EU-Datenschutz-Grundverordnung tritt 2018 in Kraft: Was heißt das für Unternehmen und Behörden?

Article
06/02/2017

In fünf Schritten rechtskonform werden – und bleiben

In knapp einem Jahr treten wichtige Änderungen der EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Ab 25. Mai 2018 regelt die DSGVO (englisch: General Data Protection Regulation, GDPR) EU-weit einheitlich die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen.

Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen, wie Name, E-Mail-Adresse, Social-Media-Beiträge, physische, physiologische, genetische oder medizinische Informationen, Wohn- oder Aufenthaltsort, Bankverbindung, IP-Adresse, Cookies und die so genannte kulturelle Identität.

Aufgrund der zunehmenden Verbreitung von Diensten und Anwendungen, die personenbezogene Daten verarbeiten wie z.B. soziale Netzwerke, Cloud-Computing, Internet der Dinge und lernende Systeme nimmt die wirtschaftliche Bedeutung des Datenverkehrs immer mehr zu. Das Datenschutzrecht spielt dabei eine zentrale Rolle.

Microsoft befürwortet einen einheitlichen Datenschutz innerhalb der EU

Die Datenschutz-Grundverordnung ist auch für Microsoft die neue Messlatte für Datenschutz, Compliance und IT-Sicherheit. Sie bedeuten umfassende Änderungen für Unternehmen jeder Größenordnung und Branche sowie Verwaltungen aller staatlichen Ebenen auf die sie sich schon jetzt vorbereiten müssen. Die Datenschutz-Grundverordnung ist ein komplexes Regelwerk, das umfassende Anpassungen in der Datenerfassung und -verwaltung von Unternehmen und Verwaltungen erfordert. So müssen zum Beispiel Unternehmen mit mehr als 250 Mitarbeitern einen Chief Data Privacy Officer (CDPO) etablieren und ihre Kunden unter bestimmten Umständen innerhalb von 72 Stunden informieren, wenn es zu einem Diebstahl von Kundendaten, zu einem Datenleck oder zu einer anderen Verletzung des Schutzes personenbezogener Daten gekommen ist. Bei Verstößen sieht die Verordnung drastische Strafen vor: Die maximale Geldbuße beträgt 20 Millionen Euro oder für Unternehmen bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr – je nachdem, welcher Wert der höhere ist.

In knapp einem Jahr ist es so weit: Jetzt müssen Vorbereitungen getroffen werden – in fünf Schritten

Es ist absolut unmöglich, dass jede Mitarbeiterin und jeder Mitarbeiter zum Daten-Sicherheitsexperten innerhalb des Unternehmens ausgebildet wird. Umso wichtiger ist es, dass sich die Unternehmen über grundlegende Fragen zur Datensicherheit und zum Datenschutz ihrer Kunden Gedanken machen.

Microsoft hat bereits Erfahrung gesammelt, Unternehmen bei der Einhaltung komplexer Bestimmungen zu unterstützen. Wichtige Fragen für Firmen sind zum Beispiel:

In welchem Rahmen ist mein Unternehmen von der Datenschutz-Grundverordnung betroffen?
Welche strukturellen Änderungen verlangt die Verordnung?
Wie beginne ich am besten mit den Vorbereitungen?
Welche Microsoft-Produkte und -Dienste helfen mir bei der Einhaltung der Datenschutz-Grundverordnung?

Microsoft hat fünf Schritte für den Einstieg in das Thema entwickelt:

Ermitteln, welche personenbezogenen Daten im Unternehmen vorhanden sind und wo sie liegen.
Kontrollieren, wie personenbezogene Daten genutzt werden und wie auf diese zugegriffen wird.
Die Daten schützen, indem Kontrollen geschaffen werden, um Risiken und Datenschutzverletzungen zu verhindern, zu erkennen und darauf reagieren zu können.
Berichten, indem die Anfragen von betroffenen Personen beantwortet und dokumentiert werden.
Überprüfen, wie die Daten und Systeme analysiert werden, fortlaufend die Einhaltung der Vorgaben kontrollieren und somit die Risiken von Diebstahl und Missbrauch verringern.

