Datenschutz, ePrivacy und Cybersicherheit – künftige Herausforderungen für die Hosting-Industrie
Beim diesjährigen CloudFest im Europa-Park Rust fand sich die Hosting-Industrie zusammen, gemäß dem Motto „Work Hard, Play Hard“. Die als World Hosting Days bekannte Veranstaltungsreihe zählt zu den größten Events im Bereich Cloud-Technologie, Webhosting und Internet-Infrastruktur in Vereinbarkeit mit Datenschutz, ePrivacy und Cybersicherheit, an der die PSW GROUP seit Jahren mit einem Messestand vertreten ist. Neben der Messeveranstaltung konnten die mehr als 7.000 Teilnehmer aus aller Welt an englischsprachigen Workshops, Diskussions-Panels und Vorträgen teilnehmen.
Einer der Sprecher war unser Mitarbeiter Maik Müller, der als externer Datenschutzbeauftragter (DSB-TÜV) für Kundenunternehmen der PSW GROUP im Bereich Datenschutz tätig ist und die Unternehmen zu den relevanten Gesetzen im Bereich Datenschutz, DSGVO und BDSG sowie Datensicherheit berät. Zu seinen weiteren Aufgabenbereichen zählt seine Funktion als Datenschutz-Koordinator für die PSW GROUP, wobei der Datenschutz im Internet für die PSW GROUP als Anbieter von SSL-, E-Mail- sowie Code-Signing-Zertifikaten sehr wichtig ist. In seinem Vortrag auf dem CloudFest 2019 berichtet Maik Müller über die künftigen Herausforderungen für die Hosting-Industrie in Bezug auf Datenschutz, ePrivacy und Cybersicherheit:
Relevante Gesetze für Datenschutz und die ePrivacy-Verordnung
Eine der Herausforderungen für die Hosting-Industrie ist die künftige ePrivacy-Verordnung, die die Nachfolge der in 2002 eingeführten ePrivacy-Richtlinie der Europäischen Union sein könnte. Ob und wann die ePrivacy-Verordnung kommen wird, hängt von den Verhandlungen der europäischen Mitgliedstaaten ab. Die seit 2009 gültige europäische Cookie-Richtline ergänzt die Vorgaben in Bezug auf Nutzerverfolgung (Tracking). Die neue ePrivacy-Verordnung sollte ursprünglich zeitgleich mit der neuen EU Datenschutz Grundverordnung (EU-DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG n. F.) als Ergänzung gelten. Eine Verordnung der Europäischen Union hat eine direkte Rechtswirkung für alle Mitgliedstaaten. Richtlinien müssen von den Ländern in nationales Recht umgesetzt werden.
Over-the-top Services
Es gibt eine Diskrepanz zwischen traditionellen Telekommunikationsanbietern und Over-the-top Services, wie z.B. Instant Messaging, Video Chat und Voice-over-IP.
Anbieter von OTT-Dienstleistungen haben das Recht, sowohl Metadaten als auch Kommunikationsinhalte der Nutzer zu verarbeiten, da die Nutzer Ihre Einwilligung für diese Zwecke gegeben haben als sie sich bei diesen Diensten registriert haben. Wenn die Nutzer nicht der Nutzung ihrer personenbezogenen Daten zugestimmt hätten, könnten Sie diese Dienste nicht nutzen. Hier liegt aus Sicht der EU Datenschutz Grundverordnung bereits ein Verstoß gegen das Kopplungsverbot vor. Die Datenschutz Grundverordnung verbietet den Ausschluss von Nutzern, wenn von den Diensteanbietern verlangt wird, dass sie die personenbezogenen Daten verarbeiten dürfen und die Nutzer einwilligen müssen. Oft haben die Nutzer nur die Möglichkeit, die Nutzungsbedingungen zu akzeptieren, um die Dienste nutzen zu können. Bei Ablehnung der gesamten Nutzungsbedingungen werden sie einfach vom Dienst ausgeschlossen. Hier soll die ePrivacy-Verordnung zu Gunsten der Privatsphäre der Nutzer nachbessern und die Betroffenenrechte stärken. Eine Einwilligung der Nutzer zur Verarbeitung und Analyse ihrer Metadaten und Kommunikationsinhalte darf von den OTT-Dienstleistern nicht erzwungen werden. Diese Dienste, wie Instant Messaging, müssen auch ohne die Nutzereinwilligung möglich sein. Vor allem soll der Nutzer sich dann aber auch darauf verlassen können, dass er nicht überwacht wird.
