1 Nov 2017

Datenschutz-Grundverordnung (DSGVO)

Autor: Oliver (vectorsoft)
Kategorien: Mitteilungen

Datenschutz-Grundverordnung

Einleitung

Der 25. Mai 2018 rückt immer näher und damit auch die unmittelbare Geltung der europäischen Datenschutzgrundverordnung (DSGVO) in allen Mitgliedsstaaten.

Unternehmen aller Größen und Branchen, die in der EU ansässig sind oder auch nur Daten von EU-Bürgern verarbeiten, müssen sich daran halten. Die EU-DSGVO beschreibt dabei ein vollständig neues Datenschutzrecht, das aber durchaus viel Ähnlichkeit mit bisherigen Regelungen aufweist.

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

In Sachen Datenschutz steht allen Unternehmen einiges bevor: Die »Datenschutz-Grundverordnung« (DSGVO) hievt die Regeln für den Umgang mit personenbezogenen Daten auf ein EU-einheitliches Niveau und wartet mit grundlegenden – und teils gravierenden – Veränderungen auf.

Die Regelungen sind bereits offiziell in Kraft und müssen bis Mai 2018 umgesetzt werden.

Die EU-Richtlinien katapultieren den Datenschutz in die Zeit von Cloud-Computing und Big Data und wollen sicherstellen, dass der Datenschutz als fundamentales Grundrecht in ganz Europa einheitlich geregelt ist. Jedes Unternehmen, das Kundenbeziehungen in Europa unterhält und im Zuge dessen Käuferdaten sammelt, muss sich an die Datenschutz-Grundverordnung (DSGVO) halten. Dies gilt auch für Firmen, die ihren Sitz außerhalb Europas haben und ihre Daten außerhalb europäischer Grenzen verwalten.

Wann tritt die DSGVO in Kraft?
Die EU-DSGVO ist bereits am 25. Mai 2016 in Kraft getreten. Momentan befinden wir uns noch in einer zweijährigen Übergangsfrist. Ab dem 25. Mai 2018 kommt das Gesetz auch zur Anwendung. Die Einhaltung überprüft die EU-Datenschutzaufsichtsbehörden und Gerichte bzw. in Deutschland die Bundesländer, die aktuell die nötigen Strukturen aufbauen.
Die DSGVO ersetzt in Deutschland das bisherige Bundesdatenschutzgesetz (BDSG) aus dem Jahr 1995, welches aus heutigen Gesichtspunkten vollkommen veraltet war.

Hauptanforderungen der DSGVO
Die Hautpanforderungen der DSGVO gliedern sich in vier Handlungsfelder.

1. Organisation: Alle Firmen ab zehn Mitarbeitern benötigen einen Datenschutzbeauftragten. Dies kann sowohl ein entsprechend qualifizierter Mitarbeiter sein, oder ein externer Dienstleister. Seminare zum Datenschutzbeauftragten dauern in der Regel drei Tage und kosten rund 2.000 Euro.

2. Prozesse: Hier ist die wichtigste Anforderung, dass innerhalb von 72 Stunden nachdem eine Datenschutzverletzung festgestellt wurde, die zuständige Aufsichtsbehörde informiert werden muss sowie die Betroffenen, wenn sie »voraussichtlich« zu einem »hohen Risiko« führt.

3. Die Technologie soll dem Stand der Technik entsprechen. Dies ist zwar sehr weich formuliert, die Verordnung soll aber auch noch in zehn Jahren Bestand haben. Alle künftigen Entwicklungen, sind hier bereits subsummiert. Stand der Technik bedeutet auch, Technik die am Markt verfügbar, sich in der Praxis bewährt hat und auch erschwinglich ist.

4. Recht: Der Anwendungsbereich der Verordnung betrifft alle EU-Bürger und Firmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Dabei ist der Aufenthalt in der EU ausreichend. Touristen und Geschäftsleute kommen ebenfalls in den »Genuss« der DSGVO, wenn in Deutschland (oder der EU) ansässige Unternehmen, ihre Daten verarbeiten. Die Nutzer müssen ihre Einwilligung für den jeweiligen Verwendungszweck geben, können dies Widerrufen und haben ein Recht auf Vergessen werden.

Strafen – waren früher eher »kleinere Strafzettel«
Ein Verstoß gegen DSGVO-Bestimmungen durch ein Unternehmen kann zu Geldstrafen und strafrechtlicher Verfolgung führen. Es ist das erste EU-Gesetz, das sich mit Datenschutz befasst. Die Strafen bei Verstößen sind drakonisch: bis zu vier Prozent eines Unternehmensjahresumsatzes, oder 20 Millionen Euro.

Das Recht auf Vergessen
Jede Firma, die mit personenbezogenen Daten von in der EU ansässigen Personen arbeitet, ist wie gesagt verpflichtet, ihre Informationsmanagement-Prozesse eingehend zu überprüfen. Dazu gehören künftig auch neue Grundsätze wie »das Recht auf Vergessen« und Meldepflichten. So muss ein Unternehmen, unter Umständen persönliche Daten innerhalb einer Frist löschen, wenn ein Nutzer dies fordert. Auch müssen von einer Datenschutzverletzung betroffene Personen unverzüglich darüber informiert werden, wenn ihre persönliche Daten in falsche Hände gelangten und dies eine ernsthafte Bedrohung ihrer Rechte und Freiheiten darstellt.
Das Problem: Die meisten Unternehmen kennen bei mehr als der Hälfte ihrer gespeicherten Daten den genauen Inhalt nicht. Die Branche spricht hier auch von »Dark Data«, also Daten, deren Inhalt dem Besitzer unbekannt ist. Dieser Mangel an Transparenz macht es für Unternehmen schwierig, einfach und schnell die richtigen Daten zu finden.

Diese Informationen wurden zum Teil aus der Zeitschrift: „Das Storage-Magazin“ übernommen.

Quelle
Gefällt mir! Einem Besucher gefällt dieser Artikel.
Weitere Artikel

Kommentar abgeben

Sie müssen angemeldet sein, um Kommentare abgeben zu können.

  • Navigation

    oder
  • Kategorien

  • Anmelden

    Registrieren

  • Links