EU-Datenschutz-Grundverordnung (EU-DSGVO)

Europäischer Datenschutz wird 2018 Pflicht

Nach jahrelangen Vorbereitungen, Verhandlungen und zähem Ringen über sämtliche EU-Instanzen hinweg war es gestern soweit: Die endgültige Fassung der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) wurde vom Europäischen Parlament verabschiedet.

EU-Datenschutz-Grundverordnung

Mitte April 2016 wurde die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) vom Europäischen Parlament verabschiedet.

Die neue EU-Datenschutz-Grundverordnung (General Data Protection Regulation) wird die bislang geltende, aus dem Jahr 1995 stammende Datenschutzrichtlinie ersetzen. Allerdings tritt sie nicht sofort in Kraft, sondern sieht eine Übergangsfrist für betroffene Unternehmen und Organisationen bis Mitte 2018 vor. Dabei betrifft die Verordnung generell Firmen jeder Größe, die personenbezogene Daten sammeln, speichern und verarbeiten.

Zu den wichtigsten Neuerungen der Verordnung zählt sicherlich die härtere Bestrafung bei Verstößen gegen den Datenschutz. Künftig drohen hier Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes des betroffenen Unternehmens. Zudem sollen Verstöße deutlich schneller als bisher nun innerhalb von 72 Stunden den Aufsichtsbehörden offengelegt werden.

Desweiteren will man mit den neuen Regularien den EU-Datenschutz auf die Höhe der Zeit heben. Da sich momentan jedoch kaum etwas so schnell verändert wie Informations- und Kommunikationstechnologien wird dies nur schwerlich gelingen. Von daher sind die EU-Verantwortlichen gut beraten, die Grundverordnung regelmäßig an neue Anforderungen hin anzupassen und nicht wieder 20 Jahre zu warten. Wichtige Regelungen hinsichtlich der Privatsphäre und des Schutzes personenbezogener Daten sollten in Bälde rund um das Internet der Dinge, Drohnen, Datenbrillen und nicht zuletzt selbstfahrende Fahrzeuge getroffen werden.

Inwieweit sind ERP-Systeme betroffen?

Laut dem Datensicherheitsanbieter Secude handelt es sich nach Definition der neuen Gesetzgebung bereits um eine Datenschutzverletzung, wenn Mitarbeiter Einblick in Daten erhalten, die sie für ihre Tätigkeit nicht benötigen. Zudem müssten die Unternehmen dafür Sorge tragen, dass Mitarbeiter erkennen können, wann sie mit der Datenverarbeitung gegen Gesetze verstoßen oder unberechtigt Daten verarbeiten.

Personenbezogene Daten finden sich häufig in ERP-Systemen. Gemäß Secude ist es innerhalb dieser regulierten IT-Umgebung relativ einfach, die Vorgaben für die neuen Datenschutzrichtlinien umzusetzen, wenn diese über Berechtigungsstrukturen und Audit-Logs verfügen. Allerdings reiche dies als Absicherung nicht aus. Denn sobald diese Daten aus dem ERP-System exportiert werden, greifen die Berichtigungsstrukturen nicht mehr, und es kann auch nicht nachvollzogen werden, was anschließend mit den Daten passiert. „In den meisten Unternehmen erfolgen diese Datenexporte aber täglich, ohne dass sich die Mitarbeiter über mögliche Konsequenzen im Klaren sind“, so der Sicherheitsanbieter.

Nötig sei daher die Einführung von Audit- bzw. Protokollierungslösungen, die aufzeichnen, wer Daten einsieht, exportiert und weitergibt. Im Idealfall sollten die Datensätze bereits bei ihrer Entstehung klassifiziert werden. Sensible, von der Gesetzgebung betroffene Daten, können dann für ihren gesamten Lebenszyklus mit entsprechenden Regeln versehen werden. So können sie beispielsweise nur für die interne Nutzung oder für bestimmte Personen freigegeben werden, oder der Download spezieller Daten wird komplett gesperrt.

Datenschutzexperten etablieren

Für Michael Hack, Senior Vice President bei Ipswitch, besteht der erste Schritt im Durchspielen einer Risikomanagement-Übung, um die wichtigsten Prozesse und Assets zu identifizieren sowie Schwachstellen und potentielle Bedrohungen zu bewerten. Daraus können Prozesse, die zur Einhaltung der neuen Vorschriften in Gang gesetzt werden müssen, abgeleitet und priorisiert werden. Diese Übung sollte sämtliche Unternehmensbereiche einschließen und auch Technologien und Strategien zur Risikominimierung beinhalten. Desweiteren benötigen Firmen, die eine große Datenmenge verarbeiten, besondere Datenschutzexperten, deren ausschließliche Aufgabe die Gewährleistung von Datensicherheit sein sollte.

Abschließend bringt Melanie Braunschweig, Produktmanagerin Datenschutz bei der TÜV Nord Akademie, auf den Punkt, welche wichtigen Änderungen sich für Unternehmen ergeben:

  • Es dürfen nur Daten erhoben werden, die für die Erbringung eines Dienstes wirklich benötigt werden.
  • Kundendaten dürfen nur verarbeitet und genutzt werden, wenn der Kunde das auf Grundlage der Geschäftsbeziehung zum Unternehmen erwarten kann, nicht aber durch ein „unbeteiligtes“ drittes Unternehmen.
  • Die Datenschutzbehörden koordinieren sich europaweit untereinander. Unternehmen müssen sich nur noch mit der Aufsichtsbehörde im Land ihres Hauptsitzes auseinandersetzen.
  • Betroffenen Personen werden erweiterte Beschwerde- und Rechtsschutzmöglichkeiten über ihre nationalen Ansprechpartner zugesprochen.
  • Unternehmen müssen einen strengeren Rahmen bei meldepflichtigen Vorfällen berücksichtigen, also schneller über Datenlecks informieren. Außerdem können künftig Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes verhängt werden.
  • Neue Risiko- und Folgenabschätzungen lösen die bisherige Vorabkontrolle vor Beginn der Verarbeitung sensibler Daten ab.
  • Für die Weitergabe von Daten an ausländische Behörden von Drittstaaten gelten strenge Vorschriften.
  • Eine Öffnungsklausel ermöglicht den EU-Staaten individuelle Regelungen: Deutschland behält den Datenschutzbeauftragten.

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok