Menü
Ein Beitrag von Adacor

EU-DSGVO: Was sich ab sofort im Datenschutz ändert

Am 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft getreten. Sie regelt umfassend, wie Unternehmen mit personenbezogenen Daten umgehen dürfen, legt die damit verbundenen Nutzerrechte fest und sieht Maßnahmen vor, mit denen das Datenschutzrecht wirksam durchgesetzt werden soll. Unternehmen, die gegen die Leitlinien der Verordnung verstoßen, drohen neben zivilrechtlichen Schadensersatz- und Schmerzensgeldansprüchen auch Bußgelder.

Dabei handelt es sich keineswegs um Peanuts. Die Bußgelder können sich auf eine Höhe von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes einer Unternehmensgruppe (Artikel 82 f. DSGVO) belaufen, dabei gilt der jeweils höhere Betrag. Nur wenn ein Unternehmen nachweist, dass es in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist, wird es von der Haftung befreit (Artikel 82 Abs. 3 DSGVO). Unternehmen, die personenbezogene Daten verarbeiten, tun also gut daran, ihre technischen Voraussetzungen und Prozesse so zu gestalten, dass möglichst kein Verstoß stattfindet oder dass zumindest transparent nachvollzogen werden kann, welchen Weg die Daten von Personen im Unternehmen durchlaufen haben. Das Management ist demnach ebenso gefordert wie die Experten für die Auftragsdatenverarbeitung und das Technik-Design der Anwendungen. Aber was genau müssen Unternehmen jetzt beachten? Die Neuerungen sind vielfältig und die Entscheider tun gut daran, sich mit dem Thema EU-Datenschutzgrundverordnung (EU-DSGVO) detailliert auseinanderzusetzen. Der folgende Überblick zeigt die wesentlichen Bereiche, die in Sachen Datenschutz ab jetzt neu geregelt sind.

1. Widerrufs- und Rücktrittsrecht

Anwender müssen grundsätzlich der Nutzung ihrer Daten zustimmen. Das ist nicht neu. Jetzt muss jedoch der jeweilige Zweck der Datenverarbeitung im Einzelnen konkret benannt werden. Gibt es mehrere Zwecke, müssen alle benannt werden. Zudem erhalten die Nutzer ein stärkeres Widerrufsrecht sowie Rücktrittsrechte aus vertraglichen Regelungen.

2. Datenübertragbarkeit

Anwender haben nun einen Anspruch darauf, ihre Daten von einem zum nächsten Anbieter (zum Beispiel beim Wechsel des Internet-Providers oder Stromanbieters) mitzunehmen. Dafür muss der bisherige Anbieter die Daten in einem standardisierten maschinenlesbaren Format aushändigen. Der neue Anbieter ist verpflichtet, diese Daten zu übernehmen. Wahlweise kann der Nutzer von seinem Altanbieter verlangen, dass dieser dem neuen Provider die Daten direkt zur Verfügung stellt.

3. Klare Ansagen

Erhebt ein Unternehmen personenbezogene Daten, muss es die Nutzer klar und verständlich und mit leicht nachvollziehbaren Symbolen über die Verarbeitung ihrer Daten sowie ihre Rechte informieren – und zwar bevor die Daten gespeichert werden.

4. Sensibler Umgang mit den Daten von Kindern

Wie bei anderen Rechtsgeschäften sollen Kinder in Zukunft unterhalb eines bestimmten Alters nur noch mit Zustimmung der Eltern in die Datenverarbeitung einwilligen können. Die EU-Mitgliedsstaaten lassen beiden Altersgrenzen einen Spielraum zwischen 13 und 16 Jahren.

5. Recht auf „Vergessenwerden“

Jeder Nutzer erhält das Recht darauf, dass ein Unternehmen, das von ihm Daten gespeichert hat, gewissenhaft alle Daten löscht, wenn er es verlangt. Das gilt nicht nur für den Anbieter, der die Daten erhoben hat, sondern für alle weiteren Partner, denen das Unternehmen diese Daten zur Verfügung gestellt hat.

Image

Eine Erfolgsstory: Wie Cloud Computing Unternehmen zu Siegern macht

IT Quarterly kurz ITQ heißt das neue IT-Fachmagazin rund um die Themen Hosting, Digitalisierung und Management.

Das Magazin jetzt kostenlos und ohne Registrierung downloaden

6. Datenschutzbeauftragte

Nicht mehr alle Unternehmen müssen einen Datenschutzbeauftragten benennen. Diese Pflicht betrifft nur noch Firmen, deren Geschäftsmodell die Datenverarbeitung ist, sowie große Betriebe, die sensible Daten verarbeiten. In solchen Unternehmen verschieben sich die Aufgaben der Datenschutzbeauftragten von einer eher umsetzenden zu einer kontrollierenden Stelle. Für größere Unternehmen oder Konzerne ist damit die Beauftragung eines externen Datenschutzbeauftragten häufig nicht mehr zielführend. Allerdings lässt die neue Verordnung auch die Möglichkeit eines Konzern-Datenschutzbeauftragten zu. Mehrere Unternehmen eines Konzernverbundes können im Rahmen einer neu geschaffenen Stelle für den Datenschutz eventuell Synergien herstellen. Da der Datenschutzbeauftragte den Datenschutz in einem Unternehmen nun nicht mehr primär „umsetzen“ – diese Aufgabe müssen in Zukunft die Fachabteilungen verstärkt übernehmen –, sondern die Einhaltung des Datenschutzes „prüfen und überwachen“ soll, rückt sein Aufgabenfeld viel näher in Richtung einer internen Revision.

