Der Stichtag für das Inkrafttreten der Europäischen Datenschutzverordnung: 25. Mai 2018. Ein Jahr zuvor waren vier von fünf Unternehmen in Deutschland bereits damit in Verzug, die Datenschutz-Grundverordnung (DSGVO) rechtzeitig umzusetzen. Wie gut war Ihr Unternehmen darauf vorbereitet und ist es jetzt DSGVO-konform aufgestellt?
Worauf Sie achten müssen und Tipps zur optimalen Umsetzung lesen Sie hier.
Studienergebnisse zur DSGVO alarmieren
Derzeit geben viele Software-, Hardwarehersteller sowie Cloudanbieter und IT-Verbände Studien in Auftrag, inwieweit Unternehmen auf die Umsetzung der europäischen Datenschutzverornung vorbereitet sind, so auch Varonis Systems. Der Anbieter von Softwarelösungen zum Schutz von Daten und vor Cyberangriffen kommt zum gleichen Ergebnis wie viele andere Untersuchungen zur General Data Protection Regulation (GDPR). So wird die EU-Datenschutz-Grundverordnung (DSGVO) auch genannt.
Mehr als die Hälfte (58%) der 500 befragten IT-Entscheidungsträger sehen die Umsetzung der GDPR nicht als Priorität in ihrem Handeln – trotz angedrohter Bußgelder von bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Umsatzes. „Diese Diskrepanz zwischen Problembewusstsein auf der einen und mangelndem Engagement auf der anderen Seite ist überaus alarmierend, da die Einführung einer DSGVO-konformen Datenbehandlung eine gewisse Zeit und Engagement des gesamten Unternehmens – und nicht nur der IT-Abteilung – benötigt“, sagt Thomas Ehrlich, Country Manager DACH bei Varonis.
Die Analysten des US-amerikanisches Marktforschungsunternehmen Gartner rechnen damit, dass noch bis Ende 2018 rund 50 Prozent der weltweit betroffenen Organisationen nicht DSGVO-konform sein werden.
Europäische Datenschutzverordnung – ein Blick aus dem Jahr 2017
Die europäische Datenschutzverordnung geht in einigen Passagen über das Deutsche Bundesdatenschutzgesetz (BDSG) hinaus. So sind personenbezogene Daten seit 2018 bereits dann verletzt, wenn Sie deren Verfügbarkeit nicht gewährleisten können: Die Dokumentationspflichten und Betroffenenrechte werden deutlich ausgeweitet, die Bußgelder erhöht.
- Feste Frist: Möchte ein Kunden Zugang zu seinen Daten haben oder diese bei Ihnen löschen lassen, müssen Sie dieser Aufforderung in maximal einem Monat nachkommen. Es wäre also besser, wenn Sie genau wissen, wo sich die Ihnen anvertrauten Daten befinden und wie ihr Status ist. Ein konsequentes Daten-Management zu verfolgen, ist hierbei sicher hilfreich.
- Meldepflicht: Bei Datenlecks müssen Sie wesentlich schneller (spätestens 72 Stunden nach Erkennen des Vorfalls) handeln – und diesen Vorfall melden. Bei hoch sensiblen Daten sind die Betroffenen sogar umgehend direkt zu informieren.
- Weltweiter Geltungsbereich: Die europäische Datenschutzverordnung gilt zudem weltweit – sobald es die personenbezogene Daten eines EU-Bürgers betrifft. Arbeitet Ihr Unternehmen mit Daten eines EU-Bürger müssen sie unabhängig von Ihrem Firmen-Standort sicherstellen, dass ihre Datenschutz-Maßnahmen mit der Datenschutzgrundverordnung (DSGVO) konform sind.
- Die Verschlüsselung von Daten wird wichtiger: Artikel 32 der DSGVO bezeichnet die Verschlüsselung als „angemessenes Schutzniveau“. Übrigens: Sind die personenbezogenen Daten durch einen wohlgemerkt hohen Verschlüsselungsgrad geschützt, gelten die Daten im Falle eines Datenverlusts nach europäischer Datenschutzverordnung nicht wirklich als verloren. Der Grund: Cyberkriminelle erhalten beim Hacken nicht die Daten, sondern eine kryptische, für sie wertlose Datensammlung. Der Vorteil für Ihr Unternehmen: In diesem Fall müssen Sie die betroffenen Personen nicht über den Datenvorfall informieren.
- Risikobewertung: Vor besonders risikobehafteten Verarbeitungen von personenbezogenen Daten ist eine sogenannte Datenschutz-Folgenabschätzung durchzuführen
Datenschutzverordnung umsetzen – Ihre Checkliste zum Start
Im besten Fall legen Sie sich eine Checkliste an, um die Datenschutzverordnung in ihrem Unternehmen geordnet umzusetzen:
- Verantwortungsbereich klären– wer ist zuständig für die Umsetzung der DSGVO?
- Geschäftsleitung umfassend informieren über Forderungen und mögliche Sanktionen bei Nicht-Umsetzung der DSGVO (zum Beispiel die 72-Stunden-Meldepflichten bei Sicherheitsvorfällen, Bußgelder, Imageverlust bei Datenpannen etc.)
- Budget anpassen: Möglichen Kosten eines mangelhaften Datenschutzes bewerten und abwägen
- IT-Struktur ermitteln und dokumentieren – mobile Endgeräte inbegriffen
- Datenstruktur ermitteln und dokumentieren – Verschaffen Sie sich zeitnah einen Überblick darüber, wo sich welche Ihrer Kundendaten befinden
- Löschkonzept erarbeiten: Das Recht auf Vergessen umsetzen
- Mögliche Datenübertragungen mittels Schnittstellen und gängigen maschinenlesbaren Formate vorbereiten, um das Recht auf Datenübertragbarkeit von einem Anbieter auf einen anderen umsetzen zu können
- IT belastbar und widerstandsfähig aufstellen gegen Systemausfälle und Cyberangriffe, um die Sicherheit der Datenverarbeitung nach DGSVO zu erzielen
- Verschlüsselung der Daten verbessern
- Datenschutzmaßnahmen ergreifen und deren Umsetzung dokumentieren sowie kontrollieren! Wenn es zu einer Prüfung kommt, möchten die Aufsichtsbehörden genau das sehen
- Aufsichtsbehörde kontaktieren! Beratung und Unterstützung suchen. Die Aufsichtsbehörden kennen die Herausforderungen der DSGVO.
- Wirksamkeit evaluieren und interne Kontrollprozesse technischer und organisatorischer Prozesse einrichten. Die DSGVO sieht eine regelmäßige Überprüfung und Anpassung der Maßnahmen vor.
DSGVO – nach wie vor relevant
Bei der Veröffentlichung dieses Blogposts dauerte es noch ein ganzes Jahr, bis die europäische Datenschutzverordnung in Kraft getreten ist. Mittlerweile sollte Ihr Unternehmen DSGVO-konform aufgestellt sein. Doch ist die Verordnung keineswegs ein alter Hut: Durch Anpassungen und Kontrollen ist das Thema relevanter denn je.
Setzen Sie sich mit den Voraussetzungen für die DSGVO auseinander. Ziehen Sie dazu im Zweifelsfall auch externe Expertise zurate. Das IT-SERVICE.NETWORK unterstützt Sie dabei gern. Unsere IT-Dienstleister evaluieren den Stand der IT-Sicherheit Ihres Unternehmens und sind auch der passende Ansprechpartner, wenn Sie nachrüsten wollen.
Lesen noch weitere interessante Tipps und Informationen zur DSGVO – natürlich hier bei uns im Blog.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung