11 Mai 2017

Was Ihr Unternehmen über GDPR/DSGVO wissen sollte

Business

Die Menge an personenbezogenen Daten, die durch Unternehmen verloren gehen, die diese speichern oder bearbeiten, ist in besorgniserregender Geschwindigkeit innerhalb der letzten Jahre gewachsen. Yahoos rekordbrechendes Datenleck 2016 — von dem man annimmt, dass eine halbe Milliarde an Datensätzen gestohlen wurde, scheint man schwer überbieten zu können, aber es wurde durch einen einzigen Vorfall letztes Jahr dennoch übertrumpft. Ein berüchtigter Spammer unter dem Namen River City Media verlor, unter anderen personenbezogenen Angaben, 1,37 Milliarden E-Mail-Adressen— eine unfassbar gigantische Menge.

Mit Hunderten von Millionen potentiell durch ein einfaches Datenleck gefährdeten Personen und da der Schutz personenbezogener Daten ein heißes Thema in vielen Ländern rund um den Globus ist, haben verständlicherweise die Probleme von Datenschutz und Sicherheit die Aufmerksamkeit von Politikern auf sich gezogen.

Regierungsorganisationen haben damit begonnen, tätig zu werden. So müssen zum Beispiel innerhalb der nächsten 12 Monate Unternehmen, die geschäftlich in der Europäischen Union tätig sind, eine neue Reihe von Datenschutzregelungen einhalten und zwar die Datenschutzgrundverordnung (DSGVO). Die DSGVO sieht vor, Datenschutzregelungen innerhalb Europas zu vereinen und Compliance-Verpflichtungen für den Datentransfer innerhalb der EU und zwischen den EU-Mitgliedsstaaten und deren globalen Partnern festzulegen. Grundsätzlich zielt diese Richtlinie darauf ab, den Umgang und die Speicherung von personenbezogenen Daten zu verbessern und dadurch Missbräuche zu verhindern.

Es folgt eine Zusammenfassung der Initiative.

Was ist die DSGVO?

Erstens formuliert die DSGVO die vage Definition von personenbezogener Information gemäß der EU-Richtlinie für Datenschutz neu („alle Information, die sich auf eine lebende, identifizierte oder identifizierbare natürliche Person beziehen“) und fügt weitere Kontexte hinzu. Nach den Änderungen, die nächstes Jahr rechtswirksam werden, gelten solche Daten wie IP-Adressen, genetische, psychischen, kulturelle, wirtschaftliche oder soziale Informationen als personenbezogene Daten. Sogar Spitznamen oder Pseudonyme sind hier eingeschlossen— in vielen Fällen können diese einem konkreten Individuum innerhalb einer Organisation zugeschrieben werden. Kundennamen, Telefonnummern und Adressen, Liefernachweise und Personalverzeichnisse fallen unter diese Definition.

Zweitens definiert die DSGVO eine Anzahl an Maßnahmen, die darauf abzielen, die Transparenz von Datenkontrollen und Datenverwaltung zu erhöhen: Striktere Einverständnis wird von dem Nutzer verlangt, und die Nutzer werden ihr Einverständnis nach ihrem freien Willen widerrufen können. Nutzer werden das Recht haben, sich darüber zu informieren, wie, wo und für welchen Zweck ihre personenbezogenen Daten bearbeitet werden. Nutzer werden auch die Möglichkeit haben, alle ihre personenbezogenen Daten von Organisation einfordern zu können, die diese Daten verwenden, und sie erhalten das Recht, die Löschung ihrer Daten von den Servern dieser Organisation zu beantragen.

Zum Schluss müssen Datenschutz-Verfahren von Anfang an beim Einführen eines neuen Systems eingeschlossen werden, um dem Grundsatz von „Datenschutz durch Technik“ zu entsprechen. Außerdem wird es Organisationen, deren Hauptaktivität darin liegt, eine große Menge an personenbezogenen Daten zu verarbeiten, vorgeschrieben, einen Datenschutzbeauftragten zu haben. Auch wenn diese Maßnahmen darauf abzielen, die Wahrscheinlichkeit eines Datenlecks zu verringern, wenn doch eins auftreten sollte, müssen Unternehmen dies innerhalb von 72 Stunden melden, damit die Datenprüfer über den Vorfall Bescheid wissen.

Die Unternehmen, die diese Richtlinien nicht einhalten, werden schwere Strafzahlungen erleiden— bis zu 4% des jährlichen Gesamtumsatzes (also aller Einkünfte) oder bis zu 20 Millionen Euro, was auch immer höher ist. Ja, Sie haben richtig gelesen— des jährlichen Gesamtumsatzes. Für globale Unternehmen, auch wenn sie keine direkte Präsenz in Europa haben, beziehen sich die Richtlinien auf alle personenbezogenen Daten, die sie bezogen auf EU-Bürger kontrollieren und verwalten, unabhängig davon, ob die Datenverarbeitung in Europa oder woanders stattfindet.

In den nächsten Monaten werden wir darüber berichten, wie die DSGVO verschiedene Bereiche innerhalb unseres Unternehmens beeinflusst: IT, HR, Verkauf und Marketing, die Rechtsabteilung und das Finanzwesen sowie die Rechnungsstellung. Sind Sie bereit? Wir sind dafür da, Sie durch den Vorbereitungsprozess zu führen.