DSGVO: Warum Artikel 32 Unternehmen zum Schwitzen bringt
Am 25. Mai 2018 tritt die neue Datenschutz Grundverordnung (DSGVO) der Europäischen Union in Kraft – eine fundamentale Neuerung, die Unternehmen aller Branchen vor große Herausforderungen stellt. Wolfgang Heinhaus, Partner Advisor bei der Information Services Group, hat für MyBusinessFuture die wichtigsten Aspekte, denen sich Unternehmen jetzt widmen sollten, herausgearbeitet.
Was jetzt auf ihr Unternehmen zukommt
Worauf müssen Unternehmen in den letzten Wochen vor Inkrafttreten der DSGVO achten? Als besonders elementare Regelung sieht Wolfgang Heinhaus den 32. Artikel der Verordnung: Dieser verpflichtet Unternehmen, die personenbezogenen Daten dem Stand der Technik entsprechend zu schützen – und der Stand der Technik hat mittlerweile eine Komplexität erreicht, der vielen internen Datenschutzrichtlinien nicht gerecht wird. Hauptsächlich wird es bei den meisten Firmen darum gehen, Daten sicherer und den neuen Standards entsprechend zu speichern.
Um letztere verlässlich garantieren zu können, bietet sich eine genaue Bestandsaufnahme an: Wie und wo personenbezogene Daten gespeichert sind, wie die Zugriffsrechte organisiert und protokolliert werden und welche Verschlüsselungen und andere Sicherheitsmaßnahmen bereits installiert sind.
Dann erst können Maßnahmen ergriffen werden, um eventuellen Verletzungen der Verordnung vorzubeugen. Dabei sollte eine geeignete Methodik im Fokus stehen: „Die Absicherung kann nur mit entsprechenden Technologien realisiert werden, die in der Lage sind, Datenschutzverletzungen zeitnah zu erkennen, zu alarmieren, Probleme automatisch zu beheben, und Untersuchungsmöglichkeiten bieten“, sagt Heinhaus.
Deshalb empfiehlt Heinhaus Unternehmen, die mit der Umsetzung noch nicht begonnen haben, externe Berater zu beauftragen, „um die Schwachstellen im Unternehmen ausfindig zu machen und mit geeigneten Mitteln zu beseitigen“ und somit Unzulänglichkeiten zu vermeiden.
Die DSGVO kurz zusammengefasst
In den 99 Artikeln der Verordnung, die in allen EU-Mitgliedstaaten gelten werden, sind grundsätzliche Datenschutzrechte festgehalten. Die Regelungen betreffen die Erfassung, Speicherung, Verarbeitung und allgemein Verwendung persönlicher Daten von EU-Bürgern und müssen von allen Unternehmen beachtet werden, die in der EU tätig sind, unabhängig von Unternehmensgröße oder Speicherart der entsprechenden Daten.
Ein Datenschutzbeauftragter ist für die Überwachung der Einhaltung der DSGVO zu bestimmen; dennoch auftretende Datenpannen sind innerhalb von drei Tagen an die betroffenen Personen und die Aufsichtsbehörde zu melden. Bei Verstößen gegen die Vorlagen werden Strafzahlungen von bis zu vier Prozent des internationalen Vorjahresumsatzes, auf jeden Fall aber bis zu 20 Millionen Euro fällig. Vor allem deshalb ist die Brisanz der Verordnung nicht zu unterschätzen und entsprechende Schritte auf Unternehmensseite – wenn nicht bereits geschehen – schnellstmöglichst einzuleiten.
Dieser Beitrag basiert in Teilen auf einem Artikel von ISG.
Quelle Titelbild: iStock / BirgitKorber
[plista]
