Freitag, 28. April 2017

Was Sie über die DSGVO/GDPR wissen sollten



von Caroline Metzen

Die neue EU-Datenschutz-Grundverordnung (GDPR - General Data Protection Regulation) gilt ab dem 25. Mai 2018. Unternehmen sollten frühzeitig anfangen, sich auf die neuen Richtlinien vorzubereiten.

Im November 2016 wurde die Tesco Bank Opfer einer Cyberattacke, bei der 2,5 Millionen Pfund von mehr als 20.000 Kundenkonten gestohlen wurden. Sollte das Information Commissioner’s Office (ICO) entscheiden, dass Tesco sich nicht an vorgeschriebene Sicherheitsvorkehrungen gehalten hat, um persönliche Kundendaten zu schützen, droht eine Strafe von bis zu 500.000 Pfund. Unter der neuen EU-Verordnung können für einen solchen Verstoß dagegen bis zu 1,9 Milliarden Pfund fällig werden.

Ab Mai 2018 gilt die neue, strengere Datenschutz-Verordnung. Verstöße können hohe finanzielle Strafen nach sich ziehen. Unternehmen, die personenbezogene Daten von EU-Bürgern nutzen oder speichern, müssen daher entsprechende Vorbereitungen treffen.

Wir haben für Sie vorab die wichtigsten Dinge zusammengestellt, die Sie über die Verordnung wissen müssen, um sich auf die Implementierung in 2018 vorzubereiten.


1. Verstehen Sie, wen die DSGVO/GDPR betrifft


Sobald Sie mit Daten von EU-Bürgern zu tun haben, ist die DSGVO auf Sie anwendbar, unabhängig vom Standort Ihres Unternehmens. Für alle Unternehmen weltweit gilt in dem Fall der gleiche Sicherheitsstandard. Damit kann auch rechtlich gegen diese vorgegangen werden, egal in welcher geografischen Region sie ansässig sind.

Bereits 70% der Unternehmen rechnen damit, Ihre Ausgaben erhöhen zu müssen, um die neuen Vorschriften zur Datensicherheit erfüllen zu können. (Quelle: Ovum)


2. Verstehen Sie, was zu personenbezogenen Daten zählt


Die DSGVO weitet die Definition von personenbezogenen Daten aus. Der Data Protection Act 1998 (DPA) versäumte beispielsweise die Identifizierung von genetischen und biometrischen Informationen als personenbezogene Daten – die DSGVO berücksichtigt hingegen auch diese.

Die breite Definition bedeutet, dass nun fast alle Kundeninformationen zur Kategorie der “personenbezogenen Daten” zählen. Ihr Unternehmen muss die signifikanten Veränderungen der kommenden Regulierung verstehen, alle Daten ausreichend sichern und so Strafen vermeiden.

3. Prüfen Sie die AGB Ihres Unternehmens


Die DSGVO führt neue Richtlinien zur Notwendigkeit einer expliziten Einwilligung vor der Nutzung von Daten ein. Unternehmen sollen für die Aufforderung zur Einwilligung eine einfachere und verständliche Sprache wählen und deutlicher machen, wie die Daten verwendet werden. Zu lange, unklare und komplizierte AGB werden nicht mehr zugelassen.

EU-Bürger erhalten einen größeren Einfluss darauf, was mit ihren Daten passiert, einschließlich der Löschung und Weitergabe der Daten.

Eingeführt wird außerdem das Prinzip der Datenminimierung: Unternehmen dürfen Daten nicht länger behalten als unbedingt nötig. Damit soll unter anderem verhindert werden, dass die Art der Datennutzung sich zu einem späteren Zeitpunkt im Vergleich zum ursprünglich vereinbarten Nutzungszweck ändert. Dazu müssen Unternehmen zukünftig noch einmal gezielt nach Erlaubnis fragen.

4. Sie müssen Privacy Impact Assessments durchführen


Nach der DSGVO/GDPR müssen für jedes Projekt, bei dem ein Risiko von Datenschutzverstößen besteht, Privacy Impact Assessments (PIAs) durchgeführt werden.

Projekte, die mit personenbezogenen Informationen zu tun haben, dürfen nicht gestartet werden, bevor eine Risikoeinschätzung vorgenommen wurde. Ihr Unternehmen muss eng mit einem Datenschutzbeauftragten zusammenarbeiten, um Compliance in allen Projekten zu gewährleisten.

Sicherheit muss als Kernvoraussetzung in allen Projekten implementiert werden.

5. Sie könnten einen Datenschutzbeauftragten benötigen


Die EU DSGVO macht Richtlinien nicht länger von der Unternehmensgröße oder Mitarbeiterzahl abhängig.

Wenn Ihre Organisation in eines der folgenden drei Szenarien passt – beschrieben in Artikel 37 – ist es Pflicht, einen Datenschutzbeauftragten einzusetzen. Die Benennung eines Datenschutzbeauftragten ist notwendig, wenn die Kernaktivitäten Ihrer Organisation eine der folgenden Tätigkeiten beinhalten:
  • Verarbeitung personenbezogener Daten durch Behörden
  • Regelmäßige und systematische Überwachung von Personen
  • Umfangreiche Verarbeitung besonderer Daten, z.B. biometrischer oder genetischer Daten

Die Aufgabe des Datenschutzbeauftragten ist es, die betriebliche Compliance zu den Regularien zu überwachen und alle Ergebnisse an die höchste Management-Ebene zu berichten. Eine Studie der International Association of Privacy Professionals (IAPP) schätzt, dass in den nächsten zwei Jahren weltweit 75.000 Datenschutzbeauftragte bzw. Data Privacy Officers (DPOs) eingesetzt werden müssen.

Für diejenigen mit mindestens zwei Jahren Erfahrung im Bereich Datenschutz eignet sich beispielsweise die Certified Data Protection Officer Zertifizierung, um die Kenntnisse zur Erfüllung der Datenschutzverordnung zu erlangen.

6. Regelmäßiges Reporting und Monitoring ist notwendig


Zusätzlich zum Umgang mit Daten regelt die DSGVO auch die Art und Weise, wie Ihr Unternehmen bei einem Sicherheitsvorfall oder Verstoß reagieren muss.

Dies beinhaltet die Notwendigkeit, Datenschutzverletzungen innerhalb von 72 Stunden nach der Entdeckung an die lokalen Datenschutzbehörden zu melden.

Auf diese Weise werden Organisationen dazu angehalten, proaktiv bei der Identifizierung und dem Reporting von Sicherheitsvorfällen vorzugehen. Tools und Prozesse müssen eingesetzt werden, um ein entsprechendes Monitoring rund um die Uhr zu ermöglichen.


Bereiten Sie sich jetzt vor


Sie haben noch etwa ein Jahr Zeit, um sich auf die DSGVO/GDPR vorzubereiten. Wie beschrieben können umfangreiche Änderungen an der Art, wie Ihr Unternehmen Daten sammelt, bearbeitet, sichert und teilt, notwendig sein, um weitreichende finanzielle Strafen zu vermeiden.


Über den Autor:
Caroline Metzen schreibt für Firebrand Training über eine Reihe von IT-bezogenen Themen. Diese umfassen Prüfungen, IT-Training, IT-Zertifizierungen und -Trends, Projektmanagement, Karriereberatung und die IT-Branche.

Keine Kommentare:

Facebook Comments