General Data Protection Regulation (GDPR 2018) erklärt

Die neue Datschutz-Grundverordnung - GDPR / EU-DSGVO - Tritt ab Mai 2018 in Kraft

Am 25. Mai 2018 tritt eine neue EU Datenschutz-Grundverordnung (EU-DSGVO) in der EU in Kraft. Die EU-DSVGO, auch General Data Protection Regulation (GDPR) genannt, wurde bereits 2016 von der EU beschlossen und soll eine einheitliche Richtlinie bieten für den Schutz von privaten und personenbezogenen Daten. Davon betroffen sind Unternehmen und auch öffentliche Institutionen die personenbezogene Daten speichern oder auch verarbeiten. Es gibt keine Ausnahmen für Firmen von verschiedenen Grössen oder Branchen. Betroffen sind allerdings nicht nur Firmen die in der Europäischen Union ihren Sitz haben, sondern auch alle anderen Firmen solange diese Daten von EU-Bürgern speichern und verarbeiten.

Weiterführende Artikel zu dem Thema der GDPR / DSGVO 2018:
Die Bedeutung von GDPR 2018 für Unternehmen ausserhalb der EU
Fragen und Tipps rund um die GDPR 2018

Die EU-DSVGO / GDPR kann auch als Chance für Firmen gesehen werden. Besserer Datenschutz ist auch für die Kunden erfreulich, Datenaustausch wird erleichtert zwischen Standorten und ein einheitlicher Standard schafft auch Vertrauen.

Wir geben euch hier eine kurze Übersicht sowie die wichtigsten Punkte was es zu beachten gibt.

EU-DSGVO / GDPR Übersicht Der Wichtigsten Punkte

 

10 Wichtige Punkte der General Data Protection Regulation (GDPR)

  1. Es gelten weiter die Bearbeitungsgrundsätze für Daten wie Transparenz, Zweckbindung und Verhältnismässigkeit
  2. Eine gültige Einwilligung muss vorhanden sein und es muss jederzeit möglich sein die Einwilligung zurückzuziehen
  3. Eine Datenbearbeitung erfordert einen Rechtfertigungsgrund oder eine Einwilligung
  4. Betroffene Personen müssen direkt informiert werden oder wenn nicht möglich über eine Publikation wie z.B. eine Webseite (EU-DSGVO definiert Mindestinhalt)
  5. Betroffene haben umfangreiche Rechte über Auskunft, Rückgabe, Korrektur, Vervollständigung oder Löschung ihrer Daten. Ebenso ist es möglich einen Widerspruch gegen bestimmte Verarbeitung einzulegen (z.B. Marketing)
  6. Technische und organisatorische Massnahmen müssen gewährleisten das Personendaten gesichert sind; Datenbearbeitung muss so gestaltet werden, dass die Einhaltung des Datenschutzgesetzes sichergestellt ist (Privacy by Design) und es wird vorausgesetzt das der Standard aller Einstellungen schon die Daten schützt (Privacy by Default)
  7. Datenschutzverstösse müssen innerhalb von 72 Stunden den zuständigen Behörden gemeldet werden und sollten es schwere Folgen haben, müssen diese Verstösse auch den Betroffenen gemeldet werden. Hier ist ebenso eine Fehlerprotokollierung zu tätigen.
  8. Für Projekte mit hohem Risiko ist eine Datenschutz-Folgeabschätzung und Meldung an die zuständige Aufsichtsbehörde nötig, wenn trotzdem hohe Risiken getroffener Massnahmen bestehen
  9. Datentransfers in andere Länder, die keine anerkannten gesetzlichen Datenschutzbestimmungen haben sind nur unter bestimmten Bedingungen zulässig.
  10. Verträge mit externen Datenbearbeitern (z.B. IT-Outsourcing, externe Datenanalysen) müssen den Anforderungen der GDPR genügen. Für die Beauftragten ist eine Genehmigung oder ein Vetorecht mit Vorabinformationen vorgeschrieben.

Des weiteren ist es möglich, dass es in sogenannten Risiko-Unternehmen separate Datenschutzbeauftragte ernennen müssen. Da viele Unternehmen jedoch ein mehr oder minder hohes Risiko haben, ist es generell ratsam dies zu machen. Speziell in den Risiko-Unternehmen, aber auch sonst, muss der Datenschutz belegt werden können und man hat ebenso Dokumentationspflichten.

 

Vorbereitung auf EU-DSVGO / GDPR als Unternehmen

Bei Strafen von bis zu 4% des Jahresumsatzes und bis zu 20 Mio Euro sollte man sich als Firma besser mit dem Datenschutz befassen. Auch wenn man nicht direkt im ersten Moment betroffen ist, sollte man sich überlegen wie man Datenschutz-Richtlinien in die Firma implementiert und wie man diese auch umsetzt.

Einige Punkte um sich auf die General Data Protection Regulation (GDPR) vorzubereiten

  • Bestellung eines Datenschutzbeauftragten der die Analysen erstellt, sich informiert und die Umsetzung der GDPR überwacht
  • Systematische Analyse der existierenden Systeme, Prozesse und verwendete Software, um das Risiko zu bestimmen und auch potentielle Lücken zu erkennen. Hier empfiehlt sich eine Gap- und Risiko-Analyse
  • Anpassen der eigenen Datnschutzrichtlinien, Zugriff auf sensible Daten einschränken und nur auf „Need-to-Know“ Prinzip verwenden. (Nur Daten verwenden und Zugriff erlauben, wenn es wirklich nötig ist)
  • Testen der Anforderungen und ob die Systeme gewünscht funktionieren. Was passiert wenn jemand die Einwilligung zurückzieht, die Daten bekommen will, die Daten gelöscht haben will etc.? Hier ist es wichtig zu kontrollieren ob die Prozesse funktionieren.
  • Man sollte über den Einsatz von Data Governance Systemen sowie Datenverschlüsselungen prüfen
  • Laufendes Monitoring inkl. Logfiles etc. einrichten und auch regelmässig prüfen auf Aufälligkeiten

Generelles zum EU-DSGVO / GDPR

Wenn man sich mit den verschiedenen Punkten aktiv auseinandersetzt, dann sollte es für kein Unternehmen einen grossen Aufwand bedeuten oder ein grosses Risiko darstellen, das ab 25. Mai die General Data Protection Regulation (GDPR) umgesetzt wird. Es empfiehlt sich auch mit seinen Zulieferern von Software, Cloud etc. Kontakt aufzunehmen und sich dort kurz beraten zu lassen, wenn es noch Fragen gibt.

Generell empfiehlt es sich das Prinzip „Need-to-know“ anzuwenden und die Datenverwendung nur auf das nötigste zu beschränken. Sollten grössere Fragen bestehen bleiben oder auch Unsicherheit herrschen, ist es ratsam sich an Experten zu wenden.

Weitere Informationen können auch aus dem offiziellen Dokument der EU entnommen werden.

Gründer von MoreThanDigital.info und 11-facher Serien-Unternehmer seit er 13 Jahre alt ist. Als Gründer von 361consult, helm361, digitalPOS und weiterer Projekte schlägt sein Herz für Innovation und Disruption. Als Berater und Advisor hilft er Firmen, Regierungen sowie Organisationen in der Digitalisierung. Regelmässig ist er weltweit als Keynote Speaker unterwegs, um möglichst viele für Innovation und digitale Transformation zu begeistern und um aufzuklären.

Die Kommentarfunktion ist geschlossen.