Der Countdown läuft. Am 25. Mai 2018, also in weniger als einem Jahr, tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese vereinheitlicht den Umgang mit Daten EU-weit und gilt für alle Firmen, die personenbezogene Daten von EU-Bürgern speichern, übertragen oder verarbeiten.
Die neue Verordnung regelt den Datenschutz erheblich strenger als bisher in den meisten EU-Mitgliedsstaaten: Der Anwendungsbereich wird sich beispielsweise nicht mehr auf das Gebiet der EU beschränken, sondern auch Niederlassungen von EU-Unternehmen weltweit sowie Nicht-EU-Unternehmen umfassen, die EU-Bürgern Waren und Dienstleistungen anbieten. Strenger ist die DSGVO auch bei den Meldepflichten von Datenschutzverletzungen an die Aufsichtsbehörde und vor allem bei den Bußgeldern und strafrechtlichen Sanktionen bei Verstößen. Diese wurden drastisch erhöht und auf dem Spiel stehen Bußgelder in Höhe von vier Prozent des weltweiten Umsatzes eines Unternehmens.
Grund genug also für alle Verantwortlichen, sich eingehend mit der Thematik zu beschäftigen und zu prüfen, ob sie für den 25. Mai 2018 vorbereitet sind. Dazu gibt Daniel Wolf, Regional Director DACH beim Cloud-Security-Anbieter Skyhigh Networks, Unternehmen eine Checkliste mit zehn Fragen an die Hand:
– Ist sich die Führungsebene über die Bedeutung der EU-Datenschutzverordnung im Klaren? Aufgrund der mit der Verordnung verbundenen Implikationen und der hohen Bußgeldern bei Verstößen sollten Unternehmen die EU-DSGVO zur Chefsache machen.
– Wissen Sie, wo in Ihren Unternehmen sich überall personenbezogene Daten befinden? Die Verordnung bezieht sich sowohl auf existierende Daten sowie auf solche, die nach Inkrafttreten erfasst werden. Wo im Unternehmen befinden sich personenbezogene Daten und in welcher Form? Welche Prozesse sind für den Datenzugriff, die sichere Speicherung, für Backup und Kontrolle etabliert?
– Ist ein Prozess etabliert, um Daten-Anfragen einzelner Personen zu beantworten? Laut EU-DSGVO haben Anwender, sogenannte Daten-Subjekte, das Recht, von allen Organisationen, die Daten über sie besitzen, diese in maschinenlesbarer Form anzufordern. Ist Ihr Unternehmen in der Lage, aus allen Datenquellen sämtliche personenbezogenen Daten einer Einzelperson zusammenzustellen?
– Ist ein Prozess etabliert, um Daten auf Wunsch zu löschen? Die EU-DSGVO gewährt Daten-Subjekten das Recht auf Löschung ihrer Daten. Ist Ihr Unternehmen auf entsprechende Anfragen vorbereitet?
– Kennen Sie die Vorschriften im Zusammenhang mit der Einwilligung zur Erfassung und Aufbewahrung? Die Datenerfassung, die Einwilligung zum Speichern von Daten und ihrer Verwendung sowie der Zeitraum, in dem Daten aufbewahrt werden, tangiert verschiedene Bereiche des Unternehmens und der Verantwortliche muss hier alle Vorschriften kennen. Denn bei Anfragen von Regulierungsbehörden nach der Herkunft von Daten und der Einwilligung des Daten-Subjekts zur Erfassung und Aufbewahrung müssen Unternehmen auskunftsfähig sein.
– Welche Outsourcing-Partner haben Zugriff auf personenbezogene Daten? Die Verantwortung für den korrekten Umgang mit personenbezogenen Daten erstreckt sich auch auf so genannte Auftragsverarbeiter, also Outsourcing-Provider oder Provider eines Cloud-Dienstes. Tritt hier ein Datenverlust auf, haftet das auslagernde Unternehmen. Das heißt, der Verantwortliche im Unternehmen muss auch sicherstellen, dass Auftragsverarbeiter entsprechende Richtlinien, Verfahren und Technologien für einen sicheren Umgang mit personenbezogenen Daten etabliert haben.
– Sind Sie in der Lage, Verstöße gegen den Datenschutz zu erkennen? Sie wollen sicherlich nicht vom Anwender selbst oder von der Regulierungsbehörde über Fälle von Datenverlust informiert werden. Haben Sie in Ihrem Unternehmen Technologien implementiert, die Ihnen helfen, Datenschutzverletzungen zu erkennen? Können Sie im Ernstfall systematisch analysieren, wie es zu einem Datenverlust oder einer Datenveränderung kam? Sind Sie in der Lage, mit vollständigen User-Protokollen und -Identitäten Fälle von Datenschutzverletzungen zurückverfolgen, um deren volles Ausmaß und Auswirkungen für Ihr Unternehmen zu erfassen?
– Verfolgen Sie bei der Entwicklung neuer Systeme die Prinzipien „Privacy by Design“ und „Privacy by default“? Bei der Entwicklung neuer Systeme sollte Datenschutz von Anfang an mitgedacht und in die Gesamtkonzeption einbezogen werden (Privacy by Design). Zusätzlich gilt es, datenschutzfreundliche Voreinstellungen sicherzustellen (Privacy by Default). Für die Einhaltung dieser Prinzipien hat der Verantwortliche zu sorgen.
– Liegt in Ihrem Unternehmen für den Fall von Datenschutzverletzungen ein Kommunikationsplan vor? Tritt in Ihrem Unternehmen ein Verstoß gegen den Datenschutz auf, müssen Sie in der Lage sein, sofort auf Fragen von Kunden oder den Medien zu reagieren. Sind Sie hier für alle möglichen Szenarien vorbereitet? Haben Sie einen fertigen Kommunikationsplan zur Hand? Wen haben Sie als Sprecher definiert? Sind Sie auch handlungsfähig, wenn Informationen über Datenschutzverletzungen außerhalb Ihrer Geschäftszeiten an die Öffentlichkeit gelangen?
– Sind alle Prozesse und Datenbewegungen dokumentiert? Wenn ein Datenschutzverstoß auftritt oder die Regulierungsbehörde in Ihrem Unternehmen ermittelt, benötigen Sie eine vollständige Dokumentation aller Datenbewegungen. Wie hoch im Fall der Fälle eine Geldstrafe ausfällt, hängt auch von den Prozessen, den eingesetzten Technologien für den Schutz personenbezogener Daten sowie der Dokumentation dieser Technologien und der Datenbewegungen ab.