Thought Leadership
Die neue EU-Datenschutz-Grundverordnung (DSGVO) steht unmittelbar bevor. Gerade einmal zwei Monate dauert es noch, bis die neuen Richtlinien für die Mitglieder der Europäischen Union am 25. Mai in Kraft treten und Unternehmen nach neuen Regeln bezüglich der Datenverarbeitung und des Schutzes der personenbezogenen Daten spielen müssen.
Tun sie das nicht, droht ein Bußgeld von bis zu 4 Prozent des Vorjahresumsatzes des Gesamtkonzerns. Die Höchststrafe von 300.000 Euro im Rahmen des bisherigen BDSG (Bundesdatenschutzgesetz) dürfte bei vielen Unternehmen daher schnell überschritten werden, sollten sich die Unternehmen nicht genügend vorbereitet haben. Markus Mergle, IT-Consultant und Experte für IT-Sicherheit und Datenschutz bei msg, hat die wichtigsten Aspekte der DSGVO zusammengefasst, auf die Unternehmen noch einmal einen genauen Blick werfen sollten.
Datenspeicherung und Datensperrung
Personenbezogene Daten, die mit Einwilligung der betroffenen Person erfasst werden, unterliegen mit der EU-DSGVO neuen Anforderungen, wann diese aufbewahrt und wann sie gelöscht werden müssen. „Zweckgebundenheit“ nennt sich das dahinterstehende Konzept und bedeutet, dass keine Speicherung von Daten zulässig ist, die das Unternehmen nicht mehr für einen zuvor benannten Zweck benötigt. Entsprechend dieser Anforderung empfiehlt es sich, Löschprozesse in Unternehmen zu implementieren, um nicht gegen die Bestimmungen zu verstoßen und den Aufbewahrungsfristen zu entsprechen.
Zudem können Betroffene jederzeit einen Antrag auf Löschung ihrer Daten stellen. Die Legitimität des Antrags muss jedoch zunächst geprüft werden. Allerdings dürfen die angeforderten Daten des Betroffenen während des Prüfungsprozesses nicht verarbeitet werden. Es ist daher ratsam, eine Sperrfunktion für diese Daten zu implementieren. Wichtig: Für kundenzentrierte Unternehmen empfiehlt es sich, Sperren nicht nur auf Kundenebene umzusetzen, sondern diese feingranularer zu implementieren. So ist gewährleistet, dass beispielsweise bei einem Streitfall nur Daten eines bestimmten Vertrages gesperrt sind, alle übrigen Verträge davon aber unberührt bleiben.
Geschäftsmodell für Anwälte: Verschärfte Informationspflicht
Ein weiterer wichtiger Punkt sind die verschärften Informationspflichten. Mit Artikel 13 beziehungsweise 14 der DSGVO kommen zusätzliche und spezifischere Angaben hinzu, die das Unternehmen dem Betroffenen aufbereiten und zukommen lassen muss, um der Informationspflicht gemäß der Gesetzgebung nachzukommen. Entsprechend sollten sich Unternehmen bei der Erstellung dieser Informationspakete nicht auf eine beliebige Vorlage aus dem Netz verlassen, sondern mehr Zeit und Arbeit in ein solides Informationsmuster investieren.
Es ist davon auszugehen, dass künftig deutlich mehr Kunden und auch Anwaltskanzleien im Auftrag ihrer Kunden von ihrem Auskunftsrecht Gebrauch machen. Dieses Recht ist zwar keine Neuerung, doch mit der Aktivierung der neuen DSGVO, entstehen mehr Fallstricke für Unternehmen und die allgemeine Aufmerksamkeit am Thema wird zunehmen. Nicht zuletzt haben bereits einige Anwälte angekündigt, Unternehmen, die die Anforderungen beim Umgang mit den Daten ihrer Kunden nicht vollständig erfüllen, auf materiellen und immateriellen Schadensersatz verklagen zu wollen. Um angeforderte Daten gesetzeskonform bereitstellen zu können, müssen Unternehmen immer wissen, welche Daten verarbeitet werden und wo diese liegen. Das Führen eines detaillierten Datenverzeichnisses sowie die Implementierung eines Datenschutz-Management-Systems sind daher ratsam.
Jeder kann gehackt werden – schnelles Handeln entscheidet
Egal wie sicher ein Unternehmen gegen Cyberkriminelle und deren Angriffstaktiken gerüstet sein mögen, keines ist eine auf ewig uneinnehmbare Datenfestung. Jedes Unternehmen kann Opfer eines Hackerangriffs werden. Deshalb muss es Kriminellen nicht nur möglichst schwergemacht werden, Einfallstore zu finden. Dabei sollten Unternehmen Vorsorgemaßnahme treffen und diese mit regelmäßigen Penetrationstests überprüfen. Im Fall der Fälle ist es ebenso entscheidend, auch richtig zu reagieren. Die Aufsichtsbehörden verleihen dem nochmal Nachdruck, denn Unternehmen müssen einen Schaden beziehungsweise Cyberangriff umgehend melden. Umgehend bedeutet, dass innerhalb von 72 Stunden nach Feststellung des Angriffs eine Meldung bei den Aufsichtsbehörden eingehen muss. Hier hilft ein ausgereiftes Incident Response Management, mit dem Unternehmen den Überblick über die Daten behalten und frühzeitig auf Vorfälle reagieren können.
msg.group
