Europäische Datenschutzverordnung

Gut 51 Wochen – so viel Zeit bleibt Ihnen noch. Dann tritt die neue europäische Datenschutzverordnung in Kraft. Stichtag: 25. Mai 2018. Vier von fünf Unternehmen in Deutschland sehen bereits jetzt Schwierigkeiten, die Datenschutz-Grundverordnung (DSGVO) rechtzeitig umzusetzen. Wie gut ist Ihr Unternehmen darauf vorbereitet? Worauf Sie achten müssen und Tipps zur optimalen Umsetzung lesen Sie hier.

DSGVO: Die europäische Datenschutzverordnung tritt am 25. Mai 2018 in Kraft.

Was ist die DSGVO?

Was ist die Datenschutzverordnung überhaupt? Die Datenschutz-Grundverordnung (DSGVO) ist laut Wikipedia „eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Diese Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ und tritt Ende Mai 2018 endgültig in Kraft.

Studienergebnisse zur DSGVO alarmieren

Derzeit geben viele Software-, Hardwarehersteller sowie Cloudanbieter und IT-Verbände Studien in Auftrag, inwieweit Unternehmen auf die Umsetzung der europäischen Datenschutzverornung vorbereitet sind, so auch Varonis Systems. Der Anbieter von Softwarelösungen zum Schutz von Daten und vor Cyberangriffen kommt zum gleichen Ergebnis wie viele andere Untersuchungen zur General Data Protection Regulation (GDPR). So wird die EU-Datenschutz-Grundverordnung (DSGVO) auch genannt.

Mehr als die Hälfte (58%) der 500 befragten IT-Entscheidungsträger sehen die Umsetzung der GDPR nicht als Priorität in ihrem Handeln – trotz angedrohter Bußgelder von bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Umsatzes. „Diese Diskrepanz zwischen Problembewusstsein auf der einen und mangelndem Engagement auf der anderen Seite ist überaus alarmierend, da die Einführung einer DSGVO-konformen Datenbehandlung eine gewisse Zeit und Engagement des gesamten Unternehmens – und nicht nur der IT-Abteilung – benötigt“, sagt Thomas Ehrlich, Country Manager DACH bei Varonis. Die Analysten des US-amerikanisches Marktforschungsunternehmen Gartner rechnen damit, dass noch bis Ende 2018 rund 50 Prozent der weltweit betroffenen Organisationen nicht DSGVO-konform sein werden.

Europäische Datenschutzverordnung – das ist neu

Die europäische Datenschutzverordnung geht in einigen Passagen über das Deutsche Bundesdatenschutzgesetz (BDSG) hinaus. So sind personenbezogene Daten zukünftig bereits dann verletzt, wenn Sie deren Verfügbarkeit nicht gewährleisten können: Die Dokumentationspflichten und Betroffenenrechte werden deutlich ausgeweitet, die Bußgelder erhöht.

• Feste Frist: Möchte ein Kunden Zugang zu seinen Daten haben oder diese bei Ihnen löschen lassen, müssen Sie dieser Aufforderung in maximal einem Monat nachkommen.  Es wäre also besser, wenn Sie genau wissen, wo sich die Ihnen anvertrauten Daten befinden und wie ihr Status ist. Ein konsequentes Daten-Management zu verfolgen, ist hierbei sicher hilfreich.
• Meldepflicht: Bei Datenlecks müssen Sie wesentlich schneller (spätestens 72 Stunden nach Erkennen des Vorfalls) handeln – und diesen Vorfall melden. Bei hoch sensiblen Daten sind die Betroffenen sogar umgehend direkt zu informieren.
• Weltweiter Geltungsbereich: Die europäische Datenschutzverordnung gilt zudem weltweit – sobald es die personenbezogene Daten eines EU-Bürgers betrifft. Arbeitet Ihr Unternehmen mit Daten eines EU-Bürger müssen sie unabhängig von Ihrem Firmen-Standort sicherstellen, dass ihre Datenschutz-Maßnahmen mit der Datenschutzgrundverordnung (DSGVO) konform sind.
• Die Verschlüsselung von Daten wird wichtiger: Artikel 32 der DSGVO bezeichnet die Verschlüsselung als „angemessenes Schutzniveau“. Übrigens: Sind die personenbezogenen Daten durch einen wohlgemerkt hohen Verschlüsselungsgrad geschützt, gelten die Daten im Falle eines Datenverlusts nach europäischer Datenschutzverordnung nicht wirklich als verloren. Der Grund: Cyberkriminelle erhalten beim Hacken nicht die Daten, sondern eine kryptische, für sie wertlose Datensammlung. Der Vorteil für Ihr Unternehmen: In diesem Fall müssen Sie die betroffenen Personen nicht über den Datenvorfall informieren.
• Risikobewertung: Vor besonders risikobehafteten Verarbeitungen von personenbezogenen Daten ist eine sogenannte Datenschutz-Folgenabschätzung durchzuführen

