Checkliste von Skyhigh Networks: Damoklesschwert EU-Datenschutzverordnung

Der Countdown läuft: Am 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung in Kraft, aber viele Unternehmen sind noch nicht bereit dafür.

(Foto: Nmedia - Fotolia)

Die Verordnung vereinheitlicht den Umgang mit Daten EU-weit und gilt für alle Firmen, die personenbezogene Daten von EU-Bürgern speichern, übertragen oder verarbeiten. Sie regelt den Datenschutz erheblich strenger als bisher: Der Anwendungsbereich wird sich nicht mehr auf das Gebiet der EU beschränken, sondern auch Niederlassungen von EU-Firmen weltweit sowie Nicht-EU-Firmen umfassen, die EU-Bürgern Waren und Dienstleistungen anbieten. Strenger ist die DSGVO auch bei den Meldepflichten von Datenschutzverletzungen an die Aufsichtsbehörde und vor allem bei den Bußgeldern und strafrechtlichen Sanktionen bei Verstößen. Auf dem Spiel stehen Bußgelder in Höhe von vier Prozent des weltweiten Umsatzes eines Unternehmens. Daniel Wolf, Regional Director DACH beim Cloud-Security-Anbieter Skyhigh Networks hat für Unternehmen eine Checkliste erstellt: Aufgrund der mit der Verordnung verbundenen Implikationen und der hohen Bußgeldern bei Verstößen sollten Unternehmen die EU-DSGVO zur Chefsache machen.

Die Verordnung bezieht sich sowohl auf existierende Daten sowie auf solche, die nach Inkrafttreten erfasst werden. Wo im Unternehmen befinden sich personenbezogene Daten und in welcher Form? Welche Prozesse sind für den Datenzugriff, die sichere Speicherung, für Backup und Kontrolle etabliert? Laut EU-DSGVO haben Anwender, sogenannte Daten-Subjekte, das Recht, von allen Organisationen, die Daten über sie besitzen, diese in maschinenlesbarer Form anzufordern. Ist Ihr Unternehmen in der Lage, aus allen Datenquellen sämtliche personenbezogenen Daten einer Einzelperson zusammenzustellen? Die EU-DSGVO gewährt Daten-Subjekten auch das Recht auf Löschung ihrer Daten. Ist Ihr Unternehmen auf entsprechende Anfragen vorbereitet?

Die Datenerfassung, die Einwilligung zum Speichern von Daten und ihrer Verwendung sowie der Zeitraum, in dem Daten aufbewahrt werden, tangiert verschiedene Bereiche des Unternehmens und der Verantwortliche muss hier alle Vorschriften kennen. Denn bei Anfragen von Regulierungsbehörden nach der Herkunft von Daten und der Einwilligung des Daten-Subjekts zur Erfassung und Aufbewahrung müssen Unternehmen auskunftsfähig sein. Die Verantwortung für den korrekten Umgang mit personenbezogenen Daten erstreckt sich auch auf so genannte Auftragsverarbeiter, also Outsourcing-Provider oder Provider eines Cloud-Dienstes. Tritt hier ein Datenverlust auf, haftet das auslagernde Unternehmen.

Haben Sie in Ihrem Unternehmen Technologien implementiert, die Ihnen helfen, Datenschutzverletzungen zu erkennen? Bei der Entwicklung neuer Systeme sollte Datenschutz von Anfang an mitgedacht und in die Gesamtkonzeption einbezogen werden (Privacy by Design). Zusätzlich gilt es, datenschutzfreundliche Voreinstellungen sicherzustellen (Privacy by Default). Tritt in Ihrem Unternehmen ein Verstoß gegen den Datenschutz auf, müssen Sie in der Lage sein, sofort auf Fragen von Kunden oder den Medien zu reagieren. Wenn ein Datenschutzverstoß auftritt oder die Regulierungsbehörde in Ihrem Unternehmen ermittelt, benötigen Sie eine vollständige Dokumentation aller Datenbewegungen.