Anbieter grundsätzlich verpflichtet sind, ihre Services DSGVO-konform anzubieten, wird auch jeder Anwender selbst in die Pflicht genommen, sich zu vergewissern, ob die verwendete Software, App, Cloud Dienst etc. auch rechtskonform ist. Als Richtlinie dazu verspricht der Gesetzgeber die Erlassung einer sogenannter „Black und White-List“ zur Datenschutz-Folgenabschätzung. D.h. dass die auf der Positivliste stehenden Anwendungen hinsichtlich DSGVO „safe“ sind, für die auf der Negativliste stehenden aber ein erhöhtes Risiko für die Datenverarbeitung besteht und somit eine Datenschutzfolgeabschätzung durch die Datenschutzbehörde verpflichtend ist. Eventuell sieht man von der Verwendung dieser kritischen Anwendungen, sofern nicht zwingend notwendig, bereits im Vorfeld ab. Bis zur Veröffentlichung dieser Liste und im Zweifelsfall ist es immer ratsam, von kritischen Anwendungen lieber „die Finger zu lassen“ als eine Abmahnung und im schlimmsten Falle Strafen durch die Datenschutzbehörde zu riskieren.


Wir halten Sie hinsichtlich DSGVO und der neuen Richtlinien auch weiterhin auf dem Laufenden.
Gerne können Sie sich bei Fragen und zur Beratung auch an
unsere pan-IT Datenschutzexperten wenden.