Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Andreas NiederbacherDie EU-Datenschutzgrundverordnung ist derzeit in aller Munde. Es handelt sich dabei um eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen in der EU vereinheitlicht wird. Information von Mag. Andreas Niederbacher, Deloitte Österreich. 

Die Verordnung gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten und die Bestimmungen betreffen alle Unternehmen, die Daten von EU-BürgerInnen verarbeiten.

Hierbei gibt es keine Eingrenzungen in Bezug auf Unternehmensbranche oder Größe. Die Verordnung hebt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr auf. Die konkrete Umsetzung der Anforderungen erfolgt in Österreich durch das Datenschutzanpassungsgesetz. Die Anforderungen der Verordnung gehen über die derzeitigen Anforderungen des Datenschutzgesetzes hinaus. Die dabei zu bewältigenden Herausforderungen sind gerade für UnternehmerInnen umfassend und aus heutiger Sicht noch mit schwer kalkulierbaren Kosten verbunden. Neben dem erhöhten Bußgeldrahmen von bis zu 20 Mio. Euro oder von bis zu 4 % des gesamten, weltweiten Jahresumsatzes eines Unternehmens sind vor allem die folgenden sechs Aspekte von zentraler Bedeutung.

Marktortprinzip

Die Verordnung gilt für in der EU ansässige Unternehmen ebenso wie für Unternehmen, die Produkte und Dienstleistungen in der Union anbieten, aber Daten gegebenenfalls außereuropäisch verarbeiten.

Informationspflichten

Allen Betroffenen - KundInnen, WerbeempfängerInnen, MitarbeiterInnen, BewerberInnen - müssen umfangreiche Auskünfte über die Herkunft ihrer Daten, die Art der Verarbeitung und die geplante Weitergabe an Dritte gegeben werden.

Privacy by Design & Privacy by Default

Datenschutzanforderungen müssen bereits bei der Entwicklung von Produkten und Dienstleistungen nachweisbar berücksichtigt werden. Außerdem sind die Standardeinstellungen der Systeme stets so zu wählen, dass die geringstmögliche Datenmenge erfasst wird und sie als datenschutzfreundlich zu verstehen sind.

Privacy Impact Assessment

Alle Datenverarbeitungen mit erhöhtem Risiko müssen vorab einer formellen und dokumentierten Abwägung von Zweck, Notwendigkeit, Risiken und Verhältnismäßigkeit unterzogen werden. Das Ergebnis des Assessments kann eine zwingende Konsultation der Datenschutzbehörde zur Folge haben.

Benachrichtigung von Datenschutzvorfällen

Sollte es beim Verarbeiter zu einem Datenschutzvorfall kommen, so ist dieser innerhalb von 72 Stunden sowohl an die Aufsichtsbehörden als auch an den Betroffenen zu melden. Die Meldung hat neben einer Beschreibung des Vorfalls auch voraussichtliche Konsequenzen und Maßnahmen zur Wiedergutmachung zu beinhalten.

Dokumentationspflicht

Alle VerarbeiterInnen sind verpflichtet, die Einhaltung der Bestimmungen zu dokumentieren und auf Verlangen der Aufsicht nachzuweisen.

Resultierende Auswirkungen auf Unternehmen

Unternehmen müssen durch die Implementierung von Prozessen sicherstellen, dass nur solche personenbezogenen Daten genutzt werden, für die eine Einwilligung oder eine Rechtsgrundlage vorliegt.

Zusätzlich ist technisch sicherzustellen, dass alle personenbezogenen Daten identifiziert, bewertet und strukturiert oder im Anlassfall gelöscht werden. Dies kann sich in der Praxis schwierig gestalten.

Ein möglicher Ansatz, um den Anforderungen der EU DSGVO zu entsprechen, ist die Einführung eines Datenschutz-Management-System (DSMS).

Dabei werden in einem ersten Schritt die Unternehmensdaten, unabhängig davon ob diese strukturiert (zum Beispiel in Datenbanken) oder unstrukturiert (zum Beispiel am Fileserver) gespeichert sind, analysiert und klassifiziert. Sollten bei der Analyse personenbezogene Daten (gemäß Definition der EU DSGVO) identifiziert werden, sind diese von den Anforderungen der EU DSGVO betroffen. Die Verarbeitung ist dann ausschließlich unter Einhaltung der Anforderungen durchzuführen und durch regelmäßig wiederkehrende Audits zu überwachen.

Unternehmen ist zu empfehlen die kommenden 11 Monate bis zur Anwendbarkeit der EU DSGVO effizient zu nutzen. Auf Basis einer strukturierten Analyse sollten Prozesse systematisch und in Hinblick auf die jeweiligen Anforderungen überprüft, angepasst und wenn nötig zeitnah neu eingeführt werden. Die rechtzeitige strukturierte Befassung mit dem Thema ermöglicht eine ressourcenschonende Anpassung.

Außerdem kann dies zum Anlass genommen werden, um Systeme und Prozesse auch hinsichtlich verwandter Anforderungen - Stichworte sind das E-Commerce-Gesetz sowie das Mediengesetz - zu evaluieren.

www.adv.at

 

GRID LIST
Tb W190 H80 Crop Int 706ed058ba0004d4fe9159b0807ac61f

WhatsApp und Co. können für Unternehmen teuer werden

Mit Inkrafttreten der EU-Datenschutzverordnung werden Kommunikationstools wie WhatsApp…
Frau hält EU-Flagge

DSGVO und Versicherer – Eins nach dem Anderen

Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz und die Rechte der Versicherten…
Tb W190 H80 Crop Int 41266e15a4e5a9846fa11a56dc162bde

Compliance-Check testet Datenschutzpraxis von Unternehmen

Der europäische Security-Hersteller ESET stellt Organisationen und Unternehmen einen…
Datenschutz

Ab 2018 haften Geschäftsführer in Millionenhöhe

Wenn Geschäftsführer und Vorstände die neue EU-Datenschutz-Grundverordnung (DSGVO) nicht…
Security Specialist

Der moderne Datenschutzbeauftragte

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in…
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet