Die Uhr tickt – es bleibt nicht mehr viel Zeit, bis die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) am 25. Mai 2018 in Kraft tritt. „Das ist kein Grund zur Panik. Sie sollten jedoch nicht zögern und sicherstellen, dass Sie die richtigen Maßnahmen ergreifen. So können Sie Sanktionen und einen daraus resultierenden Imageverlust vermeiden, auch wenn Sie die Anforderungen bis zum 25. Mai 2018 noch nicht vollständig erfüllen“, sagt Daniel Hjort, Director for Smart ID Management beim Identity- und Security-Spezialist Nexus Group.
Die neue DSGVO sorgt bei vielen Führungskräften für Unruhe, bei machen sogar für Angst.
„Und das ist nachvollziehbar. Die DSGVO ist ein ernstes Thema. Zudem geht es dabei um eine sehr komplexe Richtlinie, die 99 Kapitel umfasst und die Rechte von Personen sowie die Pflichten von Organisationen und Unternehmen definiert“, erklärt Hjort.
Die Richtlinie stärkt die Rechte von EU-Bürgern in Bezug auf die Kontrolle ihrer personenbezogenen Daten, die Organisationen und Unternehmen erfassen, verarbeiten und speichern.
„Um sicherzustellen, dass alle Organisationen und Unternehmen die Richtlinie einhalten, sieht die EU im Falle von Verstößen harte Sanktionen vor. Doch die Sanktionen sind nicht das, wovor sich die Führungskräfte aktuell am meisten fürchten, weil die Behörden voraussichtlich zum 25. Mai 2018 noch nicht in der Lage sein werden, entsprechende Prüfungen durchzuführen. Die größte Gefahr im kommenden Frühjahr sind drohende Imageverluste. Experten und Medien stehen bereits in den Startlöchern, um zu testen, welche Unternehmen die EU-DSGVO einhalten, sobald diese in Kraft tritt“, sagt Hjort.
Um bereits vorher gut vorbereitet zu sein, sollten Sie die nachfolgenden 12 Schritte durchführen:
1. Stellen Sie sicher, dass Sie die aktuellen nationalen Richtlinien zum Schutz personenbezogener Daten einhalten.
„Die EU-DSGVO basiert auf aktuell geltendem Recht, ist jedoch wesentlich umfassender. Und im Gegensatz zu vielen nationalen Vorschriften, die kaum Sanktionen vorsehen, regelt die EU-DSGVO eindeutig die Folgen von Verstößen“, sagt Hjort.
2. Klären Sie, welche Daten von der EU-DSGVO betroffen sind und wo diese gespeichert sind.
„Die betroffenen Daten können in unterschiedlicher Form vorliegen – Namen, Fotos, E-Mail-Adressen oder Bankverbindungen, Beiträge in sozialen Netzwerken oder IP-Adressen. Berücksichtigen Sie alle relevanten Systeme, denn Sie speichern personenbezogene Informationen bestimmt an mehr Orten als zunächst gedacht.
Und vergessen Sie nicht, dass Informationen über die eigenen Mitarbeitern ebenfalls unter die EU-DSGVO fallen“, sagt Hjort.
3. Klassifizieren Sie die betroffenen Daten.
„Wenn Sie die Daten auf das Notwendigste reduziert und die Dateneigentümer identifiziert haben, sollten Sie sich für ein Datenklassifikationsschema entscheiden. Ein Beispiel dafür ist die Kennzeichnung von Daten als amtlich, geheim oder streng geheim. Es gibt sicherlich viele Datenklassifikationsfirmen, die Ihnen gerne ihre Hilfe anbieten, aber Sie können Ihr eigenes Schema leicht umsetzen, indem Sie Kopf- und Fußzeilen, Wasserzeichen oder sichtbare Beschriftungen verwenden, kombiniert mit Mitarbeiterschulungen. Entscheiden Sie sich für ein System, das klar, einfach und relevant für Ihr Unternehmen ist“, sagt Hjort.
4. Stellen Sie sicher, dass Sie die Kontrolle über den Zugriff auf diese Daten haben.
„Eine wesentliche Voraussetzung dafür ist, dass die Mitarbeiter die Zwei-Faktor-Authentifizierung für den Zugriff auf und das Management von relevanten Daten verwenden“, sagt Hjort.
