EU-Datenschutz-Grundverordnung (DS-GVO)

Checkliste: Gerüstet für den EU-Datenschutz?

Mit dem Ende der Trilog-Verhandlungen im Dezember 2015 wurde die endgültige Fassung der EU-Datenschutz-Grundverordnung (DS-GVO) verabschiedet. Folgende Checkliste zeigt auf, welche Vorgaben damit auf Unternehmen zukommen werden.

Checkliste zur DS-GVO

Checkliste zur EU-Datenschutz-Grundverordnung (DS-GVO)

Die DS-GVO wird im Mai 2018 in Kraft treten. Die Uhr tickt also: Unternehmen bleiben noch knapp zwei Jahre, um ihre Rechenzentren und IT auf Vordermann zu bringen. Die finale Version der DS-GVO ist seit längerem bekannt; allerdings haben die Verhandlungsparteien zuletzt noch einige wichtige Punkte diskutiert.

Doch was sind die zentralen Anforderungen der DS-GVO?

Unter den zahlreichen Anforderungen und Konzepten der DS-GVO hat der Sicherheitsanbieter Varonis die folgende Punkte als zentral ausgewählt:

  • Meldepflicht für Datenschutzverletzungen – Eine Neuerung der DS-GVO besteht darin, dass Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Behörde melden müssen. Die betroffenen Personen müssen zudem informiert werden, sofern der Vorfall „voraussichtlich ein hohes Risiko für [ihre] persönlichen Rechte und Freiheiten“ zur Folge hat.
  • Datenschutz-Folgeabschätzungen – Vor der Verarbeitung bestimmter Daten sind Unternehmen dazu verpflichtet, die Risiken für die Privatsphäre der betroffenen Personen zu analysieren. Auch das ist eine neue Anforderung der DS-GVO.
  • Privacy by Design – Privacy-by-Design-Prinzipien spielen in den EU-Datenschutzbestimmungen seit jeher eine Rolle. Die neue Verordnung schreibt nun Prinzipien wie die Minimierung der erfassten und gespeicherten personenbezogenen Daten sowie die Einwilligung der betroffenen Personen zur Verarbeitung ihrer Daten fest.
  • Extraterritorialität – Das neue Prinzip der Extraterritorialität besagt, dass sämtliche Anforderungen der DS-GVO auch für Unternehmen ohne Niederlassung in der EU gelten, die aber Daten von EU-Bürgern verarbeiten (zum Beispiel über eine Website). Übersetzt heißt das: Die DS-GVO gilt ebenso außerhalb der EU. Das betrifft insbesondere E-Commerce- und andere cloudbasiert arbeitende Unternehmen.
  • Recht auf Vergessenwerden und auf Löschung – Die aktuelle Datenschutzrichtlinie sieht bereits seit Langem vor, dass Verbraucher die Löschung ihrer Daten verlangen können. Die DS-GVO erweitert dieses Recht auf im Internet veröffentlichte Daten. Hier geht es um das nach wie vor umstrittene Recht auf „Vergessenwerden“.
  • Geldbußen – Die DS-GVO umfasst ein abgestuftes Sanktionssystem, das den Gewinn eines Unternehmens empfindlich schrumpfen lassen kann. Ernsthaftere Verstöße können mit Geldstrafen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Dazu gehört beispielsweise die Nichteinhaltung grundlegender Datenschutzprinzipien, insbesondere „Privacy by Design“. Geringere – aber immer noch horrende – Geldbußen in Höhe von bis zu zwei Prozent des weltweiten Jahresumsatzes können verhängt werden, wenn Unternehmen Vorgänge nicht ordnungsgemäß dokumentieren oder die Aufsichtsbehörde und betroffene Personen nicht über eine Datenschutzverletzung informieren. Versäumnisse bei der Meldepflicht für Sicherheitsvorfälle können also durchaus kostspielig werden.
  • Die DS-GVO ist ein komplexes Gesetz, und dies ist bei weitem keine vollständige Liste aller wichtigen Regeln. In jedem Fall würden die meisten Rechts- und Compliance-Experten zustimmen, dass die Inventarisierung sämtlicher Daten ein erster sinnvoller Schritt in Richtung Compliance ist. Unternehmen müssen herausfinden, welche Daten wo gespeichert sind, wer darauf zugreifen kann und welche Berechtigungen erteilt wurden.

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok