Mit dieser neuen Verordnung werden wesentliche neue Verpflichtungen für Unternehmen eingeführt, die personenbezogene Daten verarbeiten. Für Regelverstöße sind strenge Sanktionen vorgesehen, darunter Geldstrafen von bis zu vier Prozent des weltweiten Umsatzes oder 20 Millionen Euro, je nachdem, welche Zahl höher ist.
Einige der wichtigsten Änderungen sind neue Regeln für die Benachrichtigung von Behörden im Falle einer Datenschutzverletzung, ein Recht auf Datenübertragbarkeit, nach dem Personen ihre persönlichen Daten anfordern können, um diese an einen anderen Dienst zu übertragen, ein Recht auf Löschung, nach dem Unternehmen auf Anforderung betroffener Personen verpflichtet sind, personenbezogene Daten zu löschen, die Verpflichtung von Unternehmen, unter bestimmten Voraussetzungen Datenschutzfolgenabschätzungen durchzuführen, bevor personenbezogene Daten verarbeitet werden dürfen, sowie die Verpflichtung von Unternehmen, die bestimmte Arten von Datenverarbeitung vornehmen, einen Datenschutzbeauftragten zu ernennen.
Ratgeber: DS-GVO - was Cloud-Nutzer wissen sollten
Auch wenn bis zum Inkrafttreten der Verordnung nicht einmal mehr ein Jahr bleibt, haben viele Unternehmen noch keine Vorbereitungen unternommen und müssen erst noch eine Compliance-Strategie entwickeln und umsetzen.
Jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet, benötigt eine individuelle Strategie, die unter anderem von Faktoren wie der Unternehmensgröße, der Art und Menge der verarbeiteten Daten sowie seinen derzeitigen Sicherheits- und Datenschutzmaßnahmen abhängt. Unternehmen wird ausdrücklich empfohlen, sich juristisch beraten zu lassen, um festzustellen, was in ihrer jeweiligen Situation erforderlich sein könnte. Es gibt aber auch Anforderungen, die alle Unternehmen - auch die kleinsten - betreffen.
"Verstehen" Sie Ihre Daten!
Der erste Schritt auf dem Weg zur DSGVO-Compliance (Datenschutz-Grundverordnung) ist, zu verstehen, wie personenbezogene Daten in Ihrem Unternehmen gespeichert, verarbeitet, geteilt und genutzt werden. Eine gründliche Prüfung setzt voraus, dass Sie Ihre aktuelle Vorgehensweise mit den Anforderungen der neuen Verordnung vergleichen und überlegen, was Sie verändern müssen, um die Vorgaben auf eine Weise zu erfüllen, die zu den Bedürfnissen Ihrer Organisation passt. Denken Sie daran, dass die Erfüllung der Verpflichtungen laut DSGVO nicht nur die Richtlinien und Maßnahmen Ihres eigenen Unternehmens einschließt, sondern auch die jeglicher Anbieter, die in Ihrem Namen personenbezogene Daten verarbeiten.
Ratgeber: DS-GVO - was Unternehmen jetzt tun sollten
Bestimmen Sie die Verantwortlichkeiten für den Datenschutz in Ihrem Unternehmen
Alle Unternehmen werden ab dem 25. Mai 2018 verpflichtet sein, Programme für Datenschutz-Compliance einzuführen. Möglicherweise müssen Sie Ihre Datenschutzrichtlinien verschärfen und Ihre Mitarbeiter schulen. Nicht alle Unternehmen werden einen Datenschutzbeauftragten ernennen müssen. Die Anleitung legt nahe, dass solche Beauftragten für Unternehmen notwendig sind, die in zwei Feldern tätig sind: der großflächigen Verarbeitung spezieller Datenkategorien oder der großflächigen Beobachtung persönlicher Daten, beispielsweise in der verhaltensbasierten Zielgruppenwerbung.
Stellen Sie eine rechtliche Basis für die Datenverarbeitung sicher
Ihr Unternehmen sollte prüfen, welche Rechtsgrundlagen es aktuell für die Verarbeitung verschiedener Arten von persönlichen Daten nutzt. Wenn Sie Zustimmung als Grundlage für die Datenverarbeitung nutzen, müssen Sie überlegen, wie Sie diese Zustimmung einholen, und in der Lage sein, klar zu zeigen, wie und wann diese Zustimmung erteilt wurde.
Beachten Sie die Rechte von betroffenen Personen
Laut DSGVO hat jede Person, deren Daten Sie verarbeiten, neue Rechte, darunter das Recht, auf ihre eigenen persönlichen Daten zuzugreifen oder diese korrigieren, löschen oder elektronisch übertragen zu lassen. Kann Ihr Unternehmen Kundendaten schnell und einfach finden, löschen und bewegen? Verfügen Sie über die Kapazitäten, um schnell auf Anfragen zu personenbezogenen Daten zu reagieren? Hat Ihr Unternehmen und Dritte, mit denen Sie zusammenarbeiten, Aufzeichnungen darüber, wo sich Daten befinden, wie sie verarbeitet werden und wo sie geteilt wurden?
Ratgeber: Wie Systemhäuser die DSGVO in den Griff bekommen
Gewährleisten Sie den eingebauten Datenschutz
Laut DSGVO sind Unternehmen dazu verpflichtet, einen eingebauten Datenschutz bei der Entwicklung neuer Projekte, Prozesse oder Produkte von Anfang an zu berücksichtigen. Die Grundidee hinter eingebautem Datenschutz ist, dass Datenschutzrisiken verringert werden, wenn man Datenschutz von Anfang an als Teil des Projekts begreift, anstatt nachträglich Datenschutzmaßnahmen zu integrieren. Haben Sie sichergestellt, dass der Zugriff auf personenbezogene Daten ausschließlich auf Personen in Ihrem Unternehmen eingeschränkt ist, die ihn wirklich benötigen? Unter bestimmten Bedingungen sollten Sie Datenschutzfolgenabschätzungen durchführen, bevor Sie personenbezogene Daten verarbeiten.
Bereiten Sie sich auf das Management von Datenschutzverletzungen vor
Ihr Unternehmen muss über geeignete Richtlinien und Prozesse für das Data Breach Management verfügen. Vergewissern Sie sich, dass Sie wissen, welchen Behörden Sie Datenpannen melden müssen, und machen Sie sich mit den entsprechenden Fristen vertraut. Das Versäumnis, eine Datenpanne ordnungsgemäß zu melden - und Datenpannen als solche - können Geldstrafen nach sich ziehen.
Kommunizieren Sie wichtige Informationen
Laut DSGVO sind Sie verpflichtet, Personen die rechtlichen Grundlagen für die Verarbeitung ihrer Daten mitzuteilen und sicherzustellen, dass die Personen die Behörden kennen, bei denen sie im Problemfall Beschwerde einlegen können. Stellen Sie sicher, dass Ihre Online-Datenschutzerklärungen auf dem neuesten Stand sind.
Arbeiten Sie gemeinsam mit Ihren Anbietern
DSGVO-Compliance erfordert eine umfassende Betrachtung Ihrer Datensicherheit, einschließlich der Anbieter, die in Ihrem Namen personenbezogene Daten verarbeiten. Der Einsatz eines Drittanbieters für die Datenverarbeitung befreit ein Unternehmen nicht von seinen Pflichten gemäß DSGVO. Prüfen Sie, ob Ihre Datenverarbeitungsanbieter internationale Datenschutzstandards erfüllen, Erfahrung im Datensicherheitsmanagement in großem Umfang haben und über Tools verfügen, die Ihre Data Governance verbessern und Verletzungsrisiken verringern.
Vergewissern Sie sich außerdem, ob Ihre Anbieter international anerkannte Standards für Datensicherheit und Datenschutz erfüllen, beispielsweise ISO 27018. Befragen Sie Ihre Anbieter zu den Maßnahmen in Bezug auf Netzwerk- und Informationssicherheit (z. B. Verschlüsselung und Kontrollen auf Anwendungsebene), Sicherheitsrichtlinien, Schulungen und Risikoevaluierung sowie Tests.
Auf der Kehrseite können IT-Dienstleistungen von Drittanbietern aber auch die Unternehmen, insbesondere kleine und mittlere Unternehmen, bei der Erfüllung der Bestimmungen unterstützen. Der Einsatz cloudbasierter Lösungen, bei denen Sicherheit und Datenschutz standardmäßig eingebaut sind, könnte beispielsweise bei Ihren Vorbereitungen auf die DSGVO-Compliance eine wichtige Rolle spielen. Unternehmen sollten sich dabei genau anschauen, wie diese Dienstleistungen helfen können, den Datenzugriff innerhalb Ihres Unternehmens zu kontrollieren, auf Anfragen von Personen bezüglich ihrer Daten zu reagieren oder ihre Sicherheit zu erhöhen. (rw)