Stichtag 24. Mai 2016

Von 0 auf 100 - die EU-Datenschutz-Grundverordnung

24.05.2016 von Renate Oettinger
Ein neuer Sanktionsrahmen lässt keinen Platz für Fahrlässigkeit. SEC Consult sagt, was betroffene Firmen beachten müssen.
 
  • Was beinhaltet die neue EU-Datenschutz-Grundverordnung?
  • Was sollten IT-Dienstleister nun unternehmen?
  • Was muss in der 2jährigen Übergangsfrist passieren?
  • Was sollten Unternehmen zuallererst tun?

Ein neues Gesetz bringt neben datenschutzrechtlichen Aspekten Datensicherheit mit ins Spiel - Unternehmen müssen künftig organisatorische und technische Schutzmaßnahmen für personenbezogene Daten vorweisen können.

Am 24. Mai 2016 trat die EU-Datenschutz-Grundverordnung (EU-DS-GVO) in Kraft. Ziel ist die Vereinheitlichung eines hohen Datenschutzniveaus für die gesamte Europäische Union. Betroffen sind alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten - demnach fallen auch internationale Daten-Riesen wie Google, Facebook & Co. unter die Regelung.

Neben datenschutzrechtlichen Aspekten wie dem "Recht auf Vergessen werden" kommt der Datensicherheit im neuen Gesetz eine tragende Rolle zu. Ab dem 25. Mai 2018 müssen betroffene Unternehmen sowie deren Anwendungen organisatorische und technische Schutzmaßnahmen für personenbezogene Daten vorweisen können. Bei Verstößen wird das Strafausmaß anhand der getätigten Vorbereitungen bemessen, kann jedoch bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes betragen.

Teil der EU-Datenschutzreform ist die Datenschutz-Grundverordnung, die für die gesamte EU ein einheitliches hohes Schutzniveau vereinheitlichen soll.
Foto: k1003mike - shutterstock

Dazu Torsten Wilhelm Töllner, Geschäftsführer SEC Consult Deutschland: "Datenschutz verlangt Datensicherheit. Mit der EU-Datenschutz-Grundverordnung kommt der IT-Sicherheit nun im Datenschutz-Kontext eine tragende Rolle zu. Deutschland schuf durch das IT-Sicherheitsgesetz bereits ein hohes Schutzniveau in Unternehmen mit kritischen Infrastrukturen - nun aber muss die gesamte heimische Wirtschaft nachziehen."

Angesichts des kurzen Umsetzungszeitraums von gerade einmal zwei Jahren, empfiehlt SEC Consult betroffenen Organisationen hinsichtlich Daten- bzw. IT-Sicherheit daher:

1. Risikoanalyse starten und Umsetzungsplan zurechtlegen

Unternehmen sollten sich umgehend mit den organisatorischen und technischen Vorgaben der EU-Datenschutz-Grundverordnung befassen, um etwaige finanzielle Aufwände bereits in das kommende Budget einrechnen zu können und genügend Zeit für die Umsetzung zu haben.

"An erster Stelle sollte eine umfassende Analyse stehen. Welche personenbezogenen Daten befinden sich im Unternehmen? Wie sind diese zu kategorisieren? Wie sieht die Risikosituation aus? Welche technischen Sicherheitsmaßnahmen habe ich bereits implementiert? Anhand dieser Ergebnisse lassen sich dann die notwendigen Handlungen ableiten", sagt Torsten Wilhelm Töllner.

Was Unternehmen zur EU-Datenschutzreform beachten müssen
Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps.
Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden.
"Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können.
Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor.
Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können.
Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.

2. Umsetzungspartner suchen

"Der neue Sanktionsrahmen entspricht mehreren IT-Jahresbudgets - Fahrlässigkeit lässt sich nicht mehr einfach aus der Portokasse begleichen. Für eine lückenlose Umsetzung der Vorgaben sollten Unternehmen daher unbedingt juristische Partner und Sicherheitsexperten mit ins Boot holen", rät Töllner. SEC Consult selbst arbeitet hierfür eng mit Rechtsanwälten zusammen und bietet neben aussagekräftigen Risiko-Analysen und Implementierungen von Sicherheitsmaßnahmen eine umfassende Beratung.

Die EU-Datenschutz-Grundverordnung (EU-DS-GVO) (Übersicht)

  1. Ist Teil der EU-Datenschutzreform

  2. Tritt mit 24. Mai 2016 in Kraft

  3. Geltung mit 25. Mai 2018 (zwei Jahre Umsetzungszeitraum)

  4. Ziel: Vereinheitlichung eines hohen Datenschutzniveaus für die gesamte Europäische Union -

  5. "Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten"

  6. Betroffen ist jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet -

  7. somit fallen auch internationale Größen wie Google, Facebook & Co. unter die Regelung

  8. Unternehmen müssen organisatorische und technische Schutzmaßnahmen in den Bereichen Datenschutz und Datensicherheit nachweislich treffen und dokumentieren

  9. Unternehmen müssen ein "Risiko-angemessenes Schutzniveau" vorweisen können

  10. Massive Verschärfung des Sanktionsrahmens: Je nach Verstoß bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes; Strafrahmen wird jedoch an den getätigten Vorbereitungen bemessen

Torsten Wilhelm Töllner, Geschäftsführer SEC Consult Deutschland: "Mit der EU-Datenschutz-Grundverordnung kommt der IT-Sicherheit nun im Datenschutz-Kontext eine tragende Rolle zu."
Foto: Neugebauer

SEC Consult ist der führende Berater im Bereich Cyber- und Applikationssicherheit im deutschsprachigen Raum. Das Unternehmen mit Niederlassungen in Berlin, Frankfurt, Linz, Vilnius, Wien, Singapur und Zürich ist Spezialist für den Aufbau von Informationssicherheits-Management und Zertifizierungsbegleitung ISO 27001, Cyber-Defence, DDoS-Tests, externe und interne Sicherheitstests, sichere Software(-Entwicklung) und die schrittweise, nachhaltige Verbesserung des Sicherheitsniveaus.

Zu den Kunden von SEC Consult zählen führende Unternehmen, Behörden und Organisationen aus verschiedensten Sektoren der Privatwirtschaft sowie der kritischen Infrastruktur. Weitere Informationen finden Sie unter: www.sec-consult.com (rw)