Ein Jahr vor der DSGVO: Unternehmen und der Datenschutz

Ab dem 25. Mai 2018 wird der Datenschutz in Europa vereinheitlicht. Darauf zielt die EU-Datenschutz-Grundverordnung (DSGVO) ab.

Das Regelwerk, die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, wurde im April 2016 im EU-Parlament verabschiedet und am 4. Mai 2016 im EU-Amtsblatt veröffentlicht.

In Europa gibt es Richtlinien, die von den EU-Staaten in nationales Recht umgesetzt werden müssen und Verordnungen, die unmittelbar geltendes Recht sind. Auch das bisherige Bundesdatenschutzgesetz (BDSG) wird durch das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) ersetzt.

Einen Plan, wie ein DSGVO-konformer Umgang mit personenbezogenen Daten aussieht, haben nur die wenigsten Unternehmen. Das ergab eine Befragung unter 900 Führungskräften aus Australien, Deutschland, Frankreich, Japan, Singapur, Südkorea, den USA und dem Vereinigten Königreich im Frühjahr 2017.

Es wird also Zeit, sich dringend um Datensicherheit und Datenschutz kümmern.

Vor allem folgende Schwerpunkte sollte man nicht aus den Augen verlieren:

„Recht auf Vergessenwerden“

Personen haben das Recht, ihre Daten plus Links löschen zu lassen, wenn ihre Daten rechtswidrig verarbeitet oder behandelt wurden. Für mehr Transparenz räumt der Gesetzgeber Personen ein Auskunftsrecht ein, um den Zweck der Datenverarbeitung, Speicherdauer, Empfänger der Daten und vieles mehr abzufragen. Außerdem können Verbraucher ihre Daten mitnehmen, wechseln sie zu einem anderen Anbieter.

Auf der anderen Seite ergeben sich für Unternehmen umfangreiche Informations- und Dokumentationspflichten. So kann die Aufsichtsbehörde einen Datenverarbeiter auffordern, nachzuweisen, dass er mit den persönlichen Informationen korrekt umgeht.

Bei Verstößen gegen die DSGVO drohen Unternehmen drakonische Strafen bis zu 20 Millionen Euro oder bis zu vier Prozent ihres weltweit erzielten Jahresumsatzes. Es greift der höhere Wert. Wer künftig die technischen und organisatorischen Maßnahmen für die Datensicherheit und den Datenschutz nicht ergreift, muss auch Bußgeld zahlen.

Verpflichtung zur Datensparsamkeit

Die EU verpflichtet Unternehmen dazu, sich so aufzustellen, dass sie Daten vermeiden. Für das Prinzip der Datensparsamkeit schreibt die DSGVO Privacy by Design und Privacy by Default vor. Die Technik realisiert den Datenschutz.
Als erstes müssen sich Unternehmen klar machen, welche personenbezogenen Daten sie speichern und verarbeiten. Das bildet die Grundlage, um überhaupt Daten zu klassifizieren und Risiken zu bewerten. Nachvollziehbar müssen die Rechte sein, wer wo und wie auf Daten zugreift, diese bearbeitet, löscht und überträgt. Das Managen und Melden von Verstößen einschließlich einer IT-Forensik zu Störungen gehört ebenso abgedeckt, wodurch privilegierte Benutzer im Fokus stehen.
Das Verschlüsseln und das Pseudonymisieren der Daten vor dem Verarbeiten führt die Verordnung explizit auf.
Dort steht aber auch, dass die Informationspflicht bei Verschlüsselung und Pseudonymisierung entfällt.
Ansonsten müssen Unternehmen Sicherheitsvorfälle und -verstöße innerhalb von 72 Stunden melden.

Hinweise:

Der Weg zum einheitlichen Datenschutz in der EU ist vorgezeichnet. Den müssen alle Unternehmen mitgehen. Einfache Lösungen von der Stange gibt es nicht, denn im Optimalfall werden Firmenprozesse, interne wie externe Best Practices und organisatorische Bedürfnisse berücksichtigt und gegen die neuen Anforderungen evaluiert. Mögliche Schwerpunkte liegen im Datenmapping, um Datenportabilität, Zugriffsrechte und das Recht auf Löschen umzusetzen.

Es gilt nun, den Datenschutzauftrag der EU ernst zu nehmen und sofort anzugehen – dann muss kein Unternehmen dem 25. Mai 2018 mit Sorge entgegenblicken. Vielmehr bietet die DSGVO Unternehmen die Chance, über das  „Verzeichnis der Verarbeitungstätigkeiten“ einen genauen Überblick über alle Datenverarbeitungsprozesse und den gespeicherten Daten zu erhalten.

Zudem profitiert jedes Unternehmen sicherheitstechnisch davon, eine aktuelle Risikoeinschätzung vorzunehmen und mögliche Risiken über entsprechende Aktivitäten nachhaltig zu minimieren.

Quelle und mehr: e-Commerce Magazin

2017-05-29

Print Friendly, PDF & Email