Microsoft unterstützt Unternehmen mit umfangreichen Funktionen bei der Einhaltung der Datenschutz-Grundverordnung. Damit Unternehmen zum Beispiel in der Lage sind, Datenlecks frühzeitig zu erkennen und darauf zu reagieren, bietet Microsoft mit Office 365 Advanced Threat Protection einen Echtzeitschutz für E-Mails. Die Windows Defender Advanced Threat Protection unterstützt Unternehmen beim Bekämpfen von Cyberangriffen auf Netzwerke. Advanced Threat Analytics gibt ihnen die Möglichkeit, Identitätskompromittierung über Machine Learning und Verhaltensanalysen frühzeitig zu erkennen.

Zudem steht Microsoft in intensivem Austausch mit Kunden, Regulierungsstellen und Normungsgremien, um die Anforderungen an den Datenschutz zu gewährleisten. Das gilt bis zum Inkrafttreten der Datenschutz-Grundverordnung und darüber hinaus.

Mehr Details zu Microsoft-Produkten, speziell zu Microsoft Azure, Dynamics 365, Office 365, Windows 10 und Windows Server 2016, und der Einhaltung der Datenschutz-Grundverordnung finden Sie hier: https://www.microsoft.com/de-de/trustcenter/privacy/GDPR

Microsoft Cloud und die Datenschutz-Grundverordnung

Microsoft verzeichnet eine wachsende Nachfrage nach Microsoft Cloud-Diensten in Deutschland und Europa. Dem aktuellen Cloud Monitor 2017 von Bitkom und KPMG zufolge nutzen bereits zwei von drei Unternehmen Cloud-Technologien. Dabei schließen kleine und mittelständische Unternehmen (KMU) zu den großen auf. Einen kräftigen Anstieg gibt es bei der Nutzung von Private-Cloud-Lösungen, während die Nutzung der Public Cloud geringer steigt. Noch immer verspüren also viele Unternehmen eine gewisse Unsicherheit gegenüber der Cloud: Man kann sie nicht sehen, angreifen oder fühlen und man gibt – bis zu einem gewissen Grad – die Verantwortung über seine Daten ab.

Sieben von zehn für den Cloud Monitor 2017 befragten, deutschen Unternehmen erwarten, dass Cloud-Anbieter ihre Rechenzentren ausschließlich in Deutschland betreiben. Unter diesen Voraussetzungen kann die Migration in die Public Cloud ein sinnvoller Schritt zu mehr Compliance im Unternehmen sein: Viele firmeneigene IT-Abteilungen haben nicht die Ressourcen oder die notwendige Erfahrung, um Datenschutz und Datensicherheit in einer sich stets wandelnden, technologischen Welt gewährleisten zu können.

Cloud-Computing gibt darauf die Antwort: Die Cloud ist die Plattform für Lösungen rund um das Internet der Dinge (IoT) und künstliche Intelligenz (KI). Mit einem Cloud-Anbieter im Hintergrund können Unternehmen sich auf ihr Kerngeschäft konzentrieren und die Erfahrung der Cloud-Anbieter etwa im Bereich Datenschutz und -sicherheit nutzen.

Microsoft gewährleistet, dass bis zum Inkrafttreten der Verordnung am 25. Mai 2018 die Microsoft Cloud-Dienste mit der Datenschutz-Grundverordnung rechtskonform sein werden. Das schließt Produkte wie Office 365, Dynamics 365, Microsoft Azure, SQL Server, Enterprise Mobility + Security und Windows 10 ein.

