Leitfaden DSGVO, und wie Sie Bußgelder vermeiden

Durchblicken

Unternehmen in Europa und besonders in Deutschland, bereiten sich verstärkt auf die im April von der EU etablierten DSGVO Compliance Anforderungen vor. Die neue Regel, Datenschutz-Grundverordnung (DSGVO) genannt, ersetzt die Datenschutzrichtlinie, die 1995 in Kraft trat. Dies erfordert neue Maßnahmen in der  Datenverwaltung, die Privatsphäre und der Datenschutz für die Verbraucher muss besser und transparenter werden. Die Einhaltung der Datenschutz-Grundverordnung gilt nicht nur für Unternehmen in der EU. Sie betrifft auch Unternehmen in anderen Ländern außerhalb der USA, die personenbezogene Daten von EU-Bürgern sammeln.

Was nun?

Sie können nun hunderte Seiten zu diesem Thema lesen, Seminare belegen – oder einfach uns zusätzlich anspechen, wir zeigen Ihnen Mittel und Wege auf die praktikabel sind und Sie nicht in einer administrative Falle enden lassen.
Unser Portfolio hat nicht nur Produkte im Gepäck sondern beinhaltet auch echte Lösungskompetenzen – die ihr Unternehmen weiter bringt und für mehr Durchblick sorgen.

 

Für wen gilt die Regelung?

Unabhängig davon, ob sie ihre Leistungen entgeltlich oder unentgeltlich erbringen, werden Unternehmen mit Sitz in der EU und die personenbezogene Daten über in der EU ansässige Personen erheben, verarbeiten und nutzen, soweit diese Unternehmen ihre Tätigkeit auf die EU ausrichten.

Unternehmen im Sinne der EU-DSGVO

Bei Bußgeldern gilt zukünftig der Begriff des Unternehmens i.S.d. Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV). Nach der ständigen Rechtsprechung des EuGH ist der weite, funktionale Unternehmensbegriff:

  • Ein Unternehmen ist jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Diese wirtschaftliche Einheit kann dabei nicht nur aus einem einzelnen Unternehmen i.S.e. Rechtssubjekts, sondern aus mehreren, natürlichen oder juristischen Personen bestehen.
  • Vergleichbar mit dem Unternehmensbegriffs des europäischen Kartellrechts.

Man knüpft also nicht mehr am Rechtssubjekt an, sondern am Marktverhalten der wirtschaftlichen Einheit insgesamt. Damit kann ein ganzer Konzern als ein Unternehmen behandelt werden. Der gesamte Konzernumsatz bildet dann den für die Berechnung eines Bußgelds maßgeblichen Unternehmensumsatz.

Anforderungen der Compliance (Ordnungsmäßigkeit) im Rahmen der DSGVO (Datenschutz-Grundverordnung)

Die EU fordert Unternehmen auf, ihre Datenverarbeitungsprozesse in zahlreichen Kernbereichen zu optimieren, z.B.:

Zugriff: Alle EU-Bürger haben einen rechtlichen Anspruch, auf die Daten zuzugreifen, die ein Unternehmen über sie gesammelt hat. Als Unternehmen sind Sie verantwortlich dafür, bei Anfragen die richtigen Daten für die richtige Person bereitzustellen.

Transparenz: Unternehmen müssen Details darüber bereitstellen, wie sie die Verbraucherdaten verwenden. Sie müssen detaillierte Angaben in einer für Verbraucher leicht verständlichen Sprache machen.

Übertragbarkeit: Die Verbraucher können verlangen, dass das Unternehmen ihre Daten an Dritte weitergeben – noch umstritteneren Anforderungen. Damit können Unternehmen Neukunden von anderen Unternehmen gewinnen, sie können jedoch auch ihre Kunden an die Konkurrenz verlieren.

