Gerüstet für die EU-Datenschutz-Grundverordnung

LinkedInXingPocketWhatsAppFlipboard

RichterhammerMit dem Ende der Trilog-Verhandlungen im Dezember 2015 wurde die endgültige Fassung der EU-Datenschutz-Grundverordnung (DS-GVO) verabschiedet.

In der unendlichen Geschichte der kurz „DS-GVO“ genannten Verordnung waren immer wieder neue Hürden aufgetaucht. Die finale Textfassung wurde dann im April endgültig vom EU-Parlament beschlossen.

Anzeige

Die DS-GVO wird im Mai 2018 in Kraft treten. Die Uhr tickt also: Unternehmen bleiben noch knapp zwei Jahre, um ihre Rechenzentren auf Vordermann zu bringen. Genau genommen ist die DS-GVO seit fast einem Jahr in der nahezu finalen Version bekannt. Während dieser Zeit haben die Verhandlungsparteien allerdings noch einige wichtige Punkte diskutiert. Unternehmen, die diesen Prozess mitverfolgt haben, genießen insofern einen gewissen Vorsprung.

Was sind die zentralen Anforderungen der DS-GVO?

Unter den zahlreichen Anforderungen und Konzepten der DS-GVO haben wir die folgenden sechs Punkte als zentral ausgewählt:

  • Meldepflicht für Datenschutzverletzungen – Eine Neuerung der DS-GVO besteht darin, dass Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Behörde melden müssen. Die betroffenen Personen müssen zudem informiert werden, sofern der Vorfall „voraussichtlich ein hohes Risiko für [ihre] persönlichen Rechte und Freiheiten“ zur Folge hat.
     
  • Datenschutz-Folgeabschätzungen – Vor der Verarbeitung bestimmter Daten sind Unternehmen dazu verpflichtet, die Risiken für die Privatsphäre der betroffenen Personen zu analysieren. Auch das ist eine neue Anforderung der DS-GVO.
     
  • Privacy by DesignPrivacy-by-Design-Prinzipien spielen in den EU-Datenschutzbestimmungen seit jeher eine Rolle. Die neue Verordnung schreibt nun Prinzipien wie die Minimierung der erfassten und gespeicherten personenbezogenen Daten sowie die Einwilligung der betroffenen Personen zur Verarbeitung ihrer Daten fest.
     
  • Extraterritorialität – Das neue Prinzip der Extraterritorialität besagt, dass sämtliche Anforderungen der DS-GVO auch für Unternehmen ohne Niederlassung in der EU gelten, die aber Daten von EU-Bürgern verarbeiten (zum Beispiel über eine Website). Übersetzt heißt das: Die DS-GVO gilt ebenso außerhalb der EU. Das betrifft insbesondere E-Commerce- und andere cloudbasiert arbeitende Unternehmen.
     
  • Recht auf Vergessenwerden und auf Löschung – Die aktuelle Datenschutzrichtlinie sieht bereits seit Langem vor, dass Verbraucher die Löschung ihrer Daten verlangen können. Die DS-GVO erweitert dieses Recht auf im Internet veröffentlichte Daten. Hier geht es um das nach wie vor umstrittene Recht auf „Vergessenwerden“.
     
  • Geldbußen – Die DS-GVO umfasst ein abgestuftes Sanktionssystem, das den Gewinn eines Unternehmens empfindlich schrumpfen lassen kann. Ernsthaftere Verstöße können mit Geldstrafen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Dazu gehört beispielsweise die Nichteinhaltung grundlegender Datenschutzprinzipien, insbesondere „Privacy by Design“. Geringere – aber immer noch horrende – Geldbußen in Höhe von bis zu zwei Prozent des weltweiten Jahresumsatzes können verhängt werden, wenn Unternehmen Vorgänge nicht ordnungsgemäß dokumentieren oder die Aufsichtsbehörde und betroffene Personen nicht über eine Datenschutzverletzung informieren. Versäumnisse bei der Meldepflicht für Sicherheitsvorfälle können also durchaus kostspielig werden.

Die DS-GVO ist ein komplexes Gesetz, und dies ist bei weitem keine vollständige Liste aller wichtigen Regeln. In jedem Fall würden die meisten Rechts- und Compliance-Experten zustimmen, dass die Inventarisierung sämtlicher Daten ein erster sinnvoller Schritt in Richtung Compliance ist. Unternehmen müssen herausfinden, welche Daten wo gespeichert sind, wer darauf zugreifen kann und welche Berechtigungen erteilt wurden.

Genau das predigen wir an dieser Stelle schon lange. Im Hinblick auf die DS-GVO ist das aber nicht mehr länger nur eine gute Idee sondern eine wichtige Voraussetzung gesetzeskonform zu sein. 

Weitere Informationen:

Wer sich noch einmal zur DS-GVO schlau machen will dem sei dieser umfassende Blog-Beitrag zum Thema empfohlen. Weitere Hintergrundinformationen über die DS-GVO und ihre Entstehungsgeschichte aus der aktuellen EU-Datenschutzrichtlinie finden Sie in diesem Whitepaper.


Anzeige

Weitere Artikel

Datenschutz & GRC
AI Act: KI-Managementsystem nach ISO 42001 zu empfehlen
Datenschutz & GRC
Verantwortlichkeit für die Umsetzung des Datenschutzes
Datenschutz & GRC
DSGVO-konforme Datenlöschung – So geht’s!
Datenschutz & GRC
Tipps und Best Practices zum World Backup Day 2024
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.