Die Lösung des EU-Gesetzgebungs-Dschungels?

Das bringt die EU-Datenschutz-Grundverordnung

| Autor / Redakteur: Andy Green / Heidemarie Schuster

Compliance mit der DS-GVO

Zu den wichtigen Streitpunkten gehörten die Meldefrist für Sicherheitsvorfälle (24 Stunden im Entwurf des Parlaments versus 72 Stunden in dem des Rats), das Benennen eines Datenschutzbeauftragten (obligatorisch versus freiwillig) und die maximale Höhe der Geldbußen bei Verstößen (fünf Prozent versus zwei Prozent des weltweiten Jahresumsatzes des für die Verarbeitung Verantwortlichen).

Im Laufe der Verhandlungen wurde ein Ziel der DS-GVO bereits aufgegeben. Nämlich dass, eine zentrale Aufsichtsbehörde zu schaffen, die Beschwerden bearbeitet und die Umsetzung des Gesetzes sicherstellt.

Der Entwurf des EU-Rats sieht vor, dass der für die Verarbeitung Verantwortliche sich an die Datenschutzbehörde des Landes seiner Hauptniederlassung wendet. Werden personenbezogene Daten in ein anderes EU-Land übertragen, wird die Sache allerdings kompliziert. Dann wäre auch die dortige Datenschutzbehörde betroffen. Können sich die Datenschutzbehörden nicht einigen, geht der Fall an den übergeordneten Europäischen Datenschutzausschuss, der dann das letzte Wort hat.

Im Endeffekt werden es Unternehmen also wohl doch mit mehreren Datenschutzbehörden zu tun haben.

Für Unternehmen, die Neulinge auf dem europäischen Markt sind, und für jedes Unternehmen (insbesondere aus den USA), das in die Extraterritorialitäts-Falle tappt, kann die DS-GVO durchaus ein Schock sein. Dies gilt vor allem für webbasierte Dienste, die nicht unter die bestehenden US-amerikanischen Datenschutzgesetze für die Medizin- oder Finanzbranche fallen.

Unternehmen sollten ihre Aufmerksamkeit grundsätzlich auf die folgenden Bereiche konzentrieren:

  • Datenklassifizierung – Unternehmen sollten in Erfahrung bringen, wo im System personenbezogene Daten gespeichert sind insbesondere in unstrukturierten Formaten wie in Dokumenten, Präsentationen und Kalkulationstabellen. Das ist wichtig, um die Daten schützen und Anforderungen zum Korrigieren und Löschen von Daten nachkommen zu können.
  • Metadaten – Aufgrund der Speicherfristen muss man wissen, wann, weshalb und für welchen Zweck Daten erfasst wurden. Bei personenbezogenen Daten, die in IT-Systemen gespeichert sind, sollte regelmäßig geprüft werden, ob sie weiterhin aufbewahrt werden müssen.
  • Governance – Nachdem der Datenschutz durch Technik nun gesetzlich festgeschrieben wird, sollten sich Unternehmen mit den Grundprinzipien der Data Governance vertraut machen. Für unstrukturierte Daten sollten sie also Klarheit darüber haben, wer personenbezogene Daten verwendet und wer zugriffsberechtigt sein sollte. Darüber hinaus sollten Unternehmen eine rollenbasierte Zugriffskontrolle einführen. Dabei erhält jeder Mitarbeiter genau die Rechte, die er braucht, um seinen Job zu machen.
  • Überwachung – Die Meldepflicht für Sicherheitsvorfälle bedeutet zusätzlichen Aufwand seitens der für die Verarbeitung Verantwortlichen. Firmen sollten in der Lage sein, ungewöhnliche Zugriffsmuster bei der Verwendung personenbezogener Daten zu erkennen und Datenschutzverletzungen unverzüglich ihrer Datenschutzbehörde zu melden. Wird das unterlassen, drohen empfindliche Geldbußen insbesondere für multinationale Konzerne mit hohen Umsätzen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43793057 / Compliance und Datenschutz )