EU-Datenschutz-Grundverordnung: Ist Ihr Unternehmen bereit?

Die EU-Kommission will die Verhandlungen zur EU-Datenschutz-Grundverordnung vor Ende 2015 abschließen. Unternehmen sollten gewappnet sein.

Im Januar 2015 kündigten der Vizepräsident der Europäischen Kommission Andrus Ansip und seine Kommissarin Věra Jourová in einer gemeinsamen Erklärung den Abschluss der laufenden Verhandlungen zur geplanten Datenschutzreform vor Ende 2015 an.

Die Reform trägt in Deutschland den Titel EU-Datenschutz-Grundverordnung (EU-DS-GV) und ist Teil von Artikel 8 der Europäischen Menschenrechtskonvention. Ihr Ziel ist eine effektive Modernisierung der Datenschutzregelungen in den 28 Mitgliedssaaten der Europäischen Union, die dem digitalen Zeitalter Rechnung trägt.

Alessandro Porro ist Senior Vice President of International bei Ipswitch.
Alessandro Porro ist Senior Vice President of International bei Ipswitch.

Die EU-Datenschutz-Grundverordnung wird laut Juristen wohl nicht vor 2017 deutsches Datenschutzrecht ersetzen. Viele der Vorgaben sind aber nicht gänzlich neu und sollten in deutschen Unternehmen eigentlich schon jetzt umgesetzt sein.

Die EU ist überzeugt, dass die Datenschutzreform den Verwaltungsaufwand für Unternehmen verringern und ein einheitliches Regelwerk sicherstellen wird.

Wen betrifft die EU-Datenschutz-Grundverordnung?

Die EU-DS-GV betrifft alle Unternehmen und Organisationen, die personenbezogene Daten sammeln, verarbeiten und speichern. Laut Definition der EU-DS-GV handelt es sich bei personenbezogenen Daten um sämtliche Informationen über eine Person, egal, ob sich diese auf deren Privat- oder Berufsleben beziehen. Dazu zählen beispielsweise Namen, Fotos, E-Mail-Adressen, Bankdaten, Beiträge auf Social-Networking-Websites, medizinische Daten oder IP-Adressen von Rechnern. Unter Umständen davon ausgenommen sind Mitarbeiterdaten, die gegebenenfalls den Bestimmungen der einzelnen Länder unterliegen werden. Dies ist noch festzulegen.

Das bedeutet, dass sich die EU-Datenschutzverordnung voraussichtlich auf alle Unternehmen auswirken wird, die von der EU aus tätig sind, Geschäftsbeziehungen zu Unternehmen und Organisationen innerhalb der EU unterhalten oder ihre Daten in EU-Mitgliedsstaaten speichern.

Welche Folgen hat die EU-Datenschutz-Grundverordnung für Unternehmen?

Der Zweck der Verordnung besteht darin, Unklarheiten mit Blick auf den Schutz personenbezogener Daten auszuräumen. Sie soll der Globalisierung sowie Entwicklungen hinsichtlich der Art und Weise Rechnung tragen, wie wir Daten nutzen, austauschen und speichern. Sie wird zum Beispiel Regelungen für den Datenschutz in Verbindung mit sozialen Netzwerken und Cloud Computing sowie sicheren Dateiaustausch und das Recht auf Vergessen werden beinhalten.

Das Bußgeld ist zu hoch, um die Datenschutzvorgaben zu ignorieren.

Mit dem Aufkommen von Behörden-, Public-, Private- und Hybrid-Cloud-Computing-Diensten ist die Datenspeicherung und -verarbeitung in den vergangenen zwanzig Jahren komplizierter geworden. Durch die Klärung der Verantwortung in Bezug auf die von Unternehmen und Organisationen verarbeiteten und gespeicherten Daten wird die EU-DS-GV Abhilfe schaffen und auf diese Weise sowohl europäischen als auch nicht-europäischen Unternehmen die Einhaltung von Vorschriften sowie die Vermeidung von Geldstrafen erleichtern.

Gegenwärtig besitzt jedes Mitgliedsland seine eigene Datenschutzbehörde. Da es sich bei der aktuellen EU-DS-GV um eine Verordnung und nicht um eine Richtlinie handelt, findet diese direkt auf alle EU-Mitgliedsstaaten Anwendung, ohne Änderungen nationaler Rechtsvorschriften.

Die EU-Datenschutz-Grundverordnung wird zudem erhebliche Auswirkungen auf nicht-europäische Unternehmen haben, die in der EU tätig sind. Die EU-DS-GV soll sowohl für europäische als auch für nicht-europäische Unternehmen gelten, die in der EU Handel treiben, und spiegelt damit wider, dass in der Geschäftswelt von heute keine Grenzen mehr bestehen.