Entfernung und Löschung: Eine der wichtigsten Komponenten der Datenschutz-Grundverordnung betrifft die Entfernung und Löschung. Verbraucher haben das Recht, ihre Daten aus dem Datenbestand von Unternehmen entfernen zu lassen. Auf Anfrage müssen Unternehmen sicherstellen, dass alle personenbezogener Daten von ihren Systemen gelöscht wurden.

Meldepflicht für Verstöße: Unternehmen müssen sowohl betroffene Personen als auch die nationale Aufsichtsbehörde für Datenschutzverstöße benachrichtigen. Die Benachrichtigung muss innerhalb von 72 Stunden nach dem Verstoß an die Behörde gesendet werden.

Hinweise zur Vorbereitung auf die Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung wird für Unternehmen innerhalb und außerhalb Europas wesentliche Auswirkungen haben. Einige Unternehmen müssen ihre vorhandenen Datenschutzrichtlinien und ‑praktiken umfassend überarbeiten, damit sie die Grundverordnung erfüllen. Im folgenden Leitfaden werden einige kritische Schritte detailliert aufgeführt, die Unternehmen umsetzen müssen, damit sie den neuen Anforderungen der Datenschutz-Grundverordnung gerecht werden.

Daten Backup und System Recovery

Sicherheit der Verarbeitung (Artikel 32(1), Abschnitte (a)–(d)) der Datenschutz-Grundverordnung legt fest, dass Unternehmen einen Disaster Recovery-Plan haben müssen, der regelmäßig getestet wird. Unternehmen müssen in der Lage sein, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch zu revocern ( z.B. d.ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung). Des Weiteren verfügt die Datenschutz-Grundverordnung die Daten sowie die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit der IT Prozesse und Systeme und incl. der Dienstleistungen zu gewährleisten. Das Backup und Recovery Design wird das entscheidende Element für die Compliance bezüglich DSDVO werden.

Zuständigkeiten für Daten- und IT-Systemsicherung definieren

Die Einhaltung der DSGVO liefert eine umfassende Rechtfertigung, sich ernsthaft mit der Netzsicherheit zu befassen und einen kompetenten Datensicherungsexperten einzubeziehen. Vielleicht ein Mitglied Ihres IT-Sicherheitsteams. Oder die Fachkraft eines externen Anbieters. Ganz gleich wer, es kommt darauf an, einen Spezialisten zu ernennen, dessen Aufgabe es ist, Ihre Daten um jeden Preis zu sichern!

Kontrolle über den Datenzugriff implementieren

Mitarbeiter und Zulieferer dürfen nur auf die für ihre Aufgaben erforderlichen Daten zugreifen können. Unternehmen müssen in Technologien investieren und strenge Richtlinien etablieren mit deren Hilfe Sie den Datenzugriff besser verwalten können. Es gibt zahlreiche Wege, die Zugriffskontrolle zu verbessern, etwa die Folgenden:

  • Detaillierte Zugangs- und Kennwortrichtlinien implementieren (Recherieren Sie zu: Warum es falsch ist, Passwörter regelmäßig zu ändern!)
  • Mehrstufige Authentifizierung; End-to-End Tracing – was sonst kann Ihnen hier noch Sicherheit geben – wie Sie Logfile Manipulationen verhinden.
  • Berechtigungen Planen vs. Kontrollieren; Funktioniert Ihr Change Management
  • Auf Protokollierung im Kontext achten; Achtung mit dem Datalake und BigData Systemen – haben Sie dafür schon ein DR Konzept?
  • Passwort Sicherheit; never trust, always validate!

Zugriffs-Governance überprüfen

Mangelhafte Einhaltung der Datenschutz-Grundverordnung wird mit Sanktionen geahndet. Man ist also gut beraten, die Datenherkunft und Verarbeitung genauestens zu kennen und über die grundlegende Zugriffsverwaltung hinauszugehen. Darüber hinaus fordert die Governance, dass IT-Manager die Zugriffsrechte regelmäßig überprüfen, damit sichergestellt ist, dass die Berechtigungen der Benutzer mit ihren Rollen übereinstimmen. Unternehmen müssen sich also vergewissern, dass die Zugriff stimmen, ohne dass die Datensicherheit gefährdet wird.
Mit Formalismen kann dies nicht mehr alleine erfüllt werden, Die IT Infrastruktur und Verarbeitungsprozesse in der gesmaten IT müssen automatisch überwacht und Transkationen protokolliert werden, nur so kann Rechtssicherheit erreicht werden.

