Jahrelang sorgte in den verschiedenen Ländern der Europäischen Union ein Sammelsurium von Datenschutz- und Datenverarbeitungsregeln für Kopfzerbrechen, dem die EU im Jahr 2016 mit einer Vereinfachung, der Datenschutzgrundverordnung (DSGVO), ein Ende bereitete. Ziel der Datenschutz-Grundverordnung ist es, die Daten aller in der EU ansässigen Personen zu schützen. Unternehmen soll dadurch der Umgang mit den Datenschutzbestimmungen und deren Einhaltung erleichtert werden. Die DSGVO wurde zwar offiziell im Jahr 2016 verabschiedet, doch ihr offizielles Inkrafttreten ist für den 25. Mai 2018 vorgesehen, sodass die Mitgliedstaaten eine Vorlaufzeit von etwa zwei Jahren haben, um ihre Vorbereitungen für die Einhaltung der Vorschriften zu treffen.
Unabhängig davon, ob Ihr Unternehmen einen Sitz in der EU unterhält oder nicht, müssen Sie, wenn Sie personenbezogene Daten von EU-Bürgern verarbeiten, die Datenschutzgrundverordnung einhalten. Anderenfalls drohen saftige Geldstrafen – bis zu 4 % des Jahresumsatzes Ihres Unternehmens oder bis zu 20 Millionen Euro, abhängig davon, welcher Betrag höher ist.
Datenschutz durch Technikgestaltung: Zweck der Datenschutzgrundverordnung ist der Schutz der personenbezogenen Daten von EU-Bürgern, darunter Daten wie ihr Name, E-Mail-Adresse, Finanzdaten oder Gesundheitsdaten und auch ihre IP-Adresse. Eine Schlüsselkomponente der Datenschutzgrundverordnung ist daher die Integration des Datenschutzes in alle Systeme von Beginn an – "Datenschutz durch Technikgestaltung" -, die standardmäßig für alle Endnutzer bereitgestellt wird.
Datenaufbewahrung: Zudem gehören bessere Regeln für die Datenaufbewahrung auch zur Datenschutzgrundverordnung. Die Vorschriften sehen vor, dass Unternehmen nur so viele Daten speichern dürfen, wie sie unbedingt benötigen. Sobald sie nicht mehr benötigt werden, sollten sie gelöscht oder anonymisiert werden.
Recht auf Löschung: In Anlehnung an das "Recht auf Vergessenwerden", das 2006 in einem Gerichtsverfahren gegen Google eingeführt wurde, enthält die DSGVO ein Recht auf Löschung. Das bedeutet, dass die Verbraucher aus einer Vielzahl von Gründen, unter anderem wegen vermuteter Nichteinhaltung der DSGVO, die Löschung ihrer personenbezogenen Daten bei einem Unternehmen einfordern können. Ferner ist für die Verarbeitung personenbezogener Daten die ausdrückliche und freiwillige Zustimmung erforderlich. Unternehmen müssen den Betroffenen die Möglichkeit geben, ihre Zustimmung problemlos zu widerrufen, wenn sie es wünschen.
Bestimmungen zur Meldepflicht bei Datenschutzverletzungen: Neben den Vorschriften zum Schutz der Nutzerdaten enthält die Datenschutzgrundverordnung auch verbindliche und strenge Vorschriften für die Meldung von Datenschutzverletzungen. Bei einem Verstoß gegen die Datenschutzbestimmungen muss dieser innerhalb von 72 Stunden nach seiner Feststellung bei der Aufsichtsbehörde des betroffenen EU-Mitgliedstaats gemeldet werden. Je nach Schweregrad der Datenschutzverletzung muss das Unternehmen unter Umständen auch die betroffenen Benutzer benachrichtigen.
1. Informieren Sie sich über Ihr Netzwerk und den Datenbestand Ihres Unternehmens.
Überprüfen Sie, ob Sie Ihr Ökosystem und den Datenbestand Ihres Unternehmens im Griff haben: Wer hat Zugriff, und um welche Art von Daten handelt es sich? Sobald Sie eine Vorstellung vom Umfang haben, können Sie Zugriffsbeschränkungen und Kontrollen einführen, mit denen sichergestellt wird, dass kein unbefugter Zugriff erfolgt.
2. Prüfen Sie die Stärke von Kontrollen und Programmen
Sie sollten die Wirksamkeit aller bestehenden kritischen Sicherheitskontrollen- und programme testen und bewerten—das gilt nicht nur für die Technologie, sondern auch für Mitarbeiter und Prozesse. Achten Sie darauf, regelmäßig nach Sicherheitslücken und Schwachstellen zu suchen und etwaige Lücken zu schließen.
3. Systematisieren und implementieren Sie Informationsprozesse
. Niemand möchte eine Datenschutzverletzung riskieren, aber man sollte rechtzeitig auf den Ernstfall vorbereitet sein. Führen Sie ein strukturiertes Verfahren zur Meldung von Datenschutzverletzungen ein und probieren es ein paar Mal aus. Sorgen Sie dafür, dass es Zwischenfälle erkennen und darauf reagieren kann.
Die Datenschutzgrundverordnung wird am 28. Mai 2018 formell in Kraft treten, und betroffene Unternehmen sollten so rasch als möglich mit der Umsetzung beginnen. Sie erfüllen damit nicht nur die gesetzlichen Vorgaben, sondern es lohnt sich auch, die Sicherheitsvorkehrungen ständig weiterzuentwickeln, insbesondere wenn es um personenbezogene Daten geht. Weitere Informationen über die Einhaltung der Datenschutzgrundverordnung.