Die neue Datenschutz-Grundverordnung der EU (DSGVO) hat weltweit Compliance-Auswirkungen auf alle Unternehmen, die personenbezogene Daten von Personen mit Wohnsitz in der EU verarbeiten. Unternehmen müssen mit drastischen umsatzabhängigen Strafen rechnen, wenn Sie die Vorgaben der DSGVO nicht bis Mai 2018 erfüllen. Dennoch haben die meisten Unternehmen bisher keinen vollständigen Überblick über die Herausforderungen, die durch das neue Gesetz entstehen.
Welchen Stellenwert nimmt dieses Thema in Ihrem Unternehmen ein?
Derzeit basiert der Datenschutz der EU-Bürger auf einer Richtlinie aus den 90er Jahren. Getrieben durch Globalisierung und Digitalisierung sind die Inhalte im Hinblick auf technische Entwicklungen und dem Bedürfnis nach Privatsphäre nicht mehr angemessen. Daher wurde im Jahr 2016 eine neue Regelung zur Harmonisierung des Datenschutzes beschlossen, die im Mai 2018 in Kraft treten und sofort rechtsverbindlich in der ganzen EU sein wird.
Die Uhr tickt und gerade einmal 3 % der Unternehmen in Deutschland geben an, bestmöglich auf die DSGVO-Anforderungen vorbereitet zu sein. Es ist also höchste Zeit, entsprechende Anpassungen vorzunehmen.
Welche Unternehmen und Daten sind von der DSGVO betroffen?
Die neue Verordnung gilt für alle natürlichen Personen mit Wohnsitz in der EU und regelt die Verarbeitung ihrer personenbezogenen Daten durch Datenverantwortliche und Datenverarbeiter. Die neuen Regelungen untersagen die Verarbeitung von Daten, aus denen die ethnische Herkunft, Überzeugungen (politischer und religiöser Natur), Gesundheitszustand (biometrische und genetische Daten) sowie sexuelle Orientierung hervorgehen.
Die DSGVO betrifft alle Unternehmen, die Daten von in der EU ansässigen Personen verarbeiten, unabhängig von Standort des Unternehmens. Darüber hinaus umfasst die DSGVO eine Reihe von Anforderungen, die sich sowohl an Datenverantwortliche (die personenbezogene Daten zu kommerziellen Zwecken verarbeiten, so zum Beispiel Suchmaschinen oder Online-Händler) als auch an Datenverarbeiter (die Daten im Auftrag der Datenverantwortlichen verarbeiten, so zum Beispiel Cloud-Anbieter oder Shared-Service-Center) richten.
Personenbezogene Daten erlauben die Identifizierung einer Person entweder direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, einer Adresse, Bankdaten, einer persönlichen Kennnummer, einer IP-Adresse usw.
Was bedeutet die DSGVO für Ihr Unternehmen?
In diesem Abschnitt geben wir Ihnen eine kurze Übersicht über die wichtigsten Änderungen im Zuge der Neuregelung und erläutern Ihre Auswirkungen auf Unternehmen. Die vollständige Version finden Sie im Verordnungstext.
Härtere Strafen
Die Verantwortlichkeit für die Überwachung der DSGVO-Compliance wird bei den nationalen Aufsichtsbehörden liegen. Zu diesem Zwecke sind sie autorisiert, die Daten vor Ort zu prüfen, öffentliche Warnungen auszugeben und vor allem auch finanzielle Sanktionen gegen Unternehmen zu verhängen, die die Gesetzesvorgaben nicht vollständig erfüllen. Dabei können die Geldstrafen bis zu 4 % des Jahresumsatzes der gesamten Unternehmensgruppe bzw. 20 Millionen Euro betragen, je nachdem welche Zahl höher ist. Zudem wird die Geltendmachung von zivilrechtlichen Ansprüchen aus materiellen und immateriellen Schäden vereinfacht.
Neue Verpflichtungen
- Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen: Unternehmen müssen nachweisen, dass Datensicherheit schon in den frühen Entwicklungsphasen fester Bestandteil ihrer Produkte und Dienstleistungen ist. Die folgenden Sicherheitsmaßnahmen werden als angemessen angeführt: Pseudonymisierung der Daten oder technische Verfahren, die standardmäßig sicherstellen, dass nur die erforderlichen personenbezogenen Daten verarbeitet werden.
- Kooperation mit den Aufsichtsbehörden: Eine Datenverletzung muss einer Aufsichtsbehörde innerhalb von 72 Stunden angezeigt werden.
- Anforderungen zur Aufbewahrung von internen Aufzeichnungen: Unternehmen müssen Aufzeichnungen über die verarbeiteten personenbezogenen Informationen führen und darüber hinaus u. a. dokumentieren, zu welchem Zweck die Daten verarbeitet wurden.
- Datenschutzbeauftragter (DSB): Unternehmen sind zur Benennung eines DSB verpflichtet, wenn deren Kerntätigkeit in der Verarbeitung von Daten besteht, die eine systematische Überwachung von Einzelpersonen im großen Umfang oder die Verarbeitung besonderer Kategorien von Daten erfordert.
- Datenschutz-Folgenabschätzung: vor der Verarbeitung personenbezogener Daten muss eine Abschätzung der Folgen der Datenverarbeitung vorgenommen werden, um hohe Datenschutzrisiken aufgrund der Verarbeitungsvorgänge zu identifizieren.
- Zertifizierungsverfahren: Datenschutzsiegel und –zertifikate werden eingeführt, um es Unternehmen zu ermöglichen, ihre Einhaltung der Datenschutz-Grundverordnung bei Bedarf nachzuweisen.
Welche Vorteile ergeben sich für in der EU ansässige Personen?
Die DSGVO gibt in der EU ansässigen Personen mehr Kontrolle über ihre personenbezogenen Daten. Eine Auswahl dieser Rechte stellen wir nun in diesem Abschnitt vor.
| RECHT AUF BERICHTIGUNG | Natürliche Personen dürfen die Abänderung nichtzutreffender Daten kostenlos verlangen. Darüber hinaus müssen unvollständige, verbotene oder nicht relevante personenbezogene Daten auf Verlangen des Kunden gelöscht. |
|---|---|
| RECHT AUF ÜBERTRAGBARKEIT | Einer natürlichen Person steht das Recht zu, die Übertragung der eigenen personenbezogenen Daten von einem Unternehmen auf ein anderes zu verlangen. In der Welt des Datenschutzes hat es bisher keine vergleichbare Bestimmung gegeben. |
| RECHT AUF VERGESSENWERDEN | Hat der Verantwortliche keine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten, steht einer natürlichen Person das Recht zu, die Löschung ihrer eigenen Daten zu verlangen. |
| EINWILLIGUNG | Die Einwilligung darf nicht mit anderen Bestimmungen verknüpft sein und kann von der betroffenen Person jederzeit widerrufen werden. Für Kinder unter 16 Jahren ist die Einwilligung der Eltern erforderlich. |
Die Rechte der betroffenen Personen haben erhebliche geschäftliche und technische Auswirkungen auf Unternehmen zur Folge. So geht zum Beispiel die Mehrzahl der Unternehmen davon aus, dass die Löschung von Kundendaten eine Herausforderung darstellen wird. Dennoch räumen 60 % der Unternehmen ein, über kein System zur Löschung von personenbezogenen Daten auf Anfrage zu verfügen. Folgerichtig werden erhebliche Investitionen erforderlich sein, um neue Verfahren umzusetzen und bestehende IT-Funktionalität so anzupassen, dass DSGVO-Compliance garantiert werden kann.
Wie kann Camelot Ihr Unternehmen bei der Einhaltung von DSGVO-Vorgaben unterstützen?
Eine der strengsten datenschutzrechtlichen Bestimmungen der Welt soll in der EU in Kraft treten. In Anbetracht des breiten Umfangs der Änderungen im Vergleich zu den aktuellen rechtlichen Rahmenbedingungen und der massiven Sanktionen, gibt es einen akuten Handlungsbedarf für fast jedes Unternehmen, das EU-Bürger bedient.
Kontaktieren Sie uns um zu erfahren, wie Camelot Ihre Compliance-Lücke schließen und Sie durch den Anpassungsprozess vom Assessment bis hin zur Nachhaltigkeit führen kann.