5. Legen Sie fest, auf welche Art Sie die Zustimmung von EU-Bürgern zur Speicherung ihrer Daten einholen.
„Und denken Sie daran, die Zustimmung der Erziehungsberechtigten für Daten von Minderjährigen einzuholen“, sagt Hjort.
6. Implementieren Sie ein System zur Überprüfung der Identität von Personen, die Sie auffordern, Maßnahmen in Bezug auf ihre Daten durchzuführen.
„Laut EU-DSGVO haben alle EU-Bürger das Recht zu erfahren, welche Daten Sie von Ihnen haben. Zudem müssen Sie ihnen diese Daten auf Anfrage aushändigen bzw. diese löschen. Die Verwendung einer Zwei-Faktor-Authentifizierung für die Anmeldung auf Kunden- und Partner-Portalen erleichtert die Interaktion mit Personen, die diese Anfragen stellen. Bei Anfragen, die nur per E-Mail eingehen, gibt es keine Möglichkeit, die Identität der betreffenden Personen festzustellen“, sagt Hjort.
7. Implementieren Sie Prozesse für die Übergabe oder das Löschen dieser Daten.
„Sie müssen jederzeit mit einer Überprüfung rechnen, daher sollten Sie vorbereitet sein. Wenn beispielsweise Journalisten ihre angeforderten Daten nicht innerhalb des vorgesehenen Zeitrahmens erhalten, sind negative Auswirkungen vorprogrammiert. Und wenn sie länger als 3 Wochen warten müssen, wird dies große negative Auswirkungen haben“, sagt Hjort.
8. Bereiten Sie sich darauf vor, die angeforderten Daten zusammenzufassen und für die Übergabe bereitzustellen.
„In welchen Datenbanken müssen Sie nach den Informationen suchen? Werden Sie die Daten als Zip-Datei, als PDF oder in einem anderen Format bereitstellen?“, sagt Hjort.
9. Stellen Sie sicher, dass die Daten auf einem sicheren und vertraulichen Weg übermittelt werden können.
„Manche Unternehmen könnten in Panik geraten und die vertraulichen Daten per E-Mail versenden, nur um die Anfrage in der vorgesehenen Zeit zu beantworten. Das ist natürlich ein großer Fehler – Sie müssen für eine sichere Übertragung der Daten sorgen“, sagt Hjort.
10. Definieren Sie Prozeduren für den Fall von Verstößen gegen die Datensicherheit.
„Sie müssen ohne unangemessene Verzögerungen die relevanten Behörden und alle betroffenen Personen informieren“, sagt Hjort.
11. Wenn Ihr Unternehmen mehr als 250 Mitarbeiter hat, sind die Vorgaben der EU-DSGVO sogar noch strenger. Vor allem müssen Sie begründen, warum die personenbezogenen Informationen erfasst, gespeichert und verarbeitet werden.
„Außerdem müssen Sie Beschreibungen der vorgehaltenen Informationen und Angaben zu Ihren technischen Sicherheitsmaßnahmen bereithalten“, sagt Hjort.
12. Stellen Sie fest, ob Ihr Unternehmen einen Datenschutzbeauftragten einstellen muss und treffen Sie gegebenenfalls entsprechende Vorkehrungen.
„Ich kann nicht garantieren, dass Sie die Vorgaben zu 100 Prozent erfüllen, wenn Sie diese 12 Schritte durchgeführt haben, aber darum geht es auch nicht. Ich bin sicher, dass kaum ein Unternehmen bis zum 25. Mai 2018 die Vorgaben vollständig einhalten kann, weil die EU-DSGVO so eine umfassende und komplexe Richtlinie ist. Aber die genannten Schritte werden Ihnen sicher helfen, Sanktionen und Imageverluste zu vermeiden. Denn damit zeigen Sie, dass Sie Maßnahmen eingeleitet haben und sich auf die wichtigen Aspekte konzentrieren.
Die Lösung Nexus Smart ID eignet sich ideal für das Management vieler der technischen Aspekte im Zuge der Vorbereitung auf die EU-DSGVO. Kontaktieren Sie Daniel Hjort oder einen Vertriebsmitarbeiter von Nexus, wenn Sie zusätzliche Informationen benötigen.
Weiterführende Informationen finden Sie auch hier:
Die offizielle EU-Website zur EU-DSGVO (GDPR).
Die Richtlinien der Artikel-29-Datenschutzgruppe der EU.