Anzeige
implexis
Ab Freitag sind alle Unternehmen dazu verpflichtet, die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zu erfüllen. (Foto: Coresystems)
A- A A+
Security  |

Die DSGVO kommt: Per Checkliste zur Umsetzung

Das von der Europäischen Union verabschiedete umfassende Datenschutzgesetz überträgt das Eigentum an Kundendaten von den Organisationen, die sie verwenden, auf den einzelnen Kunden. Die neue Verordnung gilt für Unternehmen, die mit den Kundendaten von EU-Bürgern arbeiten. Dadurch erhält die DSGVO den Charakter eines globalen Datenschutzgesetzes. Der Einsatz ist für Unternehmen hoch: Nichteinhaltung führt im Extremfall zu einer Geldstrafe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes der Unternehmensgruppe – je nachdem, welcher Betrag höher ist. Nach dem jüngsten Missbrauch von Kundendaten durch Facebook sind alle Augen auf den angemessenen Schutz privater Daten gerichtet.

Zentrale Aspekte zur Umsetzung der DSGVO

Angesichts der Flut von Kundendaten, die künftig unter dem Schutz der DSGVO stehen, empfinden viele Unternehmen die Umsetzung als wahre Herkulesaufgabe. Darunter fallen sämtliche Daten, die zur Identifizierung eines Individuums verwendet werden können. Was ist für die Umsetzung der Verordnung zu tun?

1. Einwilligung des Kunden einholen

Die wichtigste Maxime: Im Zweifelsfall zuerst fragen! Die DSGVO schreibt vor, dass Unternehmen vor der Verarbeitung oder Speicherung von Kundendaten die Zustimmung des Kunden einholen müssen. Der Antrag auf Einwilligung muss nicht nur unmissverständlich formuliert sein, sondern auch klar darlegen, wie die Daten des Kunden verwendet und wie lange sie gespeichert werden.  

Galten Stillschweigen oder Untätigkeit des Kunden früher als Zustimmung, ist das bei der DSGVO nicht mehr der Fall. Stattdessen müssen Unternehmen nachweisen, dass sie die Zustimmung des Kunden zur Nutzung seiner Daten erhalten haben. Darüber hinaus müssen die Einwilligungsbedingungen stets mit den aktuellsten Kundendaten und dem Zweck, für den sie verwendet werden, übereinstimmen. Erfolgt eine Änderung, ist ein neuer Antrag geboten. Zudem haben Kunden jederzeit das Recht, ihre Einwilligung zu widerrufen, was jedes Unternehmen dazu verpflichtet, innerhalb eines angemessenen Zeitraums entsprechend zu reagieren und zu handeln.

2. Einstellung eines Datenschutzbeauftragten

Der Datenschutzbeauftragte ist der direkte Ansprechpartner für Fragen rund um die Einhaltung der DSGVO. Ob ein Unternehmen einen Datenschutzbeauftragten benötigt, muss einzelfallspezifisch sorgfältig geprüft werden. Da Unternehmen jedoch generell zur Einhaltung des Datenschutzes und entsprechender Maßnahmen verpflichtet sind, wird die Einstellung eines Datenschutzbeauftragten insbesondere größeren Unternehmen empfohlen. Doch was genau beinhaltet seine Funktion?  

  • Regelmäßiges und systematisches Monitoring der betroffenen Personen
  • Bearbeitung von speziellen Datenkategorien
  • Durchführung eines Data Protection Impact Assessment (DPIA)  

Speichert ein Unternehmen personenbezogene Daten dauerhaft, muss vor jedem Projekt, das solche personenbezogenen Daten beinhaltet, eine Datenschutzfolgenabschätzung (Data Protection Impact Assessment, DPIA) durchgeführt werden. Dahinter verbirgt sich eine Prüfung der hauseigenen Prozesse und Verfahren einer Organisation. Im Zuge dessen wird ermittelt, wie sich die Prozesse auf die Privatsphäre der Personen, deren Daten gespeichert, gesammelt oder verarbeitet werden, auswirken oder diese gefährden könnten. Ein DPIA verfolgt drei Ziele:  

  • Gesicherte Einhaltung der geltenden gesetzlichen, regulatorischen und politischen Anforderungen bezüglich Datenschutz
  • Ermittlung der Risiken und Auswirkungen
  • Evaluierung von Schutzmaßnahmen und alternativen Verfahren zur Minimierung potenzieller Datenschutzrisiken

3. Alarm bei Datenverstößen auslösen

Trotz aller Vorkehrungen beinhalten Datenschutzverletzungen für Unternehmen ein erhebliches Risiko nicht nur im Hinblick auf die Einhaltung der DSGVO, sondern vor allem für die Privatsphäre und das Vertrauen der Kunden. Im Falle einer Verletzung der DSGVO besteht die Pflicht, die lokalen Datenschutzbehörden innerhalb von 72 Stunden nach Feststellung des Verstoßes zu informieren. Das bedeutet aber auch, dass Unternehmen die geeignete Technologie und entsprechende Verfahren benötigen, um Verstöße innerhalb dieses Zeitrahmens zu erkennen und zu beheben. Um diese strenge Anforderung zu erfüllen, kann eine Überarbeitung der internen Datensicherheitsrichtlinien sowie eine umfassende Schulung der Mitarbeiter erforderlich sein. So lässt sich sicherstellen und dokumentieren, dass im Unternehmen ein angemessener Reaktionsplan für Bedrohungen durch Datenverstöße vorliegt und bei Bedarf greift.

4. Das Recht auf Vergessen respektieren

Die DSGVO unterstützt das Prinzip der Datenminimierung, wonach Unternehmen nur diejenigen personenbezogenen Daten verwenden und aufbewahren dürfen, die zu einem bestimmten Zeitpunkt für einen bestimmten Zweck benötigt werden. Demnach sollte alles gelöscht werden, was nicht für den vorgesehenen Zweck und die vorgesehene Dauer benötigt wird. Darüber hinaus hat der Kunde – wie bereits erwähnt – jederzeit das Recht, seine Einwilligung zu revidieren und die Löschung der Daten zu verlangen. Unternehmen müssen dann alle Spuren der betreffenden Kundendaten aus ihren Repositories entfernen, in denen die Daten geteilt und gespeichert wurden.  

Foto: Coresystems

Weitere Informationen: www.coresystems.net/de