Datenschutz-Grundverordnung – Fluch oder Segen?


Datenschutz-Grundverordnung – Fluch oder Segen?

Erfolgreich vorbereiten auf die Europäische Datenschutz-Grundverordnung (EU-DSGVO) & die EU-Richtlinie zur Netz- und Informationssicherheit (NIS)

2018 werden grundlegende Änderungen der EU-Gesetzgebung in Kraft treten, die nahezu jedes Unternehmen betreffen, das in oder mit der EU Geschäfte tätigt. Eines dieser Themen - die Datenschutz-Grundverordnung (DSGVO) - ist derzeit viel diskutiert in Unternehmen. Sie wird im Mai 2018 für alle verbindlich. Im Fokus der Verordnung stehen die Erhöhung des Schutzes personenbezogener Daten und das Etablieren eines europaweit einheitlichen Standards. Damit sind vor allem solche Unternehmen betroffen, die für ihren Geschäftszweck persönliche Daten von EU-Bürgern verarbeiten. Aber beispielsweise auch die Personalabteilung eines jeden Unternehmens muss sich rüsten.

Die Datenschutz-Grundverordnung (DSGVO) aktualisiert das Datenschutzgesetz und schließt die Nutzung von Social Media und anderen Online-Diensten mit ein. Sie betont ausdrücklich die Notwendigkeit einer Cyber-Sicherheit, die auf dem neuesten Stand der Technik sein muss und fordert eine Berichtspflicht bei Datenschutzverstößen. Wird die Verordnung nicht befolgt, sind sehr hohe Strafen vorgesehen.

Zeitgleich mit der Datenschutz-Grundverordnung kommt auch die Richtlinie zur Netz- und Informationssicherheit (NIS), um in allen Mitgliedsstaaten ein gemeinsames Schutzniveau gegen Cyber-Angriffe zu erreichen. Sie ist ebenfalls bis spätestens Mai 2018 in nationales Recht umzusetzen. Davon betroffen sind Unternehmen, die unerlässliche Dienste (z.B. Energie, Wasser, Ernährung Transport und ITK) bereitstellen. Mit der jüngsten Veröffentlichung der „Änderung des BSI-Kritisverordnung“ gilt das IT-Sicherheitsgesetz (ITSiG) jetzt sogar auch für die Finanz-, Gesundheits- und Logistik-Branchen.

So weit zu den Vorgaben. Die spannende Frage dabei ist: Bietet sich damit eine Chance, die eigenen Sicherheitsmaßnahmen auf den Prüfstand zu stellen, um den hohen Anforderungen gerecht zu werden, oder ist dies nur wieder eine weitere regulatorische Belastung, die Unternehmen stemmen müssen?

Auswirkungen DSGVO & NIS

  • Die Notwendigkeit ist klar und liegt in unser aller Interesse: Die persönlichen Daten der Bürger müssen besser geschützt werden, um das Vertrauen in den Einsatz von Technologie in der heutigen digitalen Gesellschaft weiter aufzubauen.
  • Aufgrund eines internen Sicherheitsvorfalls aber auch wenn ein Dienstleister (Dritter) für eine Datenpanne verantwortlich ist, kann jedes Unternehmen in der EU rechenschaftspflichtig werden. Hier wird es darauf ankommen, den Beweis für die eigene Compliance zu erbringen.
  • Die DSGVO kommt – das steht fest. Sie bietet die Gelegenheit, die bisherige Sicherheitsumgebung zu bewerten und ein zukunftsorientiertes Sicherheitsniveau aufzubauen. Damit eröffnet sich Unternehmen nicht nur die Möglichkeit, die eigenen Sicherheitsmaßnahmen zu verbessern, sondern auch die Chance, einen entscheidenden Wandel zu unterstützen, um das Vertrauen in eine digitale Gesellschaft zu stärken.

Was ist neu?

Die DSGVO ist strenger als ihre Vorgänger
  • Es besteht die Pflicht, einen Datenschutzbeauftragten zu ernennen
  • Es gibt neue Auflagen für die Meldung von Datenschutzverletzungen
  • Es besteht die Möglichkeit, sehr hohe Geldstrafen zu verhängen
Die persönlichen Rechte der EU Bürger werden ausgeweitet:
  • Das Recht, vergessen zu werden (digitale Informationen mit Personenbezug sollen nicht dauerhaft zur Verfügung stehen)
  • Das Recht auf Daten-Portabilität (Daten, die Unternehmen von Nutzern zur Verfügung gestellt werden, müssen in strukturierter und maschinenlesbarer Form zurückgegeben werden)
  • Höhere Anforderungen bei der Zustimmung zur Verwendung von personenbezogenen Daten
  • Auflage, „State-of-the-Art“ Sicherheitslösungen einzusetzen (der Markt als Orientierungshilfe und Maßstab): Beim Stand der Technik sollen sich Unternehmen am Markt orientieren. Es geht um die am Markt verfügbaren Waren, Verfahren, Einrichtungen oder Betriebsweisen, deren Umsetzung das Erreichen der jeweiligen gesetzlichen Anforderungen und IT-Sicherheitsziele am wirkungsvollsten gewährleisten kann.
Zusammenfassung:
  • Die DSGVO ist unausweichlich: Mai 2018
  • Personenbezogene Daten müssen sicher gehandhabt werden (nachweisbare organisatorische und technische „State-of-the-Art“ Maßnahmen!)

indevis kann mit seinem Portfolio und seiner großen Erfahrung Kunden bei der Umsetzung der DSGVO & NIS Compliance helfen, denn Datensicherheit ist unser Kerngeschäft.