SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Security Concept Schloss Shutterstock 160Am 27. April 2017 hat der Bundestag ein neues Bundesdatenschutzgesetz (BDSG) verabschiedet. Damit setzt der Gesetzgeber die Vorgaben der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) um, die ein einheitlich hohes Datenschutzniveau in den Mitgliedsländern der Europäischen Union schaffen soll. Die neuen Regelungen treten am 25. Mai 2018 in Kraft.

Trotz der gleichlautenden Bezeichnung und dem Bemühen des Gesetzgebers um Kontinuität hat das neue BDSG nur noch wenig mit seinem Vorgänger gemeinsam. Zwar gilt Deutschland als Vorreiter bei Datenschutzfragen, dennoch ist die Erfüllung der zahlreichen Detailverpflichtungen eine Herausforderung für Unternehmen. Zudem drohen bei Nichtbeachtung empfindliche Geldbußen von bis zu 20 Mio. EUR oder bis zu 4 % des globalen Umsatzes.

Dr. Christian Lenz, Rechtsanwalt und Datenschutzbeauftragter vom Bonner Beratungsunternehmen dhpg, nimmt Stellung zum Gesetz: „Wir empfehlen, sich schon jetzt intensiv mit der DSGVO und ihrer Umsetzung auseinanderzusetzen. Durch den massiv erweiterten Bußgeldrahmen und die umfangreichen Dokumentationspflichten dürften Datenschutzverstöße künftig empfindlich geahndet werden. Zudem ist der verbleibende Umsetzungszeitraum von rund einem Jahr knapp bemessen für einen Veränderungsprozess eines solchen Umfangs – unter Umständen muss die gesamte Datenschutz-Struktur verändert werden. Unternehmen und öffentliche Stellen sind daher gut beraten, schon jetzt eine Lückenanalyse durchzuführen, um darauf aufbauend eine geeignete und den Compliance-Anforderungen genügende Datenschutz-Struktur zu schaffen.“

Mit einem stringenten Plan und Checklisten können sich Unternehmen und öffentliche Stellen auf die kommenden Herausforderungen durch das neue Datenschutzrecht vorbereiten.

Dr. Lenz: „Wir empfehlen hierfür einen Zeitraum von wenigstens 6 Monaten. Von der Initiierung, Planung, Zielbild- und Lückenanalyse, Maßnahmenbestimmung bis hin zur Umsetzung kann innerhalb dieses Zeitrahmens eine Datenschutzorganisation aufgebaut oder weiterentwickelt werden. Natürlich sollte dies im Verhältnis zur Unternehmensgröße stehen, gerade im Mittelstand. Hier können mit Outsourcing und externen Beratungsleistungen Ressourcen geschont werden.“

Die sieben wichtigsten Neuerungen im Rahmen der EU-DSGVO hat die dhpg in einer Checkliste zusammengefasst:

7 zentrale Neuerungen beim Datenschutz: Was Unternehmen nun beachten müssen

1. Datennutzung: Zunächst wurde nochmals festgeschrieben, dass personenbezogene Daten nur nach einer Einwilligung oder gesetzlichen Grundlage genutzt werden dürfen.

2. Datensicherheit: Unternehmen werden verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten zu treffen und diese zu dokumentieren.

3. Recht auf Vergessen werden: Unternehmen müssen Daten löschen, wenn die Betroffenen dies wünschen. Hier bedarf es – wie auch für andere Betroffenenrechte (Auskunftsrechte etc.) – entsprechender organisatorischer Vorkehrungen in den Unternehmen.

4. Dokumentation der Organisation: Unternehmen sind angehalten, die zum Schutz der Daten geschaffene Organisation und risikomindernden Maßnahmen sowie die zugrunde liegenden Rechtsgrundlagen zu dokumentieren. Zudem muss jedes Unternehmen die Datenschutzziele wie Datenvermeidung, Transparenz der Verarbeitung und Zweckbindung nachweisbar verfolgen. Das Verzeichnis der Verarbeitungstätigkeiten ist das Kernstück der Dokumentation.

5. Datenschutz-Folgenabschätzung: Für kritische Datenverarbeitungen – und das sind fast alle – muss vor der Verarbeitung detailliert dargestellt werden, auf welcher Grundlage die Verarbeitung erfolgt und wie die Risiken zu bewerten sind.

6. Reaktion auf Datenpannen: Die Aufsichtsbehörde ist bei Hackerangriffen oder Datenpannen innerhalb von 72 Stunden zu informieren. Ebenso muss die betroffene Person unverzüglich informiert werden. Hierfür bedarf es organisatorischer Vorkehrungen.

7. Empfindliche Bußgelder: Bei Nichtbeachten drohen empfindliche Bußgelder bis zu 20 Mio. € oder bis zu 4 % des Jahresumsatzes im gesamten Konzern.

www.dhpg.de
 

GRID LIST
Tb W190 H80 Crop Int 706ed058ba0004d4fe9159b0807ac61f

WhatsApp und Co. können für Unternehmen teuer werden

Mit Inkrafttreten der EU-Datenschutzverordnung werden Kommunikationstools wie WhatsApp…
Frau hält EU-Flagge

DSGVO und Versicherer – Eins nach dem Anderen

Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz und die Rechte der Versicherten…
Tb W190 H80 Crop Int 41266e15a4e5a9846fa11a56dc162bde

Compliance-Check testet Datenschutzpraxis von Unternehmen

Der europäische Security-Hersteller ESET stellt Organisationen und Unternehmen einen…
Datenschutz

Ab 2018 haften Geschäftsführer in Millionenhöhe

Wenn Geschäftsführer und Vorstände die neue EU-Datenschutz-Grundverordnung (DSGVO) nicht…
Security Specialist

Der moderne Datenschutzbeauftragte

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in…
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet