November 29, 2016

Was ändert sich mit der DSGVO für Unternehmen?



Mit der Verabschiedung der Datenschutz-Grundverordnung der EU (GDPR; General Data Protection Regulation) im vergangenen Frühjahr hat die Europäische Union das allgemeine Verständnis von Datenschutz wachgerüttelt – Daher haben Sie einen Entwurf für verantwortungsvollen Umgang mit Datenschutz geschaffen, von dem sämtliche Organisationen und Unternehmen weltweit lernen können.

Die damit implizierten Veränderungen stärken das persönliche Recht auf Privatsphäre und steigern die Umsetzung von Datenschutzmaßnahmen, so die britische Datenschutzbeauftragte Elizabeth Denham. Sie zielen auch ganz allgemein darauf ab „öffentliches Vertrauen zu stiften“.

Vertrauen hinsichtlich persönlicher Daten

Eine Anfang 2016 durchgeführte Befragung ergab, dass nur einer von vier Erwachsenen den Unternehmen im Umgang mit ihren persönlichen Daten vertrauen.

Überprüfbarkeit lautet das Schlüsselwort, meinte Denham. 

„Es ist Ihre Aufgabe und die Aufgabe Ihres Unternehmens die Risiken zu kennen, die Sie für andere erzeugen, und diese Risiken zu vermindern“, so Denham. Dies bringt auch eine Investition in grundlegende Datenschutz-Maßnahmen mit sich.

Ganz gleich, wo Sie sich befinden,  ist das Thema Datenschutz von Bedeutung.  Die Konsumenten haben ein Recht darauf zu wissen, was mit ihren Daten geschieht, dazu kommen noch transparente Geschäftspraktiken und Überprüfbarkeit.”

Für EU-Mitgliedsstaaten ersetzt die Datenschutz-Grundverordnung das derzeitig gültige Datenschutzgesetz. Diese tritt 2018 in Kraft.

Dieses neue Datenschutzgesetz gilt auch außerhalb der EU . Die Richtlinien sind von sämtlichen Ländern und Organisationen einzuhalten, die mit einem EU-Mitgliedsstaat geschäfliche Beziehungen haben.

Inhalte der neuen EU-Datenschutzverordnung

  • Zustimmung: Unternehmen müssen die explizite Zustimmung des Konsumenten erhalten, um dessen Daten verwenden zu dürfen. Sie benötigen außerdem eine rechtliche Begründung dafür, persönliche Daten zu speichern und zu verarbeiten.  
  • Anrecht darauf, „vergessen“ zu werden: Laut dem Grundsatz hat jeder Mensch ein Recht darauf , die eigenen persönlichen Daten im Internet korrigieren oder löschen zu lassen, wenn diese falsch oder nicht mehr aktuell sind.
  • Höhere Geldstrafen für Nichteinhaltung: Organisationen, welche die Verordnung nicht einhalten, müssen mit erheblichen Geldstrafen rechnen (bis zu 4 % des Jahresumsatzes). 
  • Führung: Auch im Bereich der Informationssicherheit ist Führung unabdinglich. Unternehmen müssen gegebenenfalls einen Datenschutzbeauftragten anstellen (abhängig von der Größe des Unternehmens). Die Aufgaben dieser Person bestehen darin Server, Systeme, Protokolle und Datenschutz im Unternehmen auf dem neuesten Stand zu halten.
  • Transparenz: Unternehmen müssen transparenter kommunizieren, wie sie Daten verwenden möchten. Es ist erforderlich, dass interne Datenschutzrichtlinien und Prozesse implementiert werden. Außerdem müssen Unternehmen in der Lage sein zu beweisen, wie sie die Verordnung einhalten – mittels interner Mechanismen, Richtlinien und Systemen, die bei der Einhaltung der Bestimmungen unterstützen.
  • Verständigung: Innerhalb von 72 Stunden nach Bekanntwerden eines Datenlecks ist dieser Umstand zu melden. Datenlecks und Nachforschungen müssen dokumentiert werden. Absichtliche Vernichtung oder Änderung von Daten gilt als Verstoß und Diebstahl. (Diese Regel sollte in einem Datenleck-Reaktionsplan inkludiert sein.)
  • Datenvernichtung: Unternehmen müssen Daten löschen, sobald sie nicht mehr für jenen Zweck genutzt werden, für den sie gespeichert wurden, oder sobald die Person dem Unternehmen ihre Zustimmung zur Speicherung entzieht. Der sogenannte Gold-Standard im Bereich der Informationssicherheit ist ein regelmäßiger Prozess für sichere Datenvernichtung mit Hilfe eines zertifizierten Partners – sowohl für Papierdokumente als auch für digitale Daten.

Weitere Details zur Datenschutz-Grundverordnung der EU finden Sie in unserer Infografik