Was sich durch die neue Datenschutz-Grundverordnung ändert

Was sich durch die neue Datenschutz-Grundverordnung ändert

Angelehnt am deutschen Datenschutzrecht

Zum 25. Mai 2018 tritt die neue europäische Datenschutz-Grundverordnung in Kraft. Die GDPR (General Data Protection Regulation) gilt in der gesamten EU und ist im Unterschied zu der noch geltenden EU-Datenschutzrichtlinie von 1995 keine Richtlinie mehr, sondern eine verpflichtende Verordnung. Den einzelnen Mitgliedsländern ist relativ wenig Gestaltungsspielraum für eine eigene Auslegung gegeben. Zudem gilt die GDPR nicht nur für europäische Unternehmen, sondern auch für alle ausländischen, die in der EU aktiv sind.

Das gute an der GDPR ist, dass sie sich sehr am deutschen Bundesdatenschutzgesetz (BDSG) orientiert. Sie beinhaltet jedoch eine ganze Reihe neuer Regelungen und Verpflichtungen, die für Unternehmen einen teilweise erheblichen Umstellungsaufwand bedeuten können. Angesichts der relativ kurzen Frist bis zum Inkrafttreten der GDPR empfiehlt es sich, mit den Vorarbeiten so bald wie möglich zu beginnen. Denn je nach Risiko können die nötigen Sicherungsmaßnahmen aufwändig ausfallen und reichen von der Qualität der technischen Infrastruktur über die internen Prozesse bis hin zur Schulung der Mitarbeiter.

Zu den Neuerungen und Pflichten der GDPR gehören:

  • Das Verarbeitungsverzeichnis der Daten muss noch detaillierter geführt werden.
  • Eine Datenschutz-Folgenabschätzung ist für die Verarbeitung besonders sensibler Daten notwendig. Dazu gehören Patientenakten oder personenbezogene Daten über Herkunft, Sprache, Religion, sexuelle Orientierung, etc..
  • Die Meldepflicht im Fall von Datendiebstahl verkürzt sich auf maximal 72 Stunden. Das bedeutet, dass hierfür Prozesse definiert werden müssen, die eine formal korrekte und detaillierte Meldung innerhalb dieser kurzen Frist ermöglichen.
  • Die technische Infrastruktur für die Verarbeitung persönlicher Daten muss dem Prinzip „Privacy by Design“ folgen, sprich alle Sicherheits- und Datenschutzanforderungen der GDPR müssen in ihrer grundlegenden Funktionsweise erfüllt werden.
  • Die Anwendungen, über welche Nutzer ihre persönlichen Daten eingeben oder verwalten, müssen dem Prinzip „Privacy by Default“ folgen. Das bedeutet, dass die Voreinstellungen einer Anwendung den Nutzer klar und verständlich über die weitere Verwendung seiner Daten informieren müssen.
  • Die Nichteinhaltung der Verordnung wird mit Strafen bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes geahndet.

Zudem bekommen Nutzer neue Rechte:

  • Erweitertes Recht auf Information: Unternehmen haben gegenüber Nutzern eine deutlich erweiterte Informationspflicht über die Verwendung ihrer Daten.
  • Das Recht auf Berichtigung persönlicher Daten wird verstärkt.
  • Das Recht auf Vergessen wird eingeführt: Nicht nur müssen Unternehmen persönliche Daten auf Wunsch der Nutzer löschen, sondern auch alle etwaigen Backups und Kopien davon. Zudem dürfen sie keine persönlicher Daten mehr speichern, für die keine explizite Erlaubnis vorliegt.
  • Recht auf Datenübertragbarkeit: Betreiber von SaaS-Angeboten (Software-as-a-Service) müssen persönliche Daten und Nutzungsdaten in einer Form vorhalten, die es Nutzern erlaubt, auf ein Konkurrenzangebot zu wechseln.

In Vorbereitung auf die Erlangung einer Konformität mit der neuen Verordnung sollten Unternehmen Fragen wie diese beantworten können:

  • Sind wir uns über den Umfang der gesetzlichen Anforderungen und Verpflichtungen der GDPR bewusst?
  • Haben wir die geeignete technische Infrastruktur, um personenbezogene Daten gemäß GDPR zu verarbeiten?
  • Haben wir die für die Verarbeitung und den Schutz personenbezogener Daten notwendigen Prozesse definiert?
  • Gibt es eine interne Datenschutzrichtlinie, die allen Mitarbeitern bekannt ist?

Der GDPR-Kongress der Westcon-Comstor Academy liefert einen detaillierten Überblick der Veränderungen und ihrer Auswirkungen auf die IT-Infrastruktur und die damit verbundenen Prozesse und liefert wertvollen Rat für die korrekte Umsetzung im Tagesbetrieb.

HIER GEHT’S ZUR REGISTRIERUNG