Was die Umsetzung der DSGVO für Cloud-Nutzer bedeutet, lesen Sie im Blogbeitrag EU-Datenschutz – DSGVO umsetzen in der Cloud

DSGVO: Haken Sie jetzt Ihre Checkliste ab, um die europäische Datenschutzverordnung umzusetzen.

Datenschutzverordnung umsetzen – Ihre Checkliste zum Start

Im besten Fall legen Sie sich eine Checkliste an, um die Datenschutzverordnung in ihrem Unternehmen geordnet umzusetzen:

• Verantwortungsbereich klären– wer ist zuständig für die Umsetzung der DSGVO?
• Geschäftsleitung umfassend informieren über Forderungen und mögliche Sanktionen bei Nicht-Umsetzung der DSGVO (z.B. 72-Stunden-Meldepflichten bei Sicherheitsvorfällen, Bußgelder, Imageverlust bei Datenpannen, etc.)
• Budget anpassen: Möglichen Kosten eines mangelhaften Datenschutzes bewerten und abwägen
• IT-Struktur ermitteln und dokumentieren – mobile Endgeräte inbegriffen
• Datenstruktur ermitteln und dokumentieren  – Verschaffen Sie sich zeitnah einen Überblick darüber, wo sich welche Ihrer Kundendaten befinden
• Löschkonzept erarbeiten: Das Recht auf Vergessen umsetzen
• Mögliche Datenübertragungen mittels Schnittstellen und gängigen maschinenlesbaren Formate vorbereiten, um das Recht auf Datenübertragbarkeit von einem Anbieter auf einen anderen umsetzen zu können
• IT belastbar und widerstandsfähig aufstellen gegen Systemausfälle und Cyberangriffe, um die Sicherheit der Datenverarbeitung nach DGSVO zu erzielen
• Verschlüsselung der Daten verbessern
• Datenschutzmaßnahmen ergreifen und deren Umsetzung dokumentieren sowie kontrollieren! Wenn es zu einer Prüfung kommt, möchten die Aufsichtsbehörden genau das sehen
• Aufsichtsbehörde kontaktieren! Beratung und Unterstützung suchen. Die Aufsichtsbehörden kennen die Herausforderungen der DSGVO.
• Wirksamkeit evaluieren und interne Kontrollprozesse technischer und organisatorischer Prozesse einrichten. Die DSGVO sieht eine regelmäßige Überprüfung und Anpassung der Maßnahmen vor.

DSGVO – seien Sie vorbereitet

Es dauert nicht einmal ein ganzes Jahr, bis Ihr Unternehmen die europäische Datenschutzverordnung erfüllen muss. Setzen Sie sich mit den Voraussetzungen für die DSGVO auseinander. Ziehen Sie dazu im Zweifelsfall auch externe Expertise zurate. Das IT-SERVICE.NETWORK unterstützt Sie dabei gern. Unsere IT-Dienstleister evaluieren den Stand der IT-Sicherheit Ihres Unternehmens und sind auch der passende Ansprechpartner, wenn Sie nachrüsten wollen.

Lesen noch weitere interessante Tipps und Informationen zur DSGVO – natürlich hier bei uns im Blog.

Linda Boegelein

Fragen zum Artikel? Frag den Autor