Gerüstet für die EU-Datenschutz-Grundverordnung?

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Mit dem Ende der Trilog-Verhandlungen im Dezember 2015 wurde die endgültige Fassung der EU-Datenschutz-Grundverordnung (DS-GVO) verabschiedet. In der unendlichen Geschichte der kurz „DS-GVO“ genannten Verordnung waren immer wieder neue Hürden aufgetaucht. Die finale Textfassung wurde dann im April endgültig vom EU-Parlament beschlossen.

gerichtssaal

Mit dem Ende der Trilog-Verhandlungen im Dezember 2015 wurde die endgültige Fassung der EU-Datenschutz-Grundverordnung (DS-GVO) verabschiedet. In der unendlichen Geschichte der kurz „DS-GVO“ genannten Verordnung waren immer wieder neue Hürden aufgetaucht. Die finale Textfassung wurde dann im April endgültig vom EU-Parlament beschlossen.

Die DS-GVO wird im Mai 2018 in Kraft treten. Die Uhr tickt also: Unternehmen bleiben noch knapp zwei Jahre, um ihre Rechenzentren auf Vordermann zu bringen. Genau genommen ist die DS-GVO seit fast einem Jahr in der nahezu finalen Version bekannt. Während dieser Zeit haben die Verhandlungsparteien allerdings noch einige wichtige Punkte diskutiert. Unternehmen, die diesen Prozess mitverfolgt haben, genießen insofern einen gewissen Vorsprung. Wer sich noch einmal zur DS-GVO schlau machen will dem sei im Varonis-Blog-Beitrag zum Thema empfohlen.

Weitere Hintergrundinformationen über die DS-GVO und ihre Entstehungsgeschichte aus der aktuellen EU-Datenschutzrichtlinie finden Sie in einem Whitepaper.

(Bildquelle: BVDW)

 

Was sind die zentralen Anforderungen der DS-GVO?

Unter den zahlreichen Anforderungen und Konzepten der DS-GVO hat Varonis die folgenden sechs Punkte als zentral ausgewählt:

•  Meldepflicht für Datenschutzverletzungen – Eine Neuerung der DS-GVO besteht darin, dass Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Behörde melden müssen. Die betroffenen Personen müssen zudem informiert werden, sofern der Vorfall „voraussichtlich ein hohes Risiko für [ihre] persönlichen Rechte und Freiheiten“ zur Folge hat.

•  Datenschutz-Folgeabschätzungen – Vor der Verarbeitung bestimmter Daten sind Unternehmen dazu verpflichtet, die Risiken für die Privatsphäre der betroffenen Personen zu analysieren. Auch das ist eine neue Anforderung der DS-GVO.

•  Privacy by Design – Privacy-by-Design-Prinzipien  spielen in den EU-Datenschutzbestimmungen seit jeher eine Rolle. Die neue Verordnung schreibt nun Prinzipien wie die Minimierung der erfassten und gespeicherten personenbezogenen Daten sowie die Einwilligung der betroffenen Personen zur Verarbeitung ihrer Daten fest.

•  Extraterritorialität – Das neue Prinzip der Extraterritorialität besagt, dass sämtliche Anforderungen der DS-GVO auch für Unternehmen ohne Niederlassung in der EU gelten, die aber Daten von EU-Bürgern verarbeiten (zum Beispiel über eine Website). Übersetzt heißt das: Die DS-GVO gilt ebenso außerhalb der EU. Das betrifft insbesondere E-Commerce- und andere cloudbasiert arbeitende Unternehmen.

• Recht auf Vergessenwerden und auf Löschung – Die aktuelle Datenschutzrichtlinie sieht bereits seit Langem vor, dass Verbraucher die Löschung ihrer Daten verlangen können. Die DS-GVO erweitert dieses Recht auf im Internet veröffentlichte Daten. Hier geht es um das nach wie vor umstrittene Recht auf „Vergessenwerden“.

•  Geldbußen – Die DS-GVO umfasst ein abgestuftes Sanktionssystem, das den Gewinn eines Unternehmens empfindlich schrumpfen lassen kann. Ernsthaftere Verstöße können mit Geldstrafen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Dazu gehört beispielsweise die Nichteinhaltung grundlegender Datenschutzprinzipien, insbesondere „Privacy by Design“. Geringere – aber immer noch horrende – Geldbußen in Höhe von bis zu zwei Prozent des weltweiten Jahresumsatzes können verhängt werden, wenn Unternehmen Vorgänge nicht ordnungsgemäß dokumentieren oder die Aufsichtsbehörde und betroffene Personen nicht über eine Datenschutzverletzung informieren. Versäumnisse bei der Meldepflicht für Sicherheitsvorfälle können also durchaus kostspielig werden.

Die DS-GVO ist ein komplexes Gesetz, und dies ist bei weitem keine vollständige Liste aller wichtigen Regeln. In jedem Fall würden die meisten Rechts- und Compliance-Experten zustimmen, dass die Inventarisierung sämtlicher Daten ein erster sinnvoller Schritt in Richtung Compliance ist. Unternehmen müssen herausfinden, welche Daten wo gespeichert sind, wer darauf zugreifen kann und welche Berechtigungen erteilt wurden.

(jm)

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken
Werbung
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: KI – Online-Händler sind die Pioniere

Künstliche Inteligenz

Mehr erfahren
Quelle: WIN-Verlag

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.