Management , Fachartikel, (ISC)²

Einstieg in die Grundlagen: Die EU Datenschutz-Grundverordnung (DSGVO)

Einstieg in die Grundlagen: Die EU Datenschutz-Grundverordnung (DSGVO)

Der Stichtag für das Inkrafttreten der DSGVO im Mai 2018 rückt rasch näher. Angesichts der Größenordnung potentieller Bußgelder, neuer Rechte Einzelner auf Forderung von Schadenersatz und der Verbreitung und Effektivität der Cyberkriminalität, sollte ein Plan für den Fall eines Verstoßes gegen die DSGVO direkt in das Risikoregister eines jeden Unternehmens (und eines jeden Mitglieds des Konzernvorstands) eingehen.

Einführung

Das aktuelle Datenschutz-Regelwerk der Europäischen Union (EU) wird von der europäischen Richtlinie zum Schutz von Einzelpersonen bezüglich der Verarbeitung persönlicher Daten (die Richtlinie) von 1995 geregelt, die von den Mitgliedsstaaten in den jeweils eigenen nationalen Gesetzgebungen umgesetzt werden musste. Unterschiedliche Auslegungen führten dazu, dass die Richtlinie von den EU-Mitgliedsstaaten auf unterschiedlichste Weise in die jeweiligen nationalen Gesetze aufgenommen wurde, was die Datenschutzregelungen innerhalb der EU zu einem uneinheitlichen Flickwerk machte.

Um die EU-weit anzuwendenden Regeln zu vereinfachen, wurde ein neues EU-Datenschutz-Rahmenwerk in Form einer Richtlinie eingeführt: die EU-Datenschutz-Grundverordnung (DSGVO). Da es sich um eine EU-Richtlinie handelt, müssen EU-Mitgliedsstaaten keine zusätzlichen Gesetze einführen, um den Vorschriften in ihrem nationalen System Geltung zu verleihen. Stattdessen gilt die Richtlinie automatisch für alle EU-Länder. Es gibt jedoch einige Gebiete, in denen es EU-Mitgliedsstaaten erlaubt ist, im Rahmen ihres nationalen Systems (andere) Gesetze zu erlassen (z.B. in Bezug auf die Verarbeitung von Mitarbeiterdaten); und es wird in den EU-Mitgliedsstaaten bei den geltenden Datenschutzregeln zweifellos einige Varianten geben.

Die DSGVO verlangt eine unternehmensweite Strategie für das Management des Informationskreislaufs statt einen standardmäßigen Compliance-Ansatz. Leider gibt es keinen Allzweckplan für die DSGVO-Compliance und der erforderliche Arbeitsaufwand variiert in Abhängigkeit Ihres Unternehmens und seiner aktuellen Datenpraktiken und -prozesse. Sie könnten beispielsweise neue Verfahren einführen müssen, um der Anforderung der DSGVO in Bezug auf einen „eingebauten Datenschutz“ oder den neuen Bestimmungen zur Transparenz und den Rechten von Einzelpersonen gerecht zu werden.

Daher ist es wichtig, dass Führungskräfte, Mitarbeiter und Manger verstehen, wie sich der Umgang mit den Anforderungen der DSGVO auf die betrieblichen Praktiken aller Ebenen auswirkt. Betriebsleiter werden feststellen müssen, welche persönlichen Daten sie aktuell speichern, wo diese sich befinden, wie der Datenfluss innerhalb des Unternehmens verläuft, wie die Daten geteilt werden, wie sie geschützt werden und ob Dritte Zugang zu ihnen haben dürfen. In einer großen oder komplexen Organisation können die Vorbereitungen auf die DSGVO erhebliche Auswirkungen auf Budget, IT, Personal, Führung und Kommunikation haben und zusätzliche Zeit und Ressourcen zur Umsetzung erfordern.

Die DSGVO legt ein stärkeres Augenmerk auf die Dokumentation, die Datenverantwortliche (also diejenigen, die bestimmen, wann, wie und zu welchem Zweck persönliche Daten zu verarbeiten sind) führen müssen, um ihre Verantwortlichkeit nachzuweisen. Die Compliance erfordert, dass Unternehmen ihre aktuellen Governance-Konzepte überprüfen und analysieren, wie sie den Datenschutz als gemeinsames Problem angehen. Ein Aspekt könnte dabei die Prüfung der Verträge und anderer laufender Vereinbarungen sein, wenn Daten mit anderen Unternehmen geteilt werden (einschließlich Vereinbarungen zu Cloud-Diensten und Outsourcing). Wichtig ist, so früh wie möglich mit der Planung zu beginnen und die wesentlichen Interessensvertreter in Ihrem Unternehmen „mit ins Boot zu holen“. Wir bieten hier einen Überblick über die wichtigsten Bereiche, die anzusprechen sind, um ihnen zu helfen, die vor ihnen liegende Aufgabe zu verstehen.

<< Erste < Vorherige 1 2 3 4 5 6 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: Adrian Davis, Managing Director EMEA bei (ISC)²

Deutsches Datenschutzrecht wird angepasst

Das Bundeskabinett hat einen Gesetzentwurf beschlossen, der das deutsche Recht an die die EU-Datenschutz-Grundverordnung anpassen soll. Das Datenschutz-Anpassungs- und Umsetzungsgesetz, das Teile der EU-Datenschutz-Grundverordnung konkretisiert und ergänzt, wird jetzt im parlamentarischen Verfahren...