So herrscht momentan eine „Waffenungleichheit“ zwischen traditionellen Mobilfunkanbietern und z.B. WhatsApp und Co. Die klassischen Mobilfunkdienstleister möchten neben den Metadaten Ihrer Kunden ebenfalls deren Kommunikationsinhalte analysieren dürfen und neue Geschäftsmodelle daraus ableiten. Dies dürfen Sie zum jetzigen Zeitpunkt nicht, da diese traditionellen Telekommunikationsanbieter an die „alte“ ePrivacy-Richtlinie aus dem Jahre 2002 gebunden sind – und Over-the-Top Services eben nicht.
In Ergänzung zur Datenschutz Grundverordnung wird sich die künftige ePrivacy-Verordnung nicht nur auf die Endnutzer beziehen sondern auch auf Unternehmen und sonstige Institutionen. Als Rechtsgrundlage der Verarbeitung personenbezogener Daten soll die Einwilligung der Nutzer wichtiger sein als die sog. berechtigten Interessen der Unternehmen bzw. Diensteanbieter.
Die ePrivacy-Verordnung wird somit die Regelungen der Datenschutz Grundverordnung im Bereich der elektronischen Kommunikation konkretisieren und somit verschärfen. Die Datenschutz-Aufsichtsbehörden werden die gleichen Kompetenzen wie unter der DSGVO haben und können strenge Bußgelder verhängen.
Reform der Cybersicherheit
Jedoch bietet die ePrivacy-Verordnung keine ausreichenden Schutzmaßnahmen für die Cybersicherheit. Daher wurde im Dezember 2018 der Cybersecurity Act in der Europäischen Union verabschiedet. Mit diesem Rechtsakt für Cybersicherheit wird auch ein EU-Rahmen für die Cybersicherheitszertifizierung geschaffen, der die Cybersicherheit von Online-Diensten und von Endgeräten für Nutzer stärkt. Somit soll in der Europäischen Union eine starke Widerstandsfähigkeit und eine schnelle Reaktion auf Cyberangriffe gewährleistet werden, um die Datensicherheit zu wahren. Cyberattacken verursachen einen weltweiten wirtschaftlichen Schaden von 400 Mrd. Euro jährlich.
Neuer Datenschutz-Standard für Rechenzentren
Da Rechenzentren eine wichtige Rolle bei der Cybersicherheit spielen, wurde ein erster europaweiter Standard für Rechenzentren geschaffen. Diese Norm DIN EN 50600 adressiert die fundamentalen Parameter Verfügbarkeit, physische Sicherheit und die Fähigkeit energieeffizienten Betriebs. Deshalb schafft die Möglichkeit der Zertifizierung von Rechenzentren für Kunden die Vergleichbarkeit und Transparenz von Rechenzentrumsangeboten (Hosting, Infrastructure-as-a-Service, Software-as-a-Service, Datenschutz etc.).
Unabhängig davon, dass jedes Rechenzentrum sich von anderen unterscheidet, schafft dieser Standard eine gewisse Vereinheitlichung und Vergleichbarkeit.
Fazit
Wichtig ist, dass die neuen Regelungen zur Privatsphäre und Datenschutz nicht nur für Unternehmen bei elektronischer Kommunikation gelten, sondern auch in Bezug auf Interaktionen mit Kunden in Ladengeschäften (z.B. WLAN-, Bluetooth- und Kamera-Tracking) und Direktwerbung per Post. Welche Weichen nun gestellt werden sollten, um die Vorgaben der kommenden ePrivacy-Verordnung zu erfüllen, ist abhängig vom politischen Diskurs innerhalb der Mitgliedstaaten der Europäischen Union bis die endgültige Fassung der ePrivacy-Verordnung beschlossen ist. Wie auch bei der Datenschutz Grundverordnung, wird es eine zweijährige Übergangsfrist bis zum Inkrafttreten der Verordnung geben.
Die Experten der PSW GROUP halten Sie dazu auf dem Laufenden. Wenden Sie sich für eine kostenlose Erstberatung gerne per Telefon, E-Mail oder Kontaktformular an uns. Darüber hinaus finden Sie aktuelle Informationen in unserem Blog.
Disclaimer: In diesem Artikel wird das generische Maskulinum genutzt (z.B. „Nutzer“). Dies bezieht sich auf alle natürlichen Personen unabhängig von deren Geschlecht.