27.02.2018
Die anstehende Datenschutzreform durch das Europäische Parlament beinhaltet neue Spielregeln für Unternehmen. Bei Nichteinhaltung kann es schnell teuer werden.
Die neue EU-Datenschutz-Grundverordnung (DSGVO) steht unmittelbar bevor. Gerade einmal drei Monate dauert es noch, bis die neuen Richtlinien für die Mitglieder der Europäischen Union am 25. Mai 2018 in Kraft treten und Unternehmen nach neuen Regeln bezüglich der Datenverarbeitung und des Schutzes der personenbezogenen Daten spielen müssen. Tun sie das nicht, droht ein Bußgeld von bis zu 4 Prozent des Vorjahresumsatzes des Gesamtkonzerns. Die Höchststrafe von 300.000 Euro im Rahmen des bisherigen Bundesdatenschutzgesetzes (BDSG) dürfte bei vielen Unternehmen daher schnell überschritten werden, sollten sie sich nicht genügend vorbereitet haben. Markus Mergle, IT-Consultant und Experte für IT-Sicherheit und Datenschutz bei msg, hat die wichtigsten Aspekte der DSGVO, auf die Unternehmen noch einmal einen genauen Blick werfen sollten, zusammengefasst.
Datenspeicherung und Datensperrung
Personenbezogene Daten, die mit Einwilligung der betroffenen Person erfasst werden, unterliegen mit der EU-DSGVO neuen Anforderungen, wann diese aufbewahrt und wann sie gelöscht werden müssen. „Zweckgebundenheit“ nennt sich das dahinterstehende Konzept. Es bedeutet, dass keine Speicherung von Daten zulässig ist, die das Unternehmen nicht mehr für einen zuvor benannten Zweck benötigt. Entsprechend dieser Anforderung empfiehlt es sich, Löschprozesse in Unternehmen zu implementieren, um nicht gegen die Bestimmungen zu verstoßen und den Aufbewahrungsfristen zu entsprechen.
Zudem können Betroffene jederzeit einen Antrag auf Löschung ihrer Daten stellen. Die Legitimität des Antrags muss jedoch zunächst geprüft werden. Allerdings dürfen die angeforderten Daten des Betroffenen während des Prüfungsprozesses nicht verarbeitet werden. Es ist daher ratsam, eine Sperrfunktion für diese Daten zu implementieren. Wichtig: Für kundenzentrierte Unternehmen empfiehlt es sich, Sperren nicht nur auf Kundenebene umzusetzen, sondern diese feingranularer zu implementieren. So ist gewährleistet, dass beispielsweise bei einem Streitfall nur Daten eines bestimmten Vertrages gesperrt sind, alle übrigen Verträge davon aber unberührt bleiben.
Geschäftsmodell für Anwälte: Verschärfte Informationspflicht
Ein weiterer wichtiger Punkt sind die verschärften Informationspflichten. Mit Artikel 13 beziehungsweise 14 der DSGVO kommen zusätzliche und spezifischere Angaben hinzu, die das Unternehmen dem Betroffenen aufbereiten und zukommen lassen muss, um der Informationspflicht gemäß der Gesetzgebung nachzukommen. Entsprechend sollten sich Unternehmen bei der Erstellung dieser Informationspakete nicht auf eine beliebige Vorlage aus dem Netz verlassen, sondern mehr Zeit und Arbeit in ein solides Informationsmuster investieren. Es ist davon auszugehen, dass künftig deutlich mehr Kunden und auch Anwaltskanzleien im Auftrag ihrer Kunden von ihrem Auskunftsrecht Gebrauch machen. Dieses Recht ist zwar keine Neuerung, doch mit der Aktivierung der neuen DSGVO entstehen mehr Fallstricke für Unternehmen und die allgemeine Aufmerksamkeit am Thema wird zunehmen. Nicht zuletzt haben bereits einige Anwälte angekündigt, Unternehmen, die die Anforderungen beim Umgang mit den Daten ihrer Kunden nicht vollständig erfüllen, auf materiellen und immateriellen Schadensersatz verklagen zu wollen. Um angeforderte Daten gesetzeskonform bereitstellen zu können, müssen Unternehmen immer wissen, welche Daten verarbeitet werden und wo diese liegen. Das Führen eines detaillierten Datenverzeichnisses sowie die Implementierung eines Datenschutz-Management-Systems sind daher ratsam.
Jeder kann gehackt werden – schnelles Handeln entscheidet
Egal wie sicher Unternehmen gegen Cyberkriminelle und deren Angriffstaktiken gerüstet sein mögen, keines ist eine auf ewig uneinnehmbare Datenfestung. Jedes Unternehmen kann Opfer eines Hackerangriffs werden. Deshalb muss es Kriminellen möglichst schwergemacht werden, Einfallstore zu finden. Dabei sollten Unternehmen Vorsorgemaßnahme treffen und diese mit regelmäßigen Penetrationstests überprüfen. Im Fall der Fälle ist es ebenso entscheidend, richtig zu reagieren. Die Aufsichtsbehörden verleihen dem nochmals Nachdruck, denn Unternehmen müssen einen Schaden beziehungsweise Cyberangriff umgehend melden. Umgehend bedeutet, dass innerhalb von 72 Stunden nach Feststellung des Angriffs eine Meldung bei den Aufsichtsbehörden eingehen muss. Hier hilft ein ausgereiftes Incident Response Management, mit dem Unternehmen den Überblick über die Daten behalten und frühzeitig auf Vorfälle reagieren können.