Suchen

Datenschutz

Die neue EU-Datenschutz-Grundverordnung im Detail

Seite: 4/4

Firmen zum Thema

Compliance mit der DS-GVO

Zu den wichtigen Streitpunkten gehörten die Meldefrist für Sicherheitsvorfälle (24 Stunden im Entwurf des Parlaments vs. 72 Stunden in dem des Rats), das Benennen eines Datenschutzbeauftragten (obligatorisch vs. freiwillig) und die maximale Höhe der Geldbußen bei Verstößen (fünf Prozent vs. zwei Prozent des weltweiten Jahresumsatzes des für die Verarbeitung Verantwortlichen).

Im Laufe der Verhandlungen wurde ein Ziel der DS-GVO bereits aufgegeben. Nämlich das, eine zentrale Aufsichtsbehörde zu schaffen, die Beschwerden bearbeitet und die Umsetzung des Gesetzes sicherstellt.

Der Entwurf des EU-Rats sieht vor, dass der für die Verarbeitung Verantwortliche sich an die Datenschutzbehörde des Landes seiner Hauptniederlassung wendet. Werden personenbezogene Daten in ein anderes EU-Land übertragen, wird die Sache allerdings kompliziert.

Dann wäre auch die dortige Datenschutzbehörde betroffen. Können sich die Datenschutzbehörden nicht einigen, geht der Fall an den übergeordneten Europäischen Datenschutzausschuss, der dann das letzte Wort hat.

Im Endeffekt werden es Unternehmen also wohl doch mit mehreren Datenschutzbehörden zu tun haben.

Für Unternehmen, die Neulinge auf dem europäischen Markt sind, und für jedes Unternehmen (insbesondere aus den USA), das in die Extraterritorialitäts-Falle tappt, kann die DS-GVO durchaus ein Schock sein. Dies gilt vor allem für webbasierte Dienste, die nicht unter die bestehenden US-amerikanischen Datenschutzgesetze für die Medizin- oder Finanzbranche fallen.

Unternehmen sollten ihre Aufmerksamkeit grundsätzlich auf die folgenden Bereiche konzentrieren:

  • Datenklassifizierung – Unternehmen sollten in Erfahrung bringen, wo im System personenbezogene Daten gespeichert sind insbesondere in unstrukturierten Formaten wie in Dokumenten, Präsentationen und Kalkulationstabellen. Das ist wichtig, um die Daten schützen und Anforderungen zum Korrigieren und Löschen von Daten nachkommen zu können.
  • Metadaten – Aufgrund der Speicherfristen muss man wissen, wann, weshalb und für welchen Zweck Daten erfasst wurden. Bei personenbezogenen Daten, die in IT-Systemen gespeichert sind, sollte regelmäßig geprüft werden, ob sie weiterhin aufbewahrt werden müssen.
  • Governance – Nachdem der Datenschutz durch Technik nun gesetzlich festgeschrieben wird, sollten sich Unternehmen mit den Grundprinzipien der Data Governance vertraut machen. Für unstrukturierte Daten sollten sie also Klarheit darüber haben, wer personenbezogene Daten verwendet und wer zugriffsberechtigt sein sollte. Darüber hinaus sollten Unternehmen eine rollenbasierte Zugriffskontrolle einführen. Dabei erhält jeder Mitarbeiter genau die Rechte, die er braucht, um seinen Job zu machen.
  • Überwachung – Die Meldepflicht für Sicherheitsvorfälle bedeutet zusätzlichen Aufwand seitens der für die Verarbeitung Verantwortlichen. Firmen sollten in der Lage sein, ungewöhnliche Zugriffsmuster bei der Verwendung personenbezogener Daten zu erkennen und Datenschutzverletzungen unverzüglich ihrer Datenschutzbehörde zu melden. Wird das unterlassen, drohen empfindliche Geldbußen insbesondere für multinationale Konzerne mit hohen Umsätzen.

Dieser Beitrag erschien ursprünglich bei unserer Schwesterpublikation Elektronikpraxis (verantwortlicher Redakteur: Stefan Liebing)

(ID:43791345)