Unternehmen müssen sich vorbereiten

Im Artikel zur Baracuda European Roadshow 2017 haben wir bereits von der neuen EU-Datenschutzgrundverordnung (EU DS-GVO, EU GDPR – EU General Data Protection Regulation) berichtet. Diese neue Verordnung ist ab dem 25. Mai 2018 für alle in der Europäischen Union niedergelassenen Unternehmen und auch für alle außereuropäischen Unternehmen, die auf dem europäischen Markt tätig sind, verbindlich gültig (Marktortprinzip).

Diese neue Verordnung verfolgt folgende Leitlinien:

  • mehr Kontrolle über die Daten
  • globale Standards für den Datenschutz
  • Einsparungen durch Vereinheitlichung unterschiedlicher Datenschutzregeln
  • Verhinderung von Datenverarbeitung in Staaten mit weniger strengem Datenschutzrecht
  • Einführung einer Aufsichtsbehörde für Unternehmen in der Europäischen Union

Eine Verletzung des Schutzes personenbezogener Daten muss unverzüglich, spätestens nach 72 Stunden, der Aufsichtsbehörde gemeldet werden. Es gibt nun keine Eingrenzung auf sehr sensible Daten mehr, mit folgender Ausnahme: Die Verletzung führt nicht zu einem Risiko für den Betroffenen.
Bei Nichtmeldung der Verletzung ist mit Bußgeldern in Höhe von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes zu rechnen. Zwecks Haftung wird der Vorstand / der Geschäftsführer zur Verantwortung gezogen.

Folgende Ansätze sind zur Erfüllung der EU DS-GVO durchzuführen:

  • Unterziehen aller relevanten Verfahren, Prozesse, Abläufe und Systeme einer risikobasierenden Bewertung im Hinblick auf den Datenschutz
  • Erstellen bzw. Überarbeiten notwendiger Verfahrensmeldungen
  • Kontrolle der dazugehörigen IT-Sicherheitsmaßnahmen
  • Ersetzen der Einzelmaßnahmen durch ein umfassendes IT-Sicherheitskonzept

Laut einer Studie der Bitkom zum Thema „EU-Datenschutzgrundverordnung – Wie gut ist die deutsche Wirtschaft vorbereitet?“ aus dem September 2017 wird die EU DS-GVO bei rund 30% der befragten Unternehmen ignoriert. Dies geschieht zum Teil bewusst und nicht aufgrund Unwissenheit oder Ressourcenmangel. Daraus folgt dass ca. 60% der Unternehmen die Umsetzung bis zum 25. Mai 2018 nicht abgeschlossen haben werden.
Dies ist eine beträchtliche Zahl, bedenkt man, dass die Europäische Datenschutz-Grundverordnung bereits seit dem 25. Mai 2016 in Kraft ist und eine Übergangszeit von 2 Jahren zur Umsetzung der Verordnung eingeräumt wurde.

Fazit:
Die Zeit läuft und es gibt noch viel zu tun. Das Thema Datenschutz wird wichtiger denn je. PureSec mit seiner Expertise unterstützt gerne bei der Beratung und Umsetzung.

Felix Kerber