Die Ziele der DSGVO stimmen mit dem bereits seit langem bestehenden Zusagen von Microsoft im Hinblick auf Sicherheit, Datenschutz und Transparenz überein. Microsofts Rechenzentren nutzen weltweit einheitliche, geprüfte und bewährte Technologien und bieten die gleichen Service-Level und Sicherheitsstandards, z.B. Datenverschlüsselungen nach aktuellen SSL/TLS-Protokollen.

Microsoft Cloud Deutschland

Microsoft ist mit der Microsoft Cloud Deutschland speziell auf die Bedürfnisse von deutschen Kunden mit strengen Compliance-Richtlinien, die zumeist unternehmensintern aufgesetzt wurden, eingegangen. Das Angebot richtet sich besonders an datensensible Branchen mit strengen Compliance-Vorgaben, wie dem öffentlichen Sektor und Bildungswesen oder der Finanzindustrie. Wie auch für die globalen Cloud-Services gewährleistet Microsoft, dass die Angebote aus der Microsoft Cloud Deutschland den Anforderungen der Datenschutz-Grundverordnung entsprechen. Im Vergleich zu der Microsoft Cloud erfüllt die Microsoft Cloud Deutschland zwei zusätzliche, spezifische Anforderungen von Kunden:

Die Dienste der Microsoft Cloud Deutschland werden aus deutschen Rechenzentren in Frankfurt/Main und Magdeburg bereitgestellt. Die Kundendaten werden ausschließlich in Deutschland gespeichert.
Nur der Datentreuhänder hat die Kontrolle über den Zugriff auf Kundendaten, soweit der Zugriff nicht vom Kunden oder von Endnutzern des Kunden ausgeht. Ohne Zustimmung des Datentreuhänders oder des Kunden erhält Microsoft keinen Zugriff. Wird diese Zustimmung durch den Datentreuhänder erteilt, beispielsweise im Rahmen einer Wartung oder einer Support-Anfrage, greift Microsoft nur unter dessen Aufsicht zeitlich begrenzt und nachvollziehbar auf die Kundendaten zu.

Seit September 2016 steht die Microsoft Cloud Deutschland mit Microsoft Azure, Office 365 und seit gestern auch mit Dynamics 365 für Unternehmenskunden aus Deutschland, der Europäischen Union und der Europäischen Freihandelszone (EFTA) zur Verfügung.

Mit den Angeboten der Microsoft Cloud und der Microsoft Cloud Deutschland geht Microsoft auf die unterschiedlichsten Bedürfnisse und Bedenken von Unternehmen zum Thema Datenschutz ein, und gibt praktische Hilfestellung, nicht nur die eigenen Bedürfnisse, sondern auch die regulatorischen Anforderungen an die Sicherheit im Unternehmen zu erfüllen. Microsoft ist für die DSGVO gerüstet und hilft Unternehmen, auch ab dem 25. Mai 2018 rechtskonform zu handeln.

Roadmap Security: Microsoft plädiert für eine Digitale Genfer Konvention

Microsoft hat bereits vor einiger Zeit feste Datenschutz-Prinzipien aufgestellt, welche der Entwicklung von Microsofts Produkten und Diensten zugrunde gelegt werden.

Microsoft geht noch einen wichtigen Schritt weiter und plädiert zudem für einen Schutz der Systeme, mit denen diese Daten verarbeitet werden: Brad Smith, President und Chief Legal Officer von Microsoft, ruft in seinem Blogbeitrag vom Februar 2017 dazu auf, eine Digitale Genfer Konvention zu formulieren: Regierungen sollen sich verpflichten, die Zivilbevölkerung vor nationalstaatlichen Cyber-Angriffen auch in Friedenszeiten zu schützen. Er fordert Regierungen und Technologieanbieter auf, sich auf internationale Normen zur Cybersicherheit zu verständigen.

Ein Beitrag von Michael Kranawetter, National Security Officer

und
Milad Aslaner, Senior Product Manager für Cyber Security bei Microsoft Deutschland

Zum Weiterlesen: