Einen Downloadlink finden Sie am Ende dieses Artikels.

EU DS-GVO ready

Das Thema Datenschutz ist weit mehr als nur ein Randthema oder eine lästige Pflicht. Im Mai 2018 kommen große Herausforderungen und Aufgaben auf alle Unternehmen zu. Die neue EU Datenschutz-Grundverordnung bekommt hier eine ganz neue Priorität.

Datenschutz erhält neue Priorität!

Am 25. Mai 2018 wird die neue europäische Datenschutz-Grundverordnung (EU DS-GVO) vollumfänglich in Kraft treten. Mit diesem Leitfaden möchten wir Sie bei der Umsetzung der anstehenden Aufgaben rundum das Thema Datenschutz unterstützen.

Die Digitalisierung vereinfacht das bequeme Einkaufen, schnelles Navigieren, das optimale Suchen oder einfach nur persönlich von elektronischen Helfern begrüßt zu werden: Die digitalen Dienstleister speichern und verarbeitet dafür Daten von (natürlichen) Personen, um all diese Prozesse zu Standards werden zu lassen. Dass Unternehmen verantwortungsbewusst mit diesen Daten umgehen, setzen Kunden in dieser digitalen Gesellschaft als selbstverständlich voraus.

Mit der „Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr” (kurz EU DS-GVO) erlässt die Europäische Union erstmals einheitliche Regeln für einen der größten Wirtschaftsräume der Welt.

Die Verordnung ersetzt das in Deutschland bisher geltende Bundesdatenschutzgesetz (BDSG) weitgehend und wird zu einem effizienten Werkzeug, um Personen und deren Daten nachhaltig zu schützen.

Das Thema Datenschutz ist somit weit mehr als nur ein Randthema oder lästige Pflicht. Ab dem 25. Mai 2018 kommen große Herausforderungen und Aufgaben auf alle Unternehmen zu.

Die drohenden Strafen für die Nichteinhaltung der Vorschriften sind enorm hoch und der Handlungsbedarf entsprechend groß. Das gilt für den internen Umgang mit Mitarbeiterdaten, Prozessen etc. aber besonders bei externen Daten wie z. B. Kundendaten im Rahmen derer Verarbeitung, Speicherung sowie Löschung.

Besonders im IT-Bereich werden sich hierdurch eine Vielzahl von neuen Aufgaben und Maßnahmen ergeben, die im Systemhausgeschäft zu meistern sind. Mit diesem Leitfaden wollen wir hel-fen und die ersten wichtigen Informationen und Grundsätze benennen.

Die Europäische Datenschutzgrundverordnung betrifft uns alle. Die Übergangsphase endet im Mai 2018 – eine weitere Übergangsperiode wird es nicht geben.

Einführung und fortdauernde Pflege des Datenschutzes belastet gleichermaßen alle öffentlichen und nicht öffentlichen Stellen, die personenbezogenen Daten verarbeiten – also Sie, Ihre Kunden und Lieferanten und Ihre Konkurrenz wie auch uns selbst. Die normalen und verständlichen Schutzreflexe helfen hier nicht weiter – es gibt schlicht und ergreifend kein Entrinnen. Die bereits vor zwei Jahren in Kraft getretene Europäische Datenschutzgrundverordnung gilt ab dem 25. Mai 2018 uneingeschränkt.

Daher müssen wir die EU DS-GVO als neue Herausforderung begreifen und in ihr einen Wettbewerbsvorteil sehen.

Sprechen Sie uns an. Zusammen mit Ihnen sorgen wir für Einhaltung der EU DS-GVO in Ihrem Unternehmen.


1 WAS IST DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG?

Das europäische Parlament verabschiedete im April 2016 die Regelung der europaweiten Moderni-sierung und Vereinheitlichung von Datenschutzgesetzen durch die EU-Datenschutz-Grundverordnung (EU DS-GVO).

Die EU DS-GVO baut auf mehrere Grundsätze auf und gibt entsprechende Prinzipien vor, nach denen es zu handeln gilt:

  • Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt)
  • Treu und Glauben (Verhältnismäßigkeit)
  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht 

Die Verordnung hebt die Richtlinie 95/46/EG von 1995 auf. Anders als die bisherige Richtlinie, ist die EU DS-GVO keine Richtlinie, sondern gilt wie ein Gesetz, das unmittelbar Strafen nach sich zieht.

Die Verordnung ist schon seit dem 24. Mai 2016 gültig und hat eine Umsetzungsfrist von 2 Jahren, bis zum 25. Mai 2018. Bis zu diesem Termin haben alle Unternehmen Zeit, die Vorgaben der neuen EU DS-GVO umzusetzen.

Eine der wesentlichen Änderungen zu den gegenwärtigen Regelungen ist, dass Unternehmen jederzeit geprüft werden können und dann die Einhaltung der Richtlinie nachweisen müssen. Da-mit drohen Sanktionen nicht erst bei Datenpannen, sondern können von den Aufsichtsbehörden schon im Vorfeld geahndet werden.

Die Aufsichtsbehörden sollen sicherstellen, dass die Geldbußen für Verstöße gegen die Verord-nung „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind”.

2 WELCHE UNTERNEHMEN SIND VON DER EU DS-GVO BETROFFEN?

Die neue EU DS-GVO regelt den Schutz und Umgang, also die Verarbeitung von personenbezoge-nen Daten. Somit sind sämtliche öffentliche und nicht öffentliche Stellen betroffen, die personen-bezogenen Daten verarbeiten.

2.1 WAS SIND EIGENTLICH PERSONENBEZOGENE DATEN?

„Im Sinne dieser Verordnung bezeichnet der Ausdruck ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer OnlineKennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;” Diese Erklärung ist sehr wortreich und weit gefasst.

Personenbezogene Daten sind demnach all jene Informationen, die sich auf eine natürliche Person beziehen, jedenfalls zumindest beziehbar sind und auf diese Weise Rückschlüsse auf deren Persönlichkeit zulassen.

Typische Daten, die gesammelt bzw. verarbeitet und von der EU DS-GVO geschützt werden sollen sind: der Name, die Anschrift, die E-Mail-Adresse, die IP-Adresse etc. In der Geschäftswelt geht es zusätzlich oft um Kundendaten, die z. B. in einem ERP/CRM-System verarbeitet werden, Gesprächsnotizen, Geburtstage, Mailverläufe etc. Hinzu kommen weitere Daten, die z. B. nur für Marketingzwecke verwendet oder auch als „Zufallsprodukt” erfasst werden, wie z. B. IP-Adressen in einem Logfile, können von der EU DS-GVO geschützt sein.

3 WAS PASSIERT BEI VERSTÖßEN?

Die Bußgelder für Unternehmen, die ihren Pflichten im Rahmen der EU DS-GVO nur mangelhaft oder gar nicht nachkommen, wurden neu festgelegt und sind dementsprechend empfindlich. Sollte eine Aufsichtsbehörde einen Verstoß feststellen, können Bußgelder bis zu 20 Million Euro oder von bis zu 4 % des weltweiten Firmenjahresumsatzes festgelegt werden.

Die Verhängung von Geldbußen soll in jedem Fall „wirksam, verhältnismäßig und abschreckend” sein. Neu ist auch, dass mit der EU DS-GVO Strafen gegen natürliche Personen vorgesehen sind und nicht nur gegen Unternehmen.

Damit kann auch ein Geschäftsführer persönlich oder unter Umständen auch der Datenschutzbeauftragte persönlich für Verstöße haftbar gemacht und ggf. in Regress genommen werden.

4 WELCHE RECHTE HABEN KUNDEN IN DER EU DS-GVO?

Die EU DS-GVO bestimmt die Spielregeln die Unternehmen einhalten müssen, wenn Sie personenbezogenen Daten verarbeiten. Einer der wichtigen Grundsätze dabei ist, dass die betroffene Person umfassend über ihre Rechte in klarer sowie verständlicher Sprache informiert werden muss und dass die Person ihre Rechte auf einfache Weise wahrnehmen kann.

Ein kurzer Überblick:

  • Einwilligung, Zweckbindung und Kopplungsverbot:
    Jede Person muss „umfassend und in einfacher Sprache” über den Verwendungszweck von Daten, die sie preisgibt, informiert werden. Die Einwilligung zur Nutzung muss freiwillig erfolgen – sie darf also nicht an andere Bedingungen geknüpft sein (z. B. das Einwilligen zur werblichen Zwecken der Daten, um eine Bestellung abschließen zu können etc.)

  • Auskunftsrecht:
    Verantwortliche eines Unternehmens müssen auf Verlangen der betroffenen Person kostenlos Auskunft über gespeicherte Daten, deren Verwendungszweck und ggf. Dritten die diese Daten erhalten haben, informieren.

  • Recht auf Vergessen werden – Löschpflicht:
    Der Kunde hat „das Recht zu verlangen, dass seine personenbezogenen Daten gelöscht werden”. Die Löschpflichten und entsprechende Löschungsabsichten sind ein fester Bestandteil der EU DS-GVO. Es muss dazu bereits bei Aufnahme der Daten definiert werden, wann diese wieder gelöscht werden. Dabei dürfen die Daten nicht ohne Rechtsgrundlage länger als notwendig aufbewahrt werden.

    Wurden die Daten an Dritte weitergegeben oder gar veröffentlicht, so muss der Verantwortliche auch sicherstellen, dass die Daten hier gelöscht werden.

  • Umgehende Meldung an die Aufsichtsbehörde:
    „Im Fall einer Verletzung des Schutzes meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der Aufsichtsbehörde”.

  • Recht auf Datenübertragbarkeit:
    Der Kunde hat das Recht, die über ihn gespeicherten Daten „in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten”. Einfach gesagt: Jedes Unternehmen muss mir als Kunde jederzeit alle meine personenbezogenen Daten in einem lesbaren Format aushändigen.

5 DIE ZEIT RENNT: WAS IST WICHTIG?

Als IT-Systemhaus und Datenschutzbeauftragte lassen wir uns von unserem Partner für IT-Sicherheit Securepoint zu „Securepoint EU DS-GVO Expert“ schulen. Diese sehr intensiven und tiefgreifenden Schulungsmaßnahmen versetzen uns in die Lage, unsere Kunden u. a. zu oben angeführten und folgenden Punkten professionell zu helfen.

zertihk zertbbt2zertbbt1

Professional   Expert

Obwohl die schnell ablaufende Übergangsfrist immer näherkommt, haben viele Firmen noch kaum oder sogar gar keine Vorkehrungen getroffen.

Das Marktforschungsinstitut Gartner hat ermittelt, dass bis Ende 2018 bei mehr als der Hälfte von der EU DS-GVO betroffenen Unternehmen nicht alle entsprechenden Vorgaben umgesetzt sind.

Laut einer Bitkom Studie aus 09/2017 ignoriert bisher jedes dritte Unternehmen die EU DS-GVO und erst 13 Prozent aller befragten Unternehmen haben überhaupt erste Maßnahmen eingeleitet.


5.1 DATENSCHUTZBEAUFTRAGTEN BENENNEN

Zunächst ist die Benennung oder Bestellung eines Datenschutzbeauftragten, insbesondere wenn bei dem Unternehmen besonders risikoreiche Datenverarbeitungen erfolgt, vorzunehmen. Auch für kleine und mittelständische Firmen kann die Benennung eines externen Datenschutzbeauftragten eine gute Option sein.

Der Datenschutzbeauftragte muss gegebenenfalls sowohl gegenüber der Öffentlichkeit, wie auch der zuständigen Landesdatenschutzbehörde als offizieller Ansprechpartner benannt werden. Besonders im Fall einer Datenschutzverletzung ist es enorm wichtig, einen zentralen Ansprechpartner zu haben, der alles Weitere organisiert, sich zügig, direkt und weitestgehend mit der Aufsichtsbehörde abstimmt, um noch größere Schäden zu vermeiden.

5.2 ERSTE SCHRITTE ZUR EINFÜHRUNG DER EU DS-GVO

Folgende Fragen können dabei helfen, die Gefahrenpunkte für die anstehende Umsetzung zu lokalisieren:

  • Ist der Betroffene ausreichend und in einfacher Sprache informiert worden?
  • Liegen ausreichend wirksame Einwilligungen der Betroffenen vor?
  • Welche Daten werden im Unternehmen gesammelt oder verarbeitet?
  • Werden die Daten ausreichend geschützt?
  • Entspricht die eingesetzte IT dem aktuellen Stand der Technik?
  • Enthält die eingesetzte IT sog. Backdoors (viele außereuropäischen Hersteller durch den "Patriot Act" dazu gezwungen)?
  • Kann eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden durchgeführt werden?
  • Können Kunden mit einfachen Mitteln eine Auskunft über ihre personenbezogenen Daten erhalten?
  • Kann die Löschung der Daten durchgeführt werden?
  • Werden Daten zur Speicherung oder Verarbeitung an Dritte übermittelt?
  • Was und wie wird dokumentiert?

5.3 VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN

Um überhaupt zu wissen, welche personenbezogenen Daten gespeichert und verarbeitet werden, ist eine Bestandsaufnahme unabdingbar. Die EU DS-GVO sieht das in dem „Verzeichnis von Verarbeitungstätigkeiten” vor. Auch wenn die Vorschrift Ausnahmen kennt, bei denen Unternehmen kein Verzeichnis führen müssen, empfehlen wir dringend, ein den Vorschriften entsprechendes Verzeichnis zu erstellen. Damit erhält der Verantwortliche einen Überblick und es wird gleichzeitig eine zentrale Anforderung der Vorschrift erfüllt.

5.4 PROZESSE UND WERKZEUGE ÜBERPRÜFEN

Hier ist es wichtig, sowohl die Mitarbeiter für das Thema zu sensibilisieren und zudem die Prozesse zu überprüfen. Die Erstellung von Richtlinien, die den Umgang mit personenbezogenen Daten festlegen, ist hier ein wichtiger Bestandteil. Diese Richtlinien stellen eine Ansammlung aus technischen sowie organisatorischen Maßnahmen dar.

5.5 IT-INFRASTRUKTUR ÜBERPRÜFEN UND ABSICHERN – PRIVACY BY DESIGN, PRIVACY BY DEFAULT

Ein wichtiger Faktor ist die verantwortungsvolle Absicherung der IT-Systeme. Die vorhandene IT muss geprüft und ggf. durch neue ersetzt werden. Die EU DS-GVO führt die Begriffe „data protection by design” („Privacy by Design”) und „data protection by default” („Privacy by Default”) ein.

Die Technik der Datenverarbeitung muss von vornherein auf diese Zwecksetzung ausgerichtet sein. Die Voreinstellungen müssen datenschutzkonform ausgewählt sein. Die Absicherung fängt bereits auf der Netzwerk- und Kommunikationsebene an. Um ausschließlich vertrauenswürdige Verbindungen zu autorisieren, muss eine professionelle Firewall installiert werden. Bei der Auswahl der Firewall ist es empfohlen, darauf zu achten, dass der Hersteller seine Produkte gemäß der EU DS-GVO entwickelt sowie die Weitergabe von Daten an Dritte ausgeschlossen ist. Produkte, die Voraussetzungen von nicht EU-Staaten erfüllen, laufen Gefahr, gegen die Regelungen und Vorgaben der EU DS-GVO zu verstoßen. Achten Sie auf entsprechende Auszeichnungen oder Gütesiegel.

In der Verordnung soll die Vorgabe des Datenschutzes durch Technik sowie einer datenschutzfreundlichen Voreinstellung erfüllt werden.

Auch die Datensicherung und der Schutz vor Datenverlust hat eine hohe Bedeutung. Um sicherzustellen, dass Daten nicht verloren gehen können, muss ein Backup/Restore und Recovery Konzept erarbeitet werden. Hier kann zum Beispiel ein georedundantes Cloud-Backup in ein vertrauenswürdiges Rechenzentrum eine Lösung sein. Wichtig ist, dass Konzepte erstellt, dokumentiert und umgesetzt werden, um die Vorgaben der EU DS-GVO bestmöglich zu erfüllen.

5.6 ISENTIAL HILFT IHNEN BEI DER EINHALTUNG DER EU DS-GVO UND REALISIERUNG VON LÖSUNGSKONZEPTEN

Mit unseren Know-how zum Thema EU DS-GVO können wir Ihnen bestmögliche Unterstützung und Lösungen bieten. Um die technischen Anforderungen der EU DS-GVO erfüllen zu können, müssen die IT-Technik für die Infrastruktur und die Prozesse optimal aufeinander abgestimmt sein. Eine professionelle IT-Security Umgebung ist eine der tragenden Säulen: “Privacy by Design, Privacy by Default”. Dazu gehört dann auch eine sorgfältige Dokumentation und eindeutige Abläufe bei einer Datenschutzverletzung. Das gilt sowohl für die schnelle Information und Reaktion des IT-Verantwortlichen sowie für eine umgehende Meldung an die Aufsichtsbehörden.

6 IT-SECURITY MADE IN GERMANY

isential zusammen mit ihrem Partner für IT-Sicherheit Securepoint bietet mit ihrem Know-how und ausgezeichneten Produkten und Kompetenzen im Bereich „Managed Security” komplette Lösungen für Unternehmensnetzwerke jeder Größe.

Unser Partner für IT-Sicherheit Securepoint ist Mitglied des deutschen IT-Sicherheitsverbands TeleTrusT. Die Securepoint-Lösungen für Netzwerksicherheit, Virenschutz, Sicherheit für mobile Geräte sowie E-Mail-Archivierung besitzen das Qualitätszeichen „IT-Security made in Germany”. Securepoint erfüllt mit seiner Kompetenz und seinen Produkten alle geforderten wichtigen Kriterien:

  • Der Hauptsitz der Forschung und Entwicklung ist in Deutschland.
  • Die Gewähr vertrauenswürdiger Sicherheitslösungen
  • Die Verpflichtung zu keinerlei versteckten Zugängen für Dritte (keine Backdoors)
  • Die Zusicherung, dem deutschen Datenschutzrecht zu entsprechen.
  • Partner und Kunden von Securepoint erhalten durch dieses Qualitätszeichen die Sicherheit, sich für IT-Security-Produkte zu entscheiden, die den strikten Richtlinien der EU DS-GVO unterliegen.

DIE ZEIT WIRD KNAPP – JETZT HANDELN!

Die Europäische Datenschutzgrundverordnung betrifft uns alle. Die Übergangsphase endet im Mai 2018 – eine weitere Übergangsperiode wird es nicht geben.

Einführung und fortdauernde Pflege des Datenschutzes belastet gleichermaßen alle öffentlichen und nicht öffentlichen Stellen, die personenbezogenen Daten verarbeiten – also Sie, Ihre Kunden und Lieferanten und Ihre Konkurrenz wie auch uns selbst. Die normalen und verständlichen Schutzreflexe helfen hier nicht weiter – es gibt schlicht und ergreifend kein Entrinnen. Die bereits vor zwei Jahren in Kraft getretene Europäische Datenschutzgrundverordnung gilt ab dem 25. Mai 2018 uneingeschränkt.

Daher müssen wir die EU DS-GVO als neue Herausforderung begreifen und in ihr einen Wettbewerbsvorteil sehen.

Sprechen Sie uns an. Zusammen mit Ihnen sorgen wir für Einhaltung der EU DS-GVO in Ihrem Unternehmen.

Bitte beachten Sie, dass dieser Leitfaden als Denkanstoß zu den möglichen Auswirkungen der EU DS-GVO gedacht ist und eine umfassende rechtliche Beratung nicht ersetzt.

 

Klicken Sie hier, um diese Seite als PDF-Dokument herunterzuladen.Seite als PDF-Dokument herunterzuladen.