Was bringt die neue DSGVO?
Bild: @istock.com/gopixa Posted on von Analysten | Cloud Computing | Sicherheit

Schlagworte: , ,

Was bringt die neue DSGVO?

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung in Kraft. Sie bringt eine Reihe von Neuerungen, etwa zur Haftung von Unternehmen und deren Führungskräften. Vor allem einzelne bestimmte Klauseln und Regeln sollten frühzeitig eingehalten werden.

@istock.com/Logo: Crisp ResearchAn dieser Stelle empfehlen und kommentieren Analysten von Crisp Research regelmäßig Web-Beiträge exklusiv für die Leser von Digitales-Wirtschaftswunder.de. Thema heute: EU-DSGVO

Quelle: CIO

Verschärfte Haftung durch die Datenschutz-Grundverordnung

„Wir warten ab, was passiert!“. Nach diesem Motto verfährt offenkundig ein beträchtlicher Teil der Unternehmen in Deutschland, wenn es um die Umsetzung der EU-Datenschutz-Grundverordnung (EU-DSGVO) geht. Nach Praxiserfahrungen von Bechtle setzen etliche Firmen auf eine Art „Risikostrategie“, wenn es um die neuen Datenschutzregeln geht. Sie warten bewusst ab, was nach dem 25. Mai 2018 passiert. An diesem Tag tritt die neue Datenschutzregelung in den Mitgliedsländern der Europäischen Union in Kraft. Die Mehrzahl (55 Prozent) der Unternehmen in der Bundesrepublik wird laut einer Studie des Digitalverbandes Bitkom die Vorgaben der DSGVO bis zum Stichtag bestenfalls teilweise umsetzen können.

Dieses Ergebnis gibt zu denken. Denn der Bundestag hat am 24. April 2017 das „Datenschutz-Anpassungsgesetz EU“ (DSanpUG) verabschiedet. Es setzt die Vorgaben der DSGVO in deutsches Recht um – das „Bundesdatenschutzgesetz (neu)“, kurz BDSG (neu). Das Gesetz sieht eine Verschärfung der Haftungsregelungen sowie höhere Strafen vor, wenn Unternehmen und öffentliche Einrichtung Datenschutz-Vorgaben ignorieren.

Es kann teuer werden

Zuerst zu den möglichen Folgen: Ein Unterschied zwischen dem alten Bundesdatenschutzgesetz und der DSGVO beziehungsweise dem BDSG (neu) ist die Höhe der Strafen. Das BDSG sah bei Verstößen Geldbußen von bis zu 50.000 Euro vor, in schweren Fällen von 300.000 Euro. Die Datenschutz-Grundverordnung zieht in dieser Beziehung die Schrauben an. So können Unternehmen gemäß Artikel 83 Absatz 5 der DSGVO zu Strafzahlungen in Höhe von bis 20 Millionen Euro verurteilt werden. Bei schweren Verstößen sind bis zu vier Prozent des weltweiten Jahresumsatzes vorgesehen.

Das sagt Analyst Jan Mentel:

Dass die EU-Datenschutzgrundverordnung (EU-DSGVO) vor der Tür steht, dürfte den Unternehmensentscheidern und CISOs mittlerweile durch zahlreiche Publikationen bekannt sein. Am 25. Mai 2018 tritt die EU-DSGVO in Kraft. Neben den altbekannten Datenschutz-Pflichten, wie Transparenzprinzip und Einwilligungsprinzip, die weiterhin Bestandteil der EU-DSGVO sind, gibt es eine Reihe von Neuerungen, etwa zur Haftung von Unternehmen und deren Führungskräften – auch das dürfte mittlerweile auf der Führungsebene bekannt sein. Was jedoch den wenigsten bekannt ist, dass die EU-DSGVO vor allem vor dem Hintergrund des Cloud Computing eine besondere Rolle spielt. Denn im technischen Sinn ist Cloud Computing nichts weiter als Auftragsdatenverarbeitung (Art. 28 EU-DSGVO) – ein zentraler Punkt bei der EU-DSGVO. Doch wann sind meine Cloud-Anwendungen DSGVO konform? Eine Frage, die sich derzeit eine Vielzahl von CEOs und CISOs stellen sollte.

Die Grundsätze der EU-DSGVO, also die grundlegenden Pflichten, sind zunächst in Artikel 5 der EU-DSGVO geregelt. Darüber hinaus sollten vor allem die Regelungen der Artikel 25 und 32 beachtet werden. Hier sind die Maßnahmen zur Sicherheit und Stand der Technik (Art. 32 EU-DSGVO) sowie die Beachtung von Privacy by Design und Privacy by Default (Art. 25 EU-DSGVO) besonders wichtig für die Umsetzung.

Auch die Rechenschaftspflichten (Art. 5 (2), Art. 28, Art. 30 & Art. 35 DSGVO), bei der Unternehmen eine Datenschutzfolgeabschätzung vornehmen müssen, sollte frühzeitig in die Prozess-DNA übergehen. Vor dem Hintergrund der Datenschutzfolgeabschätzung sind neben den Unternehmen auch Cloud Anbieter gefragt, hinreichend Garantie für die Einhaltung EU-DSGVO-Anforderung zu geben.

Last but not least können nach außen hin Zertifikate (Art. 42) hilfreich sein, um sich als datenschutzkonformes Unternehmen auszuzeichnen. Mit dem richtigen Zertifikat können sich Unternehmen ebenso absichern. Relevant sind sämtliche ISO Zertifikate bzw. Zertifikate des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Um den Anforderungen der EU-DSGVO gerecht zu werden, sollten sich CEOs und CISOs für die Planung und Umsetzung relevanten  Maßnahmen Hilfe von Fachleuten  ins Haus holen. In so kurzer Zeit bis zum Inkrafttreten der Verordnung können Datenschutz, IT-Security sowie der EU- DSGVO selbst nur von erfahrenen Sparringspartnern in Einklang mit der Digital-Strategie gebracht werden.

zurück zur Startseite

Kommentar

Wenn Sie die E-Mail-Adresse eingeben, die Sie bei Twitter oder Gravatar verwenden, erscheint Ihr Bild neben dem Kommentar.

mit * gekennzeichnete Felder sind Pflichtfelder. Sie erhalten zur Freischaltung ihres Kommentars eine E-Mail. Ihre E-Mail-Adresse wird nicht veröffentlicht.