Die Uhr tickt für Unternehmen. Ab Mai 2018 gilt es zahlreiche Datenschutz-Hürden zu nehmen. Wir sagen Ihnen, welche Anforderungen die EU-Datenschutzgrundverordnung mit sich bringt. [...]
Die General Data Protection Regulation (GDPR) – hierzulande auch als EU-Datenschutzgrundverordnung (DSGVO) bekannt – wird den Umgang von Unternehmen mit den Daten von EU-Bürgern maßgeblich verändern. Wenn die GDPR in Kraft tritt, müssen sich Unternehmen, die Geschäfte in EU-Ländern abwickeln, auf einiges gefasst machen. Die DSGVO regelt ab diesem Zeitpunkt nicht nur, wie die persönlichen Daten von Bürgern bei EU-internen Transaktionen gespeichert und geschützt werden müssen, sondern auch den Export solcher Daten in Länder außerhalb der Europäischen Union. Unternehmen, die persönliche Daten von EU-Bürgern speichern oder verarbeiten, müssen diesen Richtlinien ab dem 25. Mai 2018 genügen.
Die Vorschriften gelten gleichermaßen für alle 28 EU-Mitgliedsstaaten. Allerdings ist dieser EU-weite Standard auch ziemlich hoch angesetzt und wird dafür sorgen, dass die meisten Unternehmen größere Investitionen tätigen müssen. Die DSGVO besteht aus 99 Artikeln, die die Rechte von EU-Bürgern und die Anforderungen an Unternehmen, sowie die Strafen bei Nichteinhaltung definieren. Wir haben die für Unternehmen wichtigsten Anforderungen der Datenschutzgrundverordnung zusammengefasst.
DSGVO: Umgang mit persönlichen Daten
Artikel 5, Verarbeitung personenbezogener Daten: Alle personenbezogenen Daten müssen auf rechtmäßige und nachvollziehbare Weise verarbeitet und nur für festgelegte Zwecke erhoben werden. Die Daten dürfen dabei in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Die Daten müssen dabei in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet – einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen. Diese Maßnahmen wiederum sind nicht genau definiert. Es ist aber davon auszugehen, dass ein Unternehmen im Falle eines Datendiebstahls als nicht konform eingestuft wird.
Artikel 5, Verarbeitung personenbezogener Daten: Alle personenbezogenen Daten müssen auf rechtmäßige und nachvollziehbare Weise verarbeitet und nur für festgelegte Zwecke erhoben werden. Die Daten dürfen dabei in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Die Daten müssen dabei in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet – einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen. Diese Maßnahmen wiederum sind nicht genau definiert. Es ist aber davon auszugehen, dass ein Unternehmen im Falle eines Datendiebstahls als nicht konform eingestuft wird.
Artikel 6, 7 & 8, Zustimmung: Alle personenbezogenen Daten müssen auf rechtmäßige Weise verarbeitet werden. Das bedeutet im Klartext, dass jedes Individuum der Nutzung seiner persönlichen Daten ausdrücklich zustimmen muss. Die gesammelten Daten müssen außerdem nötig sein, um eine Aufgabe oder Transaktion abschließen zu können, die von der betreffenden Person veranlasst wurde. Ausgenommen sind hier nur Behörden.
Artikel 15, Auskunftsrecht: EU-Bürger haben das Recht, auf Nachfrage zu erfahren, welche ihrer persönlichen Daten ein Unternehmen zu welchen Zwecken nutzt.
Artikel 17, Recht auf Löschung: Unternehmen müssen auf Verlangen eines EU-Bürgers dessen persönliche Daten löschen.
Artikel 20, Recht auf Datenübertragbarkeit: Die Bürger der Europäischen Union können auf Verlangen den Transfer ihrer persönlichen Daten veranlassen.
Artikel 25 & 32, Datenschutz: Unternehmen müssen geeignete technische Maßnahmen treffen, um den Anforderungen zu genügen. Was genau „angemessen“ im Sinne der DSGVO/GDPR bedeutet, ist in Artikel 32 näher ausgeführt.
GDPR: Meldepflicht & Strafzahlungen
Artikel 33 & 34, Meldepflicht: Unternehmen müssen Sicherheitsvorfälle innerhalb von 72 Stunden nach Bekanntwerden an die zuständigen Behörden und auch die betroffenen Personen melden.
Artikel 33 & 34, Meldepflicht: Unternehmen müssen Sicherheitsvorfälle innerhalb von 72 Stunden nach Bekanntwerden an die zuständigen Behörden und auch die betroffenen Personen melden.
Artikel 35, Folgenabschätzung: Firmen sind dazu verpflichtet, eine Datenschutz-Folgeabschätzung vorzunehmen, um die Risiken für EU-Bürger einschätzen zu können. Die Abschätzung muss auch darüber informieren, welche Maßnahmen das Unternehmen trifft, um die entstandenen Risiken zu minimieren.
Artikel 37, 38 & 39, Datenschutzbeauftragter: Einige Unternehmen sind dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, der sowohl die Datenschutzstrategie als auch die DSGVO/GDPR-Konformität überwacht und sicherstellt. Einen Datenschutzbeauftragten brauchen diejenigen Unternehmen, die große Mengen persönlicher Daten von EU-Bürgern speichern oder verarbeiten und regelmäßige Datenprüfungen durchführen. Auch staatliche Behörden müssen einen Datenschutzbeauftragten einsetzen. Die International Association for Privacy Professionals (IAPP) geht davon aus, dass derzeit rund 28.000 Stellen für Datenschutzbeauftragte zu besetzen sind.
Artikel 50, Internationale Zusammenarbeit: International tätige Unternehmen, die personenbezogene Daten von EU-Bürgern sammeln, speichern oder verarbeiten, müssen den Richtlinien der Datenschutzgrundverordnung entsprechen.
Artikel 83, Strafen: Bei Verstößen können auf Unternehmen Strafzahlungen in Höhe von bis zu 20 Millionen Euro – oder vier Prozent des weltweiten Gesamtumsatzes – zukommen.
* Michael Nadeau ist Senior Editor bei unserer US-Schwesterpublikation CSO Online.
Be the first to comment