Sind Unternehmen auf die EU-DS-GV vorbereitet?

Laut einer von Ipswitch durchgeführten Befragung von 316 europäischen Unternehmen und Organisationen konnten mehr als die Hälfte (56 Prozent) der Teilnehmer nicht genau sagen, was EU-Datenschutzverordnung bedeutet. Über die Hälfte der Befragten (52 Prozent) gab zu, nicht bereit für die EU-Datenschutz-Grundverordnung zu sein, und mehr als ein Drittel (35 Prozent) wusste nicht, ob ihre IT-Richtlinien und -Prozesse den Anforderungen der Verordnung genügen.

Weitere Artikel zur EU-Datenschutzverordnung

EU-Datenschutz-Grundverordnung: Was sich für Unternehmen ändert

So funktioniert eine Folgenabschätzung nach EU-DS-GV

Privacy by Design im EU-Datenschutz: Was Unternehmen wissen sollten

Die EU-DS-GV ist für für 81 Prozent der IT-Manager unbekannt

Trotz des mangelnden Bewusstseins für regulatorische Änderungen gaben auf die Frage nach den Prioritäten für 2015 nur 13 Prozent der Umfrageteilnehmer an, mehr Zeit für die Vorbereitung auf die Verordnung aufwenden zu wollen. Ein Viertel (26 Prozent) der Unternehmen beabsichtigt, mehr Zeit mit der Überprüfung und Verschärfung der Sicherheitsrichtlinien zuzubringen. Ein weiteres Viertel (26 Prozent) wünschte sich, weniger Zeit für die manuelle Berichterstattung und Buchprüfung erübrigen zu müssen.

Zudem zeigte die Befragung, dass bislang kaum darüber nachgedacht wurde, ob der Cloud-Dienstleister eines Unternehmens oder einer Organisation auf die Veränderungen vorbereitet ist. Obwohl 79 Prozent der Befragten mit einem Cloud-Dienstleister zusammenarbeiten, hatten nur 6 Prozent von ihnen diesen gefragt, ob er bereit für die EU-DS-GV ist.

So bereiten Sie sich auf die EU-Datenschutzverordnung vor

Die EU-Datenschutz-Grundverordnung beinhaltet eine Verpflichtung zum grenzüberschreitenden Schutz personenbezogener Daten. IT-Experten sollten ihre Datenverarbeitungsrichtlinien und -praktiken jetzt prüfen und überarbeiten, bevor die Verordnung in Kraft tritt. Dazu gehören beispielsweise auch Richtlinien zum Datenaustausch im Unternehmen.

Unternehmen und Organisationen müssen darüber nachdenken, ob und wie sie die Art verändern, wie sie Daten sammeln, verarbeiten und speichern. Sie müssen zudem bestimmen, wer dafür verantwortlich sein soll, die Einhaltung der Verordnung sicherzustellen. Die nachfolgenden fünf Schritte helfen Ihnen bei der Umsetzung:

Schritt 1: Ernennen Sie einen Datenschutzbeauftragten

Die Verordnung wird in den meisten Unternehmen und Organisationen wahrscheinlich die Ernennung eines Datenschutzbeauftragten erforderlich machen. Während viele Firmen diese Rolle bereits besetzt haben, herrscht diesbezüglich bei kleinen und mittleren Unternehmen Nachholbedarf. Die EU-DS-GV wird voraussichtlich die Ernennung eines Datenschutzbeauftragen für Unternehmen mit weniger als 250 Mitarbeitern verlangen, die in einem Jahr mit mehr als 5 000 Personendatensätzen arbeiten. Für sehr kleine Unternehmen kann es durchaus sinnvoll sein, externe Berater zu beauftragen.

Einem Mitarbeiter innerhalb eines Unternehmens oder einer Organisation die Verantwortung für die Sicherstellung der Einhaltung der Verordnung zu übertragen, ist der erste Schritt für jedes Unternehmen. Der Datenschutzbeauftragte wird jedoch die Unterstützung einer Arbeitsgruppe auf Führungsebene benötigen.

Schritt 2: Finden Sie heraus, inwiefern die EU-DS-GV auf Ihr Unternehmen Anwendung findet

Es sind Ressourcen vorhanden, die den Datenschutzbeauftragten dabei helfen, die Datenschutz-Grundverordnung zu verstehen und die notwendigen Vorbereitungen zu treffen. Die Association for Information and Image Management (AIIM) erläutert beispielsweise in ihrem Bericht Making sense of European Data Protection die geänderten Regelungen, die zukünftig von Unternehmen und Organisationen befolgt werden müssen. Es werden elf Hauptbereiche behandelt, von der Einholung der Zustimmung zur Datenerfassung bis hin zur vollständigen Dokumentation von Verstößen gegen die Verordnung.

Schritt 3: Bewerten Sie den Status Quo

Es gibt praktische Maßnahmen, die zum jetzigen Zeitpunkt ergriffen werden können, um sicherzustellen, dass von Unternehmen und Organisationen genutzte Richtlinien, Verfahren und Technologien den Anforderungen der EU-DS-GV entsprechen. Zunächst ist jedoch eine Bestandsaufnahme nötig, wie das Unternehmen oder die Organisation derzeit mit Blick auf die Einhaltung der Verordnung abschneidet.

Verträge mit Datenverarbeitungs- und Cloud-Dienstleistern müssen ebenfalls überprüft werden. Unternehmen und Organisationen müssen sich ein genaues Bild davon machen, wo ihre Cloud-Daten gehostet und wie diese gesichert und verschlüsselt werden.

Schritt 4: Aktualisieren oder entwickeln Sie Richtlinien und setzen Sie Veränderungen um

Nachdem Sie sich einen Überblick über die Auswirkungen der EU-Datenschutz-Grundverordnung verschafft haben, sind als nächstes die Richtlinien an der Reihe. Dafür ist Unterstützung von ganz oben notwendig. Alle bestehenden datenbezogenen Richtlinien müssen aktualisiert und die erforderlichen Veränderungen innerhalb des Unternehmens oder der Organisation umgesetzt werden, um die Einhaltung sicherzustellen. Dies wird aller Voraussicht nach Auswirkungen auf alle Abteilungen innerhalb eines Unternehmens oder einer Organisation haben, von der IT über den Betrieb und das Personal- sowie Finanzwesen bis hin zum Verkauf.

Unternehmen und Organisationen müssen zum Beispiel nicht nur über klare Datenschutzrichtlinien verfügen, die allen Personen vorzulegen sind, über die Daten gespeichert werden. Sie müssen auch in der Lage sein, diesen Personen eine Kopie ihrer personenbezogenen Daten in einem Format zukommen zu lassen, das sich problemlos elektronisch übermitteln lässt. Zudem müssen sie fähig sein, auf Verlangen alle Kundendaten nach dem Recht auf Vergessenwerden zu löschen.

Schritt 5: Beantragen Sie das EU-Gütesiegel und führen Sie regelmäßig Prüfungen durch

Nachdem Unternehmen und Organisationen ihre Systeme und Verfahren fit gemacht haben, können sie ein EU-Datenschutz-Gütesiegel beantragen, mit dem ihre Prozesse für die Dauer von fünf Jahren zertifiziert werden.

Folgen bei Nichteinhaltung der EU-Datenschutz-Grundverordnung

Es gibt Einrichtungen und Ressourcen zur Unterstützung von Unternehmen bei der Vorbereitung auf die bevorstehenden Veränderungen. Allerdings liegt die Verantwortung für die Einhaltung der EU-Datenschutz-Grundverordnung ausschließlich bei den einzelnen Unternehmen, die bei Verstoß mit Geldstrafen belegt werden. Dies gilt unabhängig davon, ob Sie bei Ihren Datenanforderungen mit einem IT-Partner oder Cloud-Dienstleister zusammenarbeiten.

Die EU-DS-GV umfasst derzeit strenge Regeln für die Einhaltung von Datenschutzrichtlinien. In Artikel 31 sind die Anforderungen mit Blick auf die obligatorische Meldung von Datenschutzverstößen innerhalb eines bestimmten Zeitraums festgelegt. Dieser wird voraussichtlich auf 72 Stunden begrenzt.

Die Nichteinhaltung der EU-Datenschutz-Grundverordnung wird ernsthafte Konsequenzen haben. Aktuellen Angaben zufolge sind Geldstrafen in Höhe von bis zu 100 Millionen Euro oder bis zu 5 Prozent des weltweiten Umsatzes vorgesehen für Unternehmen, die gegen die Verordnung verstoßen. Dies übersteigt bei weitem die lokalen datenschutzbezogenen Geldstrafen der meisten Mitgliedsstaaten und entscheidet womöglich über den Erfolg zahlreicher Unternehmen. Das Bußgeld ist zu hoch, um die Datenschutzvorgaben zu ignorieren.

Über den Autor:

Alessandro Porro ist Senior Vice President of International bei Ipswitch. Er hatte mehr als zwölf Jahre lang Führungspositionen im internationalen Vertrieb sowohl im IT- als auch im Produktionssektor in Lateinamerika (Südkegel), Europa (Deutschland/Italien) und den USA inne. Porro besuchte das BA-/MA-Programm für internationale Wirtschaftswissenschaften der Boston University.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Datenschutz und Compliance

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close