Im Mai 2018 wird die Anwendung der Datenschutz-Grundverordnung der EU (EU-DSGVO) verpflichtend. Die Vorbereitung darauf ist für Unternehmen zeitraubend und aufwendig, und sehr viele haben noch gar keine Vorkehrungen getroffen. Die Analysten von Gartner gehen davon aus, dass 50 Prozent der Unternehmen, die von der EU-DSGVO betroffen sind, bis Ende 2018 die neuen Anforderungen nicht vollständig erfüllen werden.
Wer das ungute Gefühl hat, nicht ausreichend vorbereitet zu sein, und keine Sanktionen aufgrund von Verstößen riskieren will, sollte umgehend die folgenden ersten Schritte unternehmen.
- Prüfen Sie, ob die EU-DSGVO für Ihr Unternehmen gilt
Sie denken: „Für uns ist das nicht relevant, unser Unternehmen hat seinen Sitz nicht innerhalb der EU.“ Moment! Die EU-DSGVO betrifft nicht nur Unternehmen in der EU. Sie gilt für jede Organisation, die durch den Vertrieb von Gütern und Dienstleistungen – auch wenn diese kostenlos sind – personenbezogene Daten von Einwohnern der EU verarbeitet oder deren Verhaltensmuster erfasst. Das heißt: Auch viele Unternehmen außerhalb der EU sind betroffen. - Zuständigkeiten festlegen
Die EU-DSGVO sieht vor, dass Organisationen einen Datenschutzbeauftragten benennen müssen, wenn ihre Kerntätigkeit „in der Durchführung von Verarbeitungsvorgängen besteht, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“ oder wenn ihre Kerntätigkeit in der „umfangreichen Verarbeitung besonderer Kategorien von Daten“ besteht. - Wie sich die EU-DSGVO auf Prozesse, Daten und Systeme auswirkt
Laut der neuen Verordnung müssen Unternehmen ermitteln und erfassen, welche Geschäftsprozesse personenbezogene Daten enthalten. Es ist Pflicht zu dokumentieren, wie die Daten verarbeitet werden, um festzustellen, welche Datenschutzrisiken mit Ihren Geschäftsprozessen und den zugrunde liegenden Systemen verbunden sind. Auch Kontrollen und Verfahren zum Schutz der Vertraulichkeit, Korrektheit und Verfügbarkeit dieser Daten gehören zu den neuen Standards. Die Effektivität Ihrer Maßnahmen muss nachweisbar sein – das erfordert kontinuierliches Testen und Überprüfen Ihrer Methoden. - Fremdfirmen und externe Anbieter
Die Auslagerung von Prozessen an Dritte entbindet Sie nicht von Ihren Pflichten zur Einhaltung der EU-DSGVO. Die Verantwortung liegt nach wie vor bei Ihnen. Wenn Fremdfirmen oder externe Anbieter in Ihre Verarbeitungsprozesse einbezogen sind, müssen Sie sicherstellen, dass auch dort die entsprechenden Kontrollmaßnahmen zum Schutz personenbezogener Daten angewendet werden. - Eindeutige, transparente Einwilligungserklärung
Die EU-DSGVO schreibt vor, dass betroffene Personen ausdrücklich der Erfassung und Verarbeitung ihrer Daten zustimmen müssen. In den meisten Fällen ist es nicht mehr zulässig, den Nutzern automatisch angekreuzte Kästchen anzuzeigen oder stilles Einverständnis vorauszusetzen. Sie müssen Ihre aktuellen Datenschutz- und Offenlegungserklärungen überprüfen und, wenn erforderlich, anpassen. - Mitteilungspflichten
Machen Sie es Ihren Kunden leicht, ihre Einwilligung zu widerrufen. Es gibt eine neue Bestimmung, die Personen ein „Recht auf Vergessen“ zusichert. Beruft sich ein Nutzer darauf, müssen Organisationen seine Daten löschen. Zusätzlich sind sie verpflichtet sicherzustellen, dass auch alle anderen Parteien, denen Sie die Daten zur Verfügung gestellt haben, diese Daten löschen. Außerdem dürfen Betroffene, ihre personenbezogenen Daten in einem lesbaren, übertragbaren Format einfordern, was Nutzern die Auswahl von (Online-)Services erleichtern soll. - Einführung von Prozessen zur Meldung von Verstößen
Nach der EU-DSGVO ist ein Verstoß gegen den Schutzes personenbezogener Daten wie folgt definiert: „Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt , die übermittelt, gespeichert oder auf sonstige Weise verarbeitet werden.“ Diese muss „unverzüglich und möglichst binnen 72 Stunden“, nachdem die Verletzung bekannt wurde, an die Aufsichtsbehörde gemeldet werden. - Grenzüberschreitender Datentransfer
Im Falle eines internationalen Datentransfers müssen Sie sicherstellen, dass Sie eine legitime Basis für die Übertragung personenbezogener Daten in Drittstaaten haben, deren Datenschutzgesetze in der EU als nicht angemessen gelten.
An der EU-Datenschutz-Grundverordnung führt kein Weg vorbei, und ihre Einhaltung erfordert eine Menge an Vorbereitung. Fangen Sie jetzt damit an!
In unserem kostenlosen Webinar zeigen wir anhand von praxisnahen Beispielen, wie Sie sich optimal auf die EU-DSGVO vorbereiten. Melden Sie sich an und machen Sie sich fit für die neue Datenschutz-Grundverordnung!
Pressesprecherin bei Software AG
Bärbel Strothmann ist seit ihren Anfängen in der IT-Branche vor mehr als 20 Jahren schreibend unterwegs, zunächst in der Forschung und Entwicklung als technische Autorin, dann im Marketing als Creative Writer und seit 2008 auf journalistischen Wegen für den Bereich Corporate Communications der Software AG. Sie ist Mitbegründerin des Blogs, zuständig für die Social-Media-Aktivitäten des Unternehmens sowie für alle Themen rund um die Technik- und Produktkommunikation. Die Digitalisierung, ihre Auswirkungen und Chancen gehören zu ihren Lieblingsthemen.
Letzte Artikel von Bärbel Strothmann-Schmitt (Alle anzeigen)
- Der Deutsche Logistik-Kongress 2018 in Bildern - 25. Oktober 2018
- Interview mit Andreas Geiss von Siemens, Teil 2: IoT ist wichtig – und vor allem einfach! - 27. September 2018
- Interview mit Andreas Geiss von Siemens, Teil 1: Ran an die Daten! - 25. September 2018