Allgemein, Security

DSGVO: Jetzt wird es höchste Zeit, Ihr Unternehmen auf die Datenschutzverordnung vorzubereiten

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft und löst die alte EU-Datenschutzrichtlinie aus dem Jahre 1995 ab. Diese Grundverordnung ist bereits am 25. Mai 2016 in Kraft getreten. Anzuwenden ist sie ab dem 25. Mai 2018. Ein großer Teil der Unternehmen in Deutschland hat sich bisher nur unzureichend oder gar nicht mit dem Thema beschäftigt, und es wird dringend empfohlen, die Schwachstellen im Unternehmen ausfindig zu machen und mit geeigneten Mitteln zu beseitigen. Viele Unternehmen werden Schwierigkeiten haben, die Anforderungen fristgerecht zu erfüllen. Trotzdem muss die Verordnung am 25. Mai umgesetzt sein. Der Artikel 32 in der DSGVO verpflichtet die Unternehmen, die personenbezogenen Daten „dem Stand der Technik“ entsprechend zu schützen. Wenn die Daten beispielsweise in cloud-basierten Diensten gespeichert sind, die nicht konform zu den Unternehmens- Richtlinien sind, so sind diese in abgesicherten Umgebungen abzulegen.

Was regelt die DSGVO?

Die DSGVO umfasst 99 Artikel, die die Rechte von europäischen Personen und Anforderungen an die Unternehmen sowie Strafen festhalten und gilt in allen EU-Mitgliedsstaaten. Es wird festgelegt, wie persönliche Daten von EU-Bürgern erfasst, gespeichert, verarbeitet, gelöscht und verwendet werden dürfen. Die Regelung betrifft alle nationalen und internationalen Unternehmen, die im EU-Raum tätig sind. Das Datum des Inkrafttretens ist ein fixer Termin, der keinerlei Karenzzeit erlaubt. Die Verordnung gilt für alle Unternehmensgrößen vom Kleinstunternehmen bis zum Großunternehmen, die persönliche Fremddaten gespeichert haben, egal ob on-premise oder in Cloud-Umgebungen. Wenn nicht nachgewiesen werden kann, dass die Sicherheitsmaßnahmen umfassend sind, können Geldbußen bis zu vier Prozent vom internationalen Vorjahresumsatz bzw. bis zu 20 Millionen Euro (abhängig davon, welcher Betrag der höhere ist) verhängt werden. Datenpannen müssen innerhalb von 72 Stunden an die Aufsichtsbehörde und die betroffenen Personen gemeldet werden. Aus der Meldung muss hervorgehen, welchen Schaden die Verletzung verursachen kann und welche Maßnahmen zu ergreifen sind, damit sich der Vorfall nicht wiederholt. Für die Überwachung ist ein Datenschutzbeauftragter zu bestimmen, der die Einhaltung der DSGVO überwacht und Mitarbeiter entsprechend sensibilisiert.

Zertifikate als Nachweis

Die Einhaltung der Verordnung kann mit einem Datenschutzzertifikat untermauert werden. Im Rahmen der Auftragserteilung können diese Zertifikate herangezogen werden, um nachzuweisen, dass der Auftragnehmer geeignete Maßnahmen durchführt, um die Vorgaben einzuhalten. Falls trotzdem eine Datenschutzverletzung aufgetreten ist, so kann die Existenz eines geeigneten Zertifikats bei der Entscheidung einer Geldbuße eine „positive Rolle“ spielen. Bestehende Datenschutzzertifikate werden auf die Belange der DSGVO angepasst. Zertifikate, die den Vorgaben entsprechen, werden in ein Zentralregister aufgenommen. Hier können die Unternehmen künftig auch prüfen, welche Voraussetzungen eine Zertifizierung erfüllen muss, um auch rechtlich anerkannt zu werden. Die Vorgaben für eine Zertifizierung werden von dem Europäischen Datenschutzausschuss noch erarbeitet und stehen demnächst zur Verfügung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.