Checkliste: Fit für die EU-DSGVO

Was Unternehmen jetzt tun müssen

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (EU-DSGVO) ausnahmslos in Kraft. Dann endet auch die zweijährige Übergangszeit, an deren Ende die Mitgliedsstaaten alle Regeländerungen in ihre nationalen Gesetze übernommen haben sollten.

„Für Unternehmen gilt es, bis dahin Antworten auf wichtige Fragen gefunden zu haben“, erklärt Daniel Hjort von Nexus. Eine Umfrage im Auftrag des Digitalverbands Bitkom hat ergeben, dass viele Unternehmen in Deutschland noch nicht ausreichend auf die neue Verordnung vorbereitet sind.

Die Datenschutz-Verordnung regelt europaweit, wie personenbezogene Daten von privaten Unternehmen und öffentlichen Stellen verarbeitet werden dürfen. „Die Intention der Verordnung ist, die Privatsphäre des Einzelnen zu schützen. Aber die Verordnung macht es Unternehmen nicht einfacher, da beispielsweise in manchen Fällen unklar bleibt, welche Regelung gültig ist“, erläutert Hjort, der bei Nexus im Business Development tätig ist.

Hauptsache Identität! Jetzt zum Newsletter von Nexus anmelden

Deshalb ist es höchste Zeit, dass sich Unternehmen und Organisationen mit der EU-Datenschutz-Grundverordnung beschäftigen und herausfinden, welche Konsequenzen sie für den Geschäftsbetrieb hat. „Sicher werden einige Unternehmen feststellen, dass die Verordnung weitaus größere Auswirkungen hat als angenommen“, ist sich Hjort sicher.

Daniel Hjort fasst die Schwerpunkte der Verordnung und die daraus resultierenden Herausforderungen zusammen:

  • Verfügbarkeit

Jeder hat das Recht zu erfahren, welche Daten ein Unternehmen bzw. eine Organisation über einen besitzt.

„Unternehmen und Organisationen müssen sicherstellen, dass sie bei einer entsprechenden Anfrage auch wirklich nur der berechtigten Person Auskunft geben“, so Hjort.

  • Nachvollziehbarkeit

Unternehmen und Organisation müssen nachweisen können, wie personenbezogene Daten verarbeitet werden.

„Für Unternehmen bedeutet Nachvollziehbarkeit, dass sie auch nachweisen müssen, wer die Informationen gesehen hat, aber auch, wer Zugriff darauf hatte.“

  • Einwilligung

Unternehmen und Organisationen benötigen die Einwilligung von Personen, deren persönlichen Daten gespeichert werden.

  • Transparenz

Unternehmen und Organisationen müssen klar und verständlich formulieren, wie sie personenbezogene Daten verarbeiten und verwenden.

  • Übertragbarkeit

Jede Person kann verlangen, dass ein Unternehmen oder eine Organisation die gespeicherten Daten an Dritte übergibt.

„Die Verordnung soll es leichter machen, einen Anbieter zu wechseln. Unternehmen bekommen damit die Chance, Kunden von anderen quasi zu übernehmen. Das Risiko, Kunden zu verlieren, bleibt natürlich bestehen“, erklärt Daniel Hjort.

  • Korrektur

Jede Person hat das Recht, dass falsche Daten korrigiert werden.

  • Löschung

Jede Person kann verlangen, dass seine Daten gelöscht werden. Das gilt auch dann, wenn er der Speicherung seiner Daten bereits zugestimmt hat.

„Bei der Löschung genügt es nicht, den Datensatz zu löschen. Unternehmen müssen auch sicherstellen, dass keinerlei Spuren hinterlassen werden“, betont Hjort.

Fragen, die sich Unternehmen und Organisationen stellen und auch beantworten müssen:

  1. Wissen wir, wie teuer die Nicht-Einhaltung der EU-Datenschutz-Grundverordnung für uns werden kann?
  2. Verfügen sämtliche Bereiche, in denen personenbezogene Daten gesammelt und verarbeitet werden, auch über die rechtliche Grundlage?
  3. Haben wir die notwendigen Prozesse, um im Falle eines Datenschutzverstoßes die betroffenen Personen und die Aufsichtsbehörden innerhalb von 72 Stunden zu informieren?
  4. Stellen wir sicher, dass wir nur notwendige Daten speichern? Und dass wir sie nicht länger als nötig speichern?
  5. Wie stellen wir sicher, dass wir für einen spezifischen Zweck gespeichert haben, nicht für andere Zwecke genutzt werden?
  6. Haben wir einen Prozess, um Personen Auskunft über ihre personengebundenen Daten zu geben?
  7. Haben wir die gespeicherten personenbezogenen Daten ausreichend gegen Missbrauch geschützt?
  8. Versenden wir sensible personenbezogenen Daten unverschlüsselt per E-Mail? Falls ja: wie können wir unsere Kommunikation sicherer machen?
  9. Wie gehen wir mit grenzüberschreitenden Datentransfers um?
  10. Speichern wir personenbezogene Daten im Auftrag anderer Organisationen? Falls ja: halten wir die damit verbundenen Verpflichtungen ein?
  11. Haben wir einen Prozess, um personenbezogene Daten auf Anforderung zu löschen?
  12. Ist unser Budget ausreichend, um die neuen Regelungen umzusetzen zu können?
  13. Haben wir einen Datenschutzbeauftragten und planen Schulungen?

Technische Lösungen, die Unternehmen und Organisationen dabei helfen, die EU-Datenschutz-Grundverordnung umzusetzen:

Die Voraussetzung, um sicher mit personenbezogenen Daten umzugehen, sind – wie auch im Bereich Security im Allgemeinen – vertrauenswürdige Identitäten. Wenn nicht bekannt ist, mit wem oder was kommuniziert wird, spielt es keine Rolle, wie verlässlich die Sicherheitsmaßnahmen sind.

„Aus diesem Grund ist der erste Schritt, eine Lösung zu haben, um die Identitäten von Kunden, Mitarbeitern oder Partnern zu verwalten“, erklärt Daniel Hjort.

Wenn die technischen Bedingungen geschaffen sind, müssen Unternehmen dafür sorgen:

  • dass der Zugriff auf personenbezogene Daten für Mitarbeiter und Partner nur mit entsprechenden Berechtigungen erfolgen kann,
  • dass alle Personen auf sichere Art und Weise mit dem Unternehmen kommunizieren können.

Whitepaper herunterladen Gute Gründe für ein zentrales Physical Identity & Access Management (PIAM)

Nicht immer genügen Benutzername und Passwort dem notwendigen Sicherheitslevel. Deshalb sollte auch hier die richtige Technologie, wie beispielsweise die sichere Zwei-Faktor-Authentifizierung. Wenn der Zugriff auf die gespeicherten personenbezogenen Daten entsprechend gesichert ist, hat das auch Vorteile für Kunden. Denn sie können einfach selbst kontrollieren, welche Daten gespeichert sind. Unternehmen können so auch die Aufwände reduzieren, die Anfragen verursachen würden. Wenn die Aufforderung, Daten zu löschen, elektronisch signiert werden kann, können Unternehmen nicht nur die Kundenzufriedenheit steigern, sondern auch Kosten sparen.“

Published 21/12 2016

News and Blog