7. Auftragsdatenverarbeitung

In der neuen EU-Datenschutz-Grundverordnung wird insbesondere die Auftragsdatenverarbeitung in Artikel 28 ff. europaweit einheitlich geregelt. Unternehmen, die im Auftrag anderer Anbieter personenbezogene Daten verarbeiten, werden jetzt stärker in die Pflicht genommen. Begeht das Verarbeitungsunternehmen einen Verstoß gegen den Datenschutz, kann es die Verantwortung nicht mehr wie bisher allein auf den Auftraggeber abwälzen. Es wird nach Artikel 28, Absatz 10 EU-DSGVO selbst zum Verantwortlichen. Das entbindet auf der anderen Seite die Auftragsunternehmen natürlich nicht aus der Pflicht, mit personenbezogenen Daten sensibel umzugehen. Vielmehr gewinnt eine vertrauensvolle und transparente Zusammenarbeit zwischen dem Anbieter, der im Auftrag eines Unternehmens Daten verarbeitet, und seinem Auftraggeber an Bedeutung. Neu ist außerdem, dass die Verarbeitung von Daten im Auftrag eines Unternehmens außerhalb der EU stattfinden kann. Nach Artikel 3 EU-DSGVO findet die Verordnung auch dann Anwendung, wenn die „Verarbeitung personenbezogener Daten […] im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“

8. Auswirkungen auf die technischen Voraussetzungen

Die EU-DSGVO nimmt erheblich Einfluss auf die Prozesse in einem Unternehmen, denn sie schreibt Unternehmen Prinzipien von „Privacy by Design“ und „Privacy by Default“ verbindlich vor. Das bedeutet, dass die Entwickler und Hersteller von IT-Lösungen bereits in der Konzeption – aber auch in allen Voreinstellungen für die Programme – die Aspekte des Datenschutzes berücksichtigen müssen. So sollen Apps die Nutzer später bei der Umsetzung von Datensicherheitsmaßnahmen unterstützen. Ja, am besten ist es, wenn Anwender später gar nicht anders können, als den Datenschutz zu beachten. Sowohl Privacy by Design als auch Privacy by Default richten sich an die IT-Anbieter. Der Datenschutz als Voreinstellung – Privacy by Default – wendet sich zusätzlich an die Administratoren in den Anwenderunternehmen. Das Management muss also nicht nur die internen Prozesse anpassen, es muss auch bei der Auswahl der Dienstleister und beim Kauf von Software darauf achten, dass die Anforderungen der EU-DSGVO erfüllt werden können. Ein höchstmögliches Schutzniveau muss standardmäßig implementiert sein.

Fazit

Viele Vorschriften der EU-Datenschutz-Grundverordnung sind nicht absolut neu, sondern schreiben den bestehenden Datenschutz weiter fort oder vereinheitlichen Regelungen europaweit. Die europäische Datenschutz-Grundverordnung bringt im Detail aber viele Veränderungen. Diese müssen Unternehmen unbedingt berücksichtigen und bereits bei der Konzeption von Arbeitsabläufen und technischen Voraussetzungen in ihren Workflow integrieren (Prinzip des Privacy by Design). Andernfalls verstoßen sie gegen europäisches Recht. Verstöße werden weitaus schärfer bestraft als bisher.

, , , , , ,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!

Datenschutzhinweise


Weitere Artikel zum Thema lesen

Akronymecke: Was ist Anycast

Biz & Trends, Hosting, IT Security

Akronymecke: Was ist Anycast

Mittels Anycast lassen sich mehrere geografisch verteilte Server über die gleiche IP-Adresse erreichen.

weiter lesen

vulnerability software auswahl

IT Security

Softwareprodukte fürs Vulnerability Mangement

Erfahren Sie, welche Softwaretools Adacor verwendet, um ein effektives Vulnerability Management umzusetzen.

weiter lesen

Erfolgreiche Auditierung – IDW PS 951 und ISAE 3402

IT Security

Erfolgreiche Auditierung – IDW PS 951 und ISAE 3402

Zertifizierung nach IDW PS 951 Typ B kurz und bündig erklärt.

weiter lesen


Neueste Nachrichten von Adacor

Biz & Trends

Bei uns erhalten Bewerber schnelles Feedback

Adacor hat sich eine hohe Wertschätzung von Mitarbeitern und Bewerbern auf die Fahne geschrieben, so ist es selbstverständlich, dass Bewerber schon nach wenigen Tagen...

weiter lesen

Cloud, Hosting

Kostenvergleich: Inhouse vs Cloud

Bei der Entscheidung ob Cloud oder In-House-Lösung müssen neben der Kostenfrage, auch Qualität und Leistung analysiert werden.

weiter lesen

Biz & Trends, IT-News

IT-Branche im stetigen Wandel

Mutige Experimente, neue Ideen und viel Innovationskraft machen die IT-Branche aus, wir haben die aktuellsten Trends zusammengestellt.

weiter lesen