In 6 Schritten fit für die neue EU-Datenschutz-Grundverordnung

Innerhalb von zwei Jahren kann viel passieren. So könnten wir 2018 Zeugen der ersten Kopftransplantation am Menschen werden. Adobe Flash ist dann möglicherweise bereits Geschichte. Das Vereinigte Königreich wird die EU verlassen haben oder auch nicht, und Organisationen dürften es mit der fünffachen Datenmenge im Vergleich zu heute zu tun bekommen, wie die IDC prognostiziert hat.

2018 läuft jedoch auch die Übergangsfrist für die neue EU-Datenschutz-Grundvorordnung (DS-GVO) ab, die den Umgang mit personenbezogenen Daten regelt. In Kombination mit dem zu erwartenden hohen Datenvolumen wird das gewaltige Auswirkungen auf alle Unternehmen haben, die personenbezogene Daten verarbeiten.

Bereits im Frühjahr 2016 hat das Europäische Parlament die DS-GVO endgültig verabschiedet. Sie soll die persönlichen Daten der Bürger in einer immer digitaler werdenden Welt schützen. Auch wenn noch zwei Jahre Zeit bleiben, bis die neuen Regelungen umgesetzt sein müssen, sollten Unternehmen keine Zeit verlieren, die neuen Richtlinien zu bewerten, bereits bestehende Datenschutz-Maßnahmen zu überprüfen und den Weg für eine vollständige Umsetzung der DS-GVO vorzugeben.

Was genau ist die DS-GVO?

Bei der Neuregelung handelt es sich um die weitaus umfangreichste Datenschutz-Reform in diesem Jahrhundert. Die mehr als 50 Artikel der DS-GVO haben massive Auswirkungen auf die Nutzung und Speicherung von personenbezogenen Daten in allen Organisationen. Mit ihr bekommen EU-Bürger das Recht zu entscheiden, ob, wann, wie und wem sie ihre persönlichen Daten kenntlich machen wollen und wie sie genutzt werden können.

Vielen europäischen Unternehmen ist noch nicht bewusst, welche Folgen die beschlossenen Änderungen mit sich bringen werden. Dabei empfiehlt es sich dringend, bereits jetzt wichtige Schritte zu gehen, um herauszufinden wo personenbezogene Daten im Unternehmen lagern und die damit verbundene Verpflichtung zu verstehen, diese entsprechend zu verwalten. In Anbetracht der drohenden Bußgelder in Höhe mehrerer Millionen Euro kann sich niemand leisten, noch länger zu warten.

1. Personenbezogene Daten erkennen

Zunächst sollte jedes Unternehmen wissen, was unter „personenbezogenen Daten“ verstanden wird. Die Definition hängt eng zusammen mit dem Begriff der „betroffenen Personen“, also Personen, die anhand dieser Daten identifiziert werden können. Zu den personenbezogenen Daten gehören somit auch:

• gerätespezifische Identifikationsdaten
• Cookies
• IP-Adressen

Im Rahmen der neuen DS-GVO sollten sich die Datenschutzbeauftragten der Unternehmen aller dort gespeicherten personenbezogenen Daten bewusst sein. Gleichzeitig sollten sie nachweisen können, dass ihnen die damit verbunden Risiken bekannt sind und diese minimiert werden.

2. Alle Begrifflichkeiten der DS-GVO verstehen

Um festzustellen, welche Teile der DS-GVO tatsächlich für ein Unternehmen relevant sind, muss man sich mit der Terminologie der neuen Gesetzgebung auseinandersetzen. Das heißt, neben dem Begriff „personenbezogene Daten“ sollte man wissen, was die DS-GVO genau unter diesen Begriffen versteht:

• „räumlicher Anwendungsbereich“
• „Antrag auf Erteilung einer Auskunft über personenbezogene Daten“
• „Datenschutzfolgenabschätzung“
• „Recht auf Vergessen“
• „Recht auf Datenübertragbarkeit“
• „Einwilligung“

3. Feststellen, wo überall personenbezogene Daten im Unternehmensumfeld gespeichert sind

Um den gesetzlichen Verpflichtungen nachzukommen, ist es wichtig zu wissen, wo überall im Unternehmen personenbezogene Daten liegen. Um ein vollständiges Bild zu gewinnen, müssen hier zusätzlich folgende Daten berücksichtigt werden:

• Daten, die auf persönlichen Geräten der Mitarbeiter gespeichert sind
• Daten in Archiven und Registraturen außerhalb des Unternehmens
• Daten, mit denen Zulieferer, Subunternehmer und Geschäftspartner stellvertretend für das eigene Unternehmen umgehen

4. Ein Datenverzeichnis anlegen und jede einzelne Information klassifizieren

Es ist dringend empfohlen, für alle Informationen ein genaues Datenverzeichnis anzulegen. Nur so lässt sich eine 360-Grad-Sicht auf sämtliche physisch oder digital gespeicherten Daten im Unternehmen gewinnen, einschließlich aller personenbezogenen Daten. Damit lassen sich jederzeit und schnell alle Informationen lokalisieren, bewerten und kontrollieren.

5. Bestehende Richtlinien im Unternehmen auf den Prüfstand stellen

Für alle personenbezogenen Daten schreibt die neue Gesetzgebung vor, wie mit diesen umzugehen ist und wie lange sie gespeichert werden dürfen. Das heißt, alle vorhandenen Aufbewahrungsrichtlinien im Unternehmen müssen überprüft und an die neuen Vorgaben angepasst werden. In jedem Fall ist sicherzustellen, dass personenbezogene Daten immer rechtzeitig gelöscht werden.

6. Bewusstsein schaffen und flexibel bleiben

Schließlich sollte jeder im Unternehmen über die neuen Richtlinien Bescheid wissen. Daneben sollten auch Subunternehmer und Zulieferer diese Aufbewahrungsrichtlinien erfüllen. Da sich die Gesetzgebung im Lauf der Zeit ändern kann und weitere Verpflichtungen erwachsen könnten, sollten Aufbewahrungsrichtlinien so flexibel gestaltet sein, dass sie an neue regulatorische oder geschäftsbedingte Anforderungen anpassbar sind.

Es drohen empfindliche Strafen

Europäische Unternehmen müssen sich schon lange mit Datenschutzbestimmungen auseinandersetzen.

Die Strafen können bis zu vier Prozent des weltweiten Umsatzes beziehungsweise 20 Millionen Euro betragen. Damit wird der korrekte Umgang mit Daten zu einer unternehmenskritischen Anforderung. Wer jetzt nicht handelt, läuft später im Fall einer Nachlässigkeit oder eines Fehlers Gefahr, den Anschluss an die aktuelle Gesetzgebung zu verpassen, was Unternehmen dann teuer zu stehen kommen könnte.

Europäische Datenschutzgrundverordnung: Das ändert sich

Noch mehr Tipps im kostenlosen eBook zur EU-DSGVO