17. September 2017 | pArtikel drucken | kKommentieren

Datenschutz Grundverordnung ab 2018: Das verlangt die EU

Die europäische Datenschutz-Grundverordnung (DSGVO) wurde im April 2016 von den EU-Mitgliedsstaaten beschlossen und soll die bestehenden Datenschutzregelungen modernisieren. Ziel ist es, die Privatsphäre der Nutzerdaten europäischer Bürger zu schützen und das Datenschutzrecht aller EU-Staaten zu vereinheitlichen. Langsam aber sicher rückt der Stichtag im Mai 2018 näher, an dem die Regelungen von Unternehmen umgesetzt sein müssen. Wie sieht es bei Ihnen aus?  Am 26. Oktober 2017 können Sie in Bad Homburg an einem Seminar von KWP INSIDE HR rund um das Thema EU-Datenschutzgrundverordnung teilnehmen. Mehr Infos zu dem Seminar finden Sie hier. Im folgenden Beitrag möchten wir Ihnen zeigen, was sich durch die DSGVO ändern wird und Ihnen unverbindliche Tipps an die Hand geben, die Sie bei der Umsetzung beachten sollten.

Lesen Sie weiter auf CANCOM.info

Momentan läuft die Übergangsphase für die DSGVO oder GDPR (General Data Protection Regulation), wie sie international auch genannt wird. Europäische Firmen und Behörden haben jetzt also noch Zeit, ihre Anwendungen, Prozesse und Dokumente so vorzubereiten, dass sie nach dem 25. Mai 2018 mit europäischen Recht konform sind, ansonsten drohen hohe Bußgelder. Die EU-Kommission hat sich bewusst dafür entschieden, Verstoße gegen die DSGVO mit Geldstrafen zu belegen, um die Umsetzung zu forcieren.


Dieser Beitrag richtet sich an:

● Datenschutzbeauftragte, die vor der Herausforderung stehen, die Regelungen der EU-Datenschutz-Grundverordnung umzusetzen
● IT-Entscheider, die entsprechende Tools in ihre interne Firmennetzwerke implementieren müssen
● Rechtsberater, die die Umsetzung der Richtlinien überwachen und prüfen


Die EU-Kommission hat sich bewusst dafür entschieden, Verstoße gegen die DSGVO mit Geldstrafen zu belegen. (Quelle: Garsya/iStock)

Diese sind von der EU tatsächlich empfindlich hoch angesetzt worden und weichen deutlich von dem ab, was die Mitgliedstaaten bisher selbst festlegen durften. Abhängig von der Art, Schwere und Dauer der Verstöße können Unternehmen nun dazu verpflichtet werden bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes zu zahlen, je nachdem welcher der höhere Wert ist.

Das Besondere dabei ist, dass die Verordnung auch für Unternehmen außerhalb der EU gilt, sofern diese Daten von EU-Bürgern verarbeiten. Damit Sie von Bußgeldern verschont bleiben, möchten wir Ihnen zeigen, was sich durch die DSGVO ändern wird und ihnen unverbindliche Tipps an die Hand geben, die Sie bei der Umsetzung beachten sollten. Eine Reihe von Kurzpapieren zum Thema hat die Bundesbeauftragte für den Datenschutz und Informationsfreiheit auf ihrer Webseite veröffentlicht.

Die wichtigsten Änderungen der Datenschutz-Grundverordnung

1. Anzeigepflicht bei Datenschutzverstößen

Nach der neuen Regelung werden Unternehmen in Mitgliedstaaten dazu verpflichtet sein, Datenschutzverstöße innerhalb von 72 Stunden zu melden, nachdem sie entdeckt worden sind. Dies betrifft solche Lecks, “die ein Risiko für die Rechte und Freiheiten von Individuen” darstellen können, wie es auf der englischen Seite der DSGVO heißt. Hierbei darf es keine Verzögerungen bei der Benachrichtigung von Nutzern oder Kunden geben.

Handlungsempfehlung: Auch wenn es viele Unternehmen gerne abstreiten, aber Sicherheitslecks kommen in den größten und vermeintlich sichersten Unternehmen vor. Neben dem Schutz des eigenen Netzwerks und der Daten von außen, sollten Sie sich zudem für den Fall der Fälle vorbereiten. Erstellen Sie regelmäßige Backups von Nutzerdaten, die nicht überschrieben werden können.

Im Falle eines Ransomeware-Angriffs, wie beispielsweise allein dieses Jahr durch WannaCry, EternalRocks oder Petya, lassen sich die Daten so wiederherstellen. Eine Instant-Recovery-Plattform kann Kompromitiertes in einem solchen Fall automatisiert wiederherstellen und minimiert Ausfallzeiten, Datenverlust und vermeidet bei Ransomware die etwaige Zahlung von Lösegeld.

2. Zugriffsrechte

Die Unternehmen müssen auf Anfrage eine kostenlose, elektronische Kopie sämtlicher Nutzerdaten an Sie versenden. (Quelle: Warchi/iStock)

Die Unternehmen sind verpflichtet, ihren Nutzern auf Anfrage Auskunft darüber zu erteilen, ob sie von ihnen persönliche Daten erheben und wo und zu welchem Zweck diese verarbeitet werden. Darüber müssen die Unternehmen auf Anfrage eine kostenlose, elektronische Kopie sämtlicher Nutzerdaten versenden, was für deutlich mehr Datentransparenz sorgen soll.

