Was sich für Unternehmen beim Datenschutz ändert

Es sind nur noch wenige Monate, bis die europäische Datenschutzgrundverordnung (EU-DSGVO) am 25. Mai 2018 in Kraft tritt. Dann gelten für alle EU-Länder die gleichen Standards. Während der Stichtag immer näher rückt, müssen sich die Verantwortlichen durch eine Flut an Informationen kämpfen. Bei Verstößen gegen die neuen Bestimmungen drohen nämlich hohe Bußgelder. Helko Kögel, Director Consulting von Rohde & Schwarz Cybersecurity, erklärt, worauf Unternehmen achten sollten

Die EU-DSVGO auch als Chance verstehen

Vorab die gute Nachricht: Die anstehenden Veränderungen bieten auch große Chancen, denn Unternehmen haben die Möglichkeit, ihr Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern zu untermauern, wenn sie die Richtlinie umsetzen. Im Zeitalter rasanter Digitalisierung und daten-getriebener Wirtschaft ist ein gewissenhafter und integrer Umgang mit Informationen unabdingbar.

Ein weiterer Vorteil: Um nachweisen zu können, dass ein Unternehmen datenschutzrechtliche Vorgaben einhält, muss es ein Datenschutzmanagementsystem einführen. Diese notwendige Bedingung der Verordnung stellt einen hohen Nutzen für Unternehmen dar. Der Datenschutzbeauftragte erhält über ein risikobasiertes Managementsystem schnell eine Übersicht über die laufende Verarbeitung von personenbezogenen Daten und kann darauf seine datenschutzrechtliche Prüfung aufbauen. Im Falle einer Prüfung durch die zuständige Aufsichtsbehörde für Datenschutz ist dann die Vorlage des Verfahrensverzeichnisses jederzeit möglich. Darüber hinaus gewährleistet ein solches Verzeichnis Transparenz und Qualität – auch gegenüber Dritten.

Erhöhte Dokumentations- und Nachweispflichten

Die zentralen Prinzipien zur Modernisierung des Datenschutzes  lauten:

Rechtmäßigkeit und Transparenz

Ohne eine Ermächtigungs- beziehungsweise Rechtsgrundlage dürfen keine personenbezogenen Daten erhoben und benutzt werden.

Zweckbindung

Die personenbezogenen Daten, für die eine Ermächtigungsgrundlage vorhanden ist, dürfen nur zu dem Zweck verwendet werden, für den diese Ermächtigung erteilt wurde.

Datenminimierung

Die Datenverarbeitung muss auf das notwendigste Maß beschränkt werden.

Richtigkeit von Daten

Bei falschen und unsachlichen Daten gilt sofortiger Anspruch auf Berichtigung beziehungsweise Löschung.

Speicherbegrenzung

Die neue Verordnung besagt, dass die Datenspeicherung auf den Zeitraum der Verarbeitung beschränkt ist und unbegrenzte Datenspeicherung vermieden werden muss.

Integrität und Vertraulichkeit

Die personenbezogenen Daten müssen angemessen gesichert werden vor Manipulation oder Fälschung. Vor dem Hintergrund, dass die Zahl der Cyberangriffe auf Datenbanken und Zugangsberechtigungen stetig steigt, hat dieses Prinzip in der EU-Verordnung einen neuen Stellenwert.

Rechenschaftspflicht

Die Einhaltung dieser Grundsätze muss nachgewiesen werden. 

Zentrales Thema: Sicherheit der Datenverarbeitung

Ein wesentlicher Aspekt der EU-DSGVO ist die Sicherheit der Datenverarbeitung. Um Integrität und Vertraulichkeit zu gewährleisten, müssen Unternehmen bei der Verarbeitung personenbezogener Daten technische und organisatorische Maßnahmen ergreifen, die einen Schutz vor unbefugter oder unrechtmäßiger Verarbeitung der Daten, ihren Verlust sowie ihre unbeabsichtigte Zerstörung oder Schädigung sicherstellen. Die Wahl der konkreten Technologien und Maßnahmen soll dabei gemäß der Wahrscheinlichkeit und Schwere des Risikos für die Rechte der Betroffenen abgewogen werden.

Folgenabschätzung und Notfallplan

Die neuen Prinzipien stellen Unternehmen vor konkrete Herausforderungen. Sie müssen Maßnahmen ergreifen, die die Vertraulichkeit, Integrität und Belastbarkeit der Systeme und Dienste sicherstellen und die Verfügbarkeit der personenbezogenen Daten gewährleisten sowie eine Wiederherstellung der Daten ermöglichen. Vor allem die Abschätzung des Risikos nach einer festgelegten Methodik – das Fachwort lautet: Datenschutzfolgenabschätzungen – stellt eine erhöhte Anforderung an Unternehmen dar. Eine weitere Herausforderung sind die erweiterten Informations- und Auskunftspflichten gegenüber Betroffenen sowie eine generelle Ausweitung der Betroffenenrechte.

Sicherheitslösungen auf allen Ebenen

Um sich diesen Herausforderungen zu stellen empfiehlt sich die Einführung eines sogenannten Informationssicherheitsmanagementsystems (ISMS). Darin werden Verfahren und Regeln aufgestellt, die dafür sorgen, dass die benötigte Informationssicherheit im Unternehmen zunächst definiert, dann umgesetzt und kontinuierlich verbessert wird. Um dem erhöhten Anspruch der EU-DSGVO gerecht zu werden, bedarf es zudem eines breit aufgestellten Portfolios an IT-Sicherheitslösungen, die auf allen Ebenen zusammenarbeiten und ineinandergreifen. Dazu gehört unter anderem das Einrichten sicherer Netzwerke, des Monitorings, Applikationen und Clouds. Verantwortlich für die Initiierung und Umsetzung der oben genannten Maßnahmen ist immer der Datenschutzbeauftragte und zum Teil auch der IT-Sicherheitsbeauftragte. 

Fazit

Unternehmen, die personenbezogene Daten verarbeiten, müssen sich – unabhängig von der Unternehmensgröße – mit den anstehenden Veränderungen auseinandersetzen und sie bis Ende Mai 2018 umgesetzt haben. Die neuen Datenschutzbestimmungen sehen eine massive Verschärfung gegenüber dem bisherigen Datenschutzrecht vor. Bei Verstößen gegen die EU-DSGVO, kann die Aufsichtsbehörde Geldbußen in Höhe von bis zu 20 Mio. Euro oder bis zu vier Prozent des gesamten erzielten Jahresumsatzes verhängen.

Profilbild von Lisa Priller-Gebhardt
Lisa Priller-Gebhardt

 ist freie Journalistin und schreibt über die deutsche Medienlandschaft, vorwiegend für das Fachmagazin Werben & Verkaufen, aber auch für Kontakter, Welt am Sonntag, SZ sowie den Blog der BLM. Themenschwerpunkte sind Fernsehen, Digitalwirtschaft sowie Printmedien. Nach einem Volontariat bei Hubert Burda Media und dem Besuch der Deutschen Journalistenschule in München arbeitete sie für Bunte, Bild, Freundin, Antenne Bayern und die Jugendbeilage der Süddeutschen Zeitung, Jetzt.

Mehr