#EU-DSGVO: Die zentralen Aspekte im Blick behalten

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Was verlangt die Datenschutzordnung (DSGVO) von Unternehmen? Und welche Prozesse müssen gegebenenfalls implementiert werden, um die Anforderungen zu erfüllen? Ein Datenschutzexperte gibt interessante Hinweise.

Grafik GDPR

Was verlangt die Datenschutzordnung (DSGVO) von Unternehmen? Und welche Prozesse müssen gegebenenfalls implementiert werden, um die Anforderungen zu erfüllen? Ein Datenschutzexperte gibt interessante Hinweise.

Die neue EU-Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Dann gelten für Unternehmen neue Spielregeln für die Datenverarbeitung und den Schutz personenbezogener Daten. Werden diese nicht eingehalten, droht ein Bußgeld von bis zu 4 Prozent des Vorjahresumsatzes des Gesamtkonzerns. Die Höchststrafe von 300.000 Euro im Rahmen des bisherigen Bundesdatenschutzgesetzes (BDSG) dürfte bei vielen Unternehmen daher schnell überschritten werden, sollten sich die Unternehmen nicht genügend vorbereitet haben.

Markus Mergle, IT-Consultant und Experte für IT-Sicherheit und Datenschutz bei msg, hat die wichtigsten Aspekte der DSGVO zusammengefasst, auf die Unternehmen noch einmal einen genauen Blick werfen sollten.

Datenspeicherung und Datensperrung

Personenbezogene Daten, die mit Einwilligung der betroffenen Person erfasst werden, unterliegen mit der EU-DSGVO neuen Anforderungen, wann diese aufbewahrt und wann sie gelöscht werden müssen. „Zweckgebundenheit“ nennt sich das dahinterstehende Konzept und bedeutet, dass keine Speicherung von Daten zulässig ist, die das Unternehmen nicht mehr für einen zuvor benannten Zweck benötigt. Entsprechend dieser Anforderung empfiehlt es sich, Löschprozesse in Unternehmen zu implementieren, um nicht gegen die Bestimmungen zu verstoßen und den Aufbewahrungsfristen zu entsprechen.

Zudem können Betroffene jederzeit einen Antrag auf Löschung ihrer Daten stellen. Die Legitimität des Antrags muss jedoch zunächst geprüft werden. Allerdings dürfen die angeforderten Daten des Betroffenen während des Prüfungsprozesses nicht verarbeitet werden. Es ist daher ratsam, eine Sperrfunktion für diese Daten zu implementieren. Wichtig: Für kundenzentrierte Unternehmen empfiehlt es sich, Sperren nicht nur auf Kundenebene umzusetzen, sondern diese feingranularer zu implementieren. So ist gewährleistet, dass beispielsweise bei einem Streitfall nur Daten eines bestimmten Vertrages gesperrt sind, alle übrigen Verträge davon aber unberührt bleiben.

Geschäftsmodell für Anwälte: Verschärfte Informationspflicht

Ein weiterer wichtiger Punkt sind die verschärften Informationspflichten. Mit Artikel 13 beziehungsweise 14 der DSGVO kommen zusätzliche und spezifischere Angaben hinzu, die das Unternehmen dem Betroffenen aufbereiten und zukommen lassen muss, um der Informationspflicht gemäß der Gesetzgebung nachzukommen. Entsprechend sollten sich Unternehmen bei der Erstellung dieser Informationspakete nicht auf eine beliebige Vorlage aus dem Netz verlassen, sondern mehr Zeit und Arbeit in ein solides Informationsmuster investieren.

Es ist davon auszugehen, dass künftig deutlich mehr Kunden und auch Anwaltskanzleien im Auftrag ihrer Kunden von ihrem Auskunftsrecht Gebrauch machen. Dieses Recht ist zwar keine Neuerung, doch mit der Aktivierung der neuen DSGVO entstehen mehr Fallstricke für Unternehmen und die allgemeine Aufmerksamkeit am Thema wird zunehmen. Nicht zuletzt haben bereits einige Anwälte angekündigt, Unternehmen, die die Anforderungen beim Umgang mit den Daten ihrer Kunden nicht vollständig erfüllen, auf materiellen und immateriellen Schadensersatz verklagen zu wollen.

Um angeforderte Daten gesetzeskonform bereitstellen zu können, müssen Unternehmen immer wissen, welche Daten verarbeitet werden und wo diese liegen. Das Führen eines detaillierten Datenverzeichnisses sowie die Implementierung eines Datenschutz-Management-Systems sind daher ratsam.

Jeder kann gehackt werden – schnelles Handeln entscheidet

Egal wie sicher ein Unternehmen gegen Cyberkriminelle und deren Angriffstaktiken gerüstet sein mag, keines ist eine auf ewig uneinnehmbare Datenfestung. Jedes Unternehmen kann Opfer eines Hackerangriffs werden. Deshalb muss es Kriminellen nicht nur möglichst schwergemacht werden, Einfallstore zu finden. Dabei sollten Unternehmen Vorsorgemaßnahme treffen und diese mit regelmäßigen Penetrationstests überprüfen.

Im Fall der Fälle ist es ebenso entscheidend, auch richtig zu reagieren. Die Aufsichtsbehörden verleihen dem nochmal Nachdruck, denn Unternehmen müssen einen Schaden beziehungsweise Cyberangriff umgehend melden. Umgehend bedeutet, dass innerhalb von 72 Stunden nach Feststellung des Angriffs eine Meldung bei den Aufsichtsbehörden eingehen muss. Hier hilft ein ausgereiftes Incident Response Management, mit dem Unternehmen den Überblick über die Daten behalten und frühzeitig auf Vorfälle reagieren können.

Über den Autor: Markus Mergle ist IT-Consultant und Experte für IT-Sicherheit und Datenschutz bei msg, einem IT-Beratungs- und Systemintegrationsunternehmen, das international agiert. Bildquelle: msg.group

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken
Werbung

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.