Scope und Fokus

Solide Datensicherheit beginnt mit dem Versändnis der IT Prozesse und zwar von außen nach innen und von innen nach außen. Sich nur auf Betriebssystem (Client und Server) und Netzwerksicherheit zu verlassen ist nicht mehr ausreichend; und das nicht nur wegen der DSGVO!
Investitionen in Firewalls und in Systeme zur Erkennung/Vorbeugung von Eindringlingen, in Content-Filterung und Netzwerke können Ihre Potential für Sicherheitsverstößen signifikant reduzieren. Effektive Sicherheit erfordert eine Kombination der Technologien, die so ein mehrstufiges Sicherheitssystem etablieren.

Die Herausforderung der DSGVO liegt in unserer aktuellen Zeit in der massive Anstrengungen zur Digitalen- und IT-Transformation unternommen werdem, allem gerecht zu werden ist für die meisten Unternehmen in der verfügbaren Zeit nur schwer möglich.

Analyse und Rekonstruktion ermöglichen

Wenn ein Verstoß aufgetreten ist, muss unverzüglich reagiert werden können, um die Meldepflicht für Verstöße der Datenschutz-Grundverordnung einzuhalten. Mit nur Protokollanalyse ist dies fast nicht machbar, denn nur die durchgehende Prozess- und Transaktions-Analyse kann hier die reale Rekonstruktion darstellen. Nur Moderne Ende-zu-Ende Ablaufverfolgung (End-to-End Tracing) ermöglicht es für diese Anforerungen umfassend zu lösen.

Denken Sie immer daran, dass Sie als IT verantwortlicher nicht nur betreffend der Rechtssicherheit betreffend der Datenverarbeitung haben, sondern auch die Modernisierung und damit der Veränderung von Daten verarbeitenden Prozessen rechnung tragen müssen.

Welche Bußgelder können auf ein Unternehmen zukommen?

Bußgeldvorschrift nach dem BDSG

Derzeit sind nach § 43 BDSG Bußgelder von bis zu 300.000 Euro pro Einzelfall möglich. Die strafrechtlichen Sanktionen sind aktuell in § 44 BDSG geregelt.

Bußgeldvorschrift nach Art. 83 DSGVO

Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Hier ist der oben genannte Unternehmensbegriff von Bedeutung: Es gilt der Jahresumsatz des gesamten Konzerns, nicht der der einzelnen juristischen Person.

Fazit

Die EU-DSGVO kommt mit sicherheit und wird praktisch in unterschiedlichsten Formen in Unternehmen umgesetzt werden. Sicher wird es mit der Umsetzung noch länger dauern bis in alle Unternehmen ein Bewustsein und Mindeststandard etabliert sein wird.
Der erste und wichtigste Schritt ist,  den Prozess in Gang zu bringen – und die Erkenntnis, dass man jeder Systemänderung gegen die DSGVO Anforderungen spiegelt.
Auch die Zeit wird vor allem kleineren Unternehmen in die Hände spielen, da die DSGVO und BDSG Anforderungen in Software Produkten eingebaut und mit zukünftigen Updates bzw. Releasewechsel verfügbar wird.

mainstorconcept hat sich mit seinen Lösungen, Konzepten und Produkten rechtzeitig in Stellung gebracht um Sie in Ihren Vorhaben zum Datenschutz und Systemsicherheit umfänglich zu unterstützen.
Wir empfehlen schon jetzt die DSGVO in der IT-Budgetplanung für die nächsten Jahre zu berücksichtigen und den Termin 25. Mai 2018 im Kalender dick zu markieren.

Die Uhr tickt – sprechen Sie uns an!