Handlungsempfehlung: Solche Anfragen können schnell zum Albtraum werden oder aber zur einfachen Fingerübung, wenn sie alle Daten eines Anwenders schnell automatisiert mit den richtigen Tools finden und bündeln. Cloud Data-Management-Tools können diesen Prozess vereinfachen und werden beispielsweise von Microsoft angeboten.

Diese Tools sorgen bereits vor solch einer Anfrage für Compliance, indem Aufbewahrungsrichtlinien eingehalten und die Einhaltung überwacht wird. Von der Erfassung über die Aufbewahrung bis zur potenziellen Löschung kann hier alles automatisiert erfolgen und dank Reportings bis ins kleinste Details nachverfolgt werden. Somit stellen Sie dem Nutzer einen lückenlosen Datensatz zur Verfügung.

3. Das Recht vergessen zu werden

Dieser Punkt ist relativ selbsterklärend und sichert allen Nutzern das Recht zu, dass ihre personenbezogenen Daten auf Anfrage von erhebenden Unternehmen gelöscht werden müssen. Der entsprechende Artikel 17 legt außerdem fest, dass Nutzer auch verlangen können, dass Unternehmen ihre Daten nicht weiterverarbeiten oder von Dritten weiterverarbeiten lassen können. Das schließt Daten ein, die nicht mehr für den ursprünglichen Zweck der Erhebung erfasst wurden.

Handlungsempfehlung: Hier müssen Unternehmen ebenfalls dafür sorgen, dass sämtliche nutzerbezogenen Daten nachverfolgbar sind, ebenso wie Metadaten, die daraus generiert werden können. Eine komplette Löschung kann hier eine echte Herausforderung darstellen, wenn die Daten vorher nicht entsprechend aufbereitet werden oder mühsam gesucht werden müssen.

4. Datenportabilität

Datenportabilität: Daten können auch selbst geprüft oder in andere Länder übertragen werden, beispielsweise nach einer Auswanderung. (Quelle: PeopleImages/ iStock)

Die Datenschutz-Grundverordnung führt zum ersten Mal in dieser Form die Möglichkeit ein, persönliche Daten in einem maschinenlesbaren Format zu erhalten, das an andere Stellen übertragen und wieder implementiert werden kann. Dies soll für zusätzliche Transparenz sorgen, indem es dem Nutzer erlaubt, seine Daten auch selbst zu prüfen oder in andere Länder übertragen zu können, beispielsweise nach einer Auswanderung.

Handlungsempfehlung: Hier ist ebenfalls die Erfüllung von Compliance-Richtlinien notwendig, um anfragenden Personen komplette und sauber aufbereitete Datensätze zur Verfügung zu stellen. Hier kann es etwas undurchsichtig werden, wenn ein Teil der Daten mit Clouddiensten verarbeitet wird und ein Teil auf eigenen Servern.

5. Eingebauter Datenschutz

Dieser Ausdruck ist auch als das Konzept “Privacy by Design” bekannt und jetzt als Bestandteil in die Datenschutz-Grundverordnung eingeflossen. Das Konzept sagt aus, dass Datenschutz in die Entwicklung von Geschäftsprozessen für Services integriert wird, statt diesen zu einem späteren Zeitpunkt zu ergänzen. Zudem sollen dank Datenminimierung nur unbedingt notwendige Daten verarbeitet werden, um den Schutz weiter zu erhöhen.

Handlungsempfehlung: Hier bieten sich zahlreiche Möglichkeiten an, den Datenschutz intern sicherzustellen. Die End-to-End-Verschlüsselung beispielsweise, die dafür sorgt, dass Daten nur an den Endpunkten mittels AES-256-Schlüsseln en- und decodiert werden und nur dort lesbar sind. Hardwareseitig gibt es FIPS 140-2 Level-2-zertifizierte Lösungen.

Zudem können Daten auf der gesamten “Wegstrecke” verschlüsselt werden, das heißt sowohl bei der Übertragung (in-flight), wie auch im Ruhezustand auf Datenspeichern (at-rest). Das garantiert den Datenschutz unabhängig vom Standort und kann zudem über rollenbasierte Zugriffskontrolle ergänzt werden, sodass Unbefugte selbst dann nicht auf Daten zugreifen können, wenn sie sie entschlüsseln können.

Weniger Bürokratie bei Datenschutzbeauftragten

Die Datenschutz-Grundverordnung legt darüber hinaus fest, dass bei multinationalen Konzernen nicht mehr der Datenschutzbeauftragte des jeweiligen Landes benachrichtigt werden muss, sondern dieser Prozess deutlich vereinfacht werden soll. So treten stattdessen Auflagen in Kraft, die die Benachrichtigung und Aufbewahrung regeln, sodass hier eine Menge bürokratischer Aufwand wegfällt, während der Meldeprozess entschlackt und effizienter wird.

 

Quelle: artJazz/iStock

 

Mittelstand.Heute Redaktion

Hier schreibt Mittelstand.Heute Redaktion für Sie

Mehr Artikel vom Autor

Schreiben Sie einen Kommentar

Mit einem Netzwerk anmelden, oder das Formular ausfüllen. Die E-Mailadresse wird nicht veröffentlicht. Notwendige angaben sind mit * gekennzeichnet.