Neue EU-Datenschutzregeln für Unternehmen

Ab Mai 2018 gilt die neue EU-Datenschutzgrundverordnung (DGSVO). Unternehmen müssen sich darauf einstellen. In diesem Beitrag zeigen wir deshalb, welche Anforderungen diese Neuregelung mit sich bringt.

Sobald die DGSVO am 25. Mai 2018 in Kraft tritt, müssen Firmen, die Geschäfte in EU-Ländern abwickeln, einiges beachten. Die Verordnung regelt, wie persönliche Daten von Bürgern bei EU-internen Transaktionen gespeichert und geschützt werden müssen sowie den Export dieser Daten in Länder außerhalb der Europäischen Union. Alle Unternehmen, die persönliche Daten von EU-Bürgern speichern, müssen sich dann an diese Richtlinien halten.

Die Vorschriften gelten in allen 28 EU-Mitgliedsstaaten. Da die neue Regelung alle Unternehmen betrifft, die mit Daten von EU-Bürgern arbeiten, gilt sie auch, wenn sich der Firmensitz außerhalb der EU befindet. Der Standard gilt als relativ hoch und wird innerbetriebliche Umstellung und auch Investitionen erfordern.

Die DSVGO umfasst 99 Artikel, welche die Rechte von EU-Bürgern, die Anforderungen an Unternehmen und die Strafen bei Nichteinhaltung festlegen. Im Folgenden sehen Sie hier eine Zusammenfassung der wichtigsten Regeln der Datenschutzgrundverordnung. Den gesamten Gesetzestext finden Sie hier.

Artikel 5, Verarbeitung personenbezogener Daten: Alle personenbezogenen Daten müssen auf rechtmäßige und nachvollziehbare Weise verarbeitet und nur für festgelegte Zwecke erhoben werden. Die Daten dürfen dabei in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Die Daten müssen dabei in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet – einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen. Diese Maßnahmen wiederum sind nicht genau definiert. Es ist aber davon auszugehen, dass ein Unternehmen im Falle eines Datendiebstahls als nicht konform eingestuft wird.

Artikel 6, 7 & 8, Zustimmung: Alle personenbezogenen Daten müssen auf rechtmäßige Weise verarbeitet werden. Das bedeutet im Klartext, dass jedes Individuum der Nutzung seiner persönlichen Daten ausdrücklich zustimmen muss. Die gesammelten Daten müssen außerdem nötig sein, um eine Aufgabe oder Transaktion abschließen zu können, die von der betreffenden Person veranlasst wurde. Ausgenommen sind hier nur Behörden.

Artikel 15, Auskunftsrecht: EU-Bürger haben das Recht, auf Nachfrage zu erfahren, welche ihrer persönlichen Daten ein Unternehmen zu welchen Zwecken nutzt.

Artikel 17, Recht auf Löschung: Unternehmen müssen auf Verlangen eines EU-Bürgers dessen persönliche Daten löschen.

Artikel 20, Recht auf Datenübertragbarkeit: Die Bürger der Europäischen Union können auf Verlangen den Transfer ihrer persönlichen Daten veranlassen.

Artikel 25 & 32, Datenschutz: Unternehmen müssen geeignete technische Maßnahmen treffen, um den Anforderungen zu genügen. Was genau „angemessen“ im Sinne der DSGVO/GDPR bedeutet, ist in Artikel 32 näher ausgeführt.

Artikel 33 & 34, Meldepflicht: Unternehmen müssen Sicherheitsvorfälle innerhalb von 72 Stunden nach Bekanntwerden an die zuständigen Behörden und auch die betroffenen Personen melden.

Artikel 35, Folgenabschätzung: Firmen sind dazu verpflichtet, eine Datenschutz-Folgeabschätzung vorzunehmen, um die Risiken für EU-Bürger einschätzen zu können. Die Abschätzung muss auch darüber informieren, welche Maßnahmen das Unternehmen trifft, um die entstandenen Risiken zu minimieren.

Artikel 37, 38 & 39, Datenschutzbeauftragter: Einige Unternehmen sind dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, der sowohl die Datenschutzstrategie als auch die DSGVO/GDPR-Konformität überwacht und sicherstellt. Einen Datenschutzbeauftragten brauchen diejenigen Unternehmen, die große Mengen persönlicher Daten von EU-Bürgern speichern oder verarbeiten und regelmäßige Datenprüfungen durchführen. Auch staatliche Behörden müssen einen Datenschutzbeauftragten einsetzen. Die International Association for Privacy Professionals (IAPP) geht davon aus, dass derzeit rund 28.000 Stellen für Datenschutzbeauftragte zu besetzen sind.

Artikel 50, Internationale Zusammenarbeit: International tätige Unternehmen, die personenbezogene Daten von EU-Bürgern sammeln, speichern oder verarbeiten, müssen den Richtlinien der Datenschutzgrundverordnung entsprechen.

Artikel 83, Strafen: Bei Verstößen können auf Unternehmen Strafzahlungen in Höhe von bis zu 20 Millionen Euro – oder vier Prozent des weltweiten Gesamtumsatzes – zukommen.

Vorteile der neuen Verordnung und wie man sie umsetzt
Kunden schätzen Datenschutz. So kann die Neuregelung die Kundenzufriedenheit steigern und einen Wettbewerbsvorteil bedeuten. Es stärkt die Marke, wenn Kunden wissen, dass ihre Daten sicher sind. Zudem trifft man als Unternehmer schneller Entscheidungen, wenn man seine Daten im Griff hat.
Die DGSVO schreibt zwar vor, was zu tun ist, aber nicht wie. Hier empfiehlt sich ein strukturierter Ansatz. Zunächst sollte man sich einen Überblick über alle Daten im Unternehmen verschaffen und wer mir ihnen arbeitet. Im zweiten Schritt sollten die Daten klassifiziert werden. Erst im dritten Schritt sollte es um Policies, Zugriff und Sicherheit gehen. Hier muss der Lifecycle der Daten aktiv gemanagt werden. Alle Vorfälle müssen künftig binnen festgelegter Fristen gemeldet werden.
CompuSafe arbeitet seit Jahren mit IT-Experten zusammen. Wenn Sie ihr Unternehmen jetzt in der IT zukunftsfähig machen wollen, können wir gemeinsam eine Lösung für Sie finden. Kontaktieren Sie uns am besten gleich!

 

Quellen:

Die Anforderungen auf einen Blick
DSGVO Gesetz
Die europaeische Datenschutzgrundverordnung umsetzen
What are the GDPR Requirements

Kommentar hinzufügen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Melden Sie sich für unseren Newsletter an

Durch Angabe meiner E-Mail-Adresse und Anklicken des Buttons "Anmelden" erkläre ich mich damit einverstanden, dass die CompuSafe Data Systems AG mir regelmäßig Informationen zu folgenden Themen per E-Mail zuschickt: Links zu Fachbeiträgen, Links zu Stellenanzeigen, Links zu aktuellen Blogbeiträgen, Einladungen zu Webinaren und Ebook-Veröffentlichungen. Meine Einwilligung kann ich jederzeit widerrufen.