Sie sind hier: Home » Fachartikel » Administration

Organisationen müssen neuen Rechtsrahmen einhalten


Sind Sie bereit für die Datenschutz-Grundverordnung?
Drei einfache Schritte für einen proaktiven Ansatz



Martin Bonney, Director International Consulting Services, Epiq Systems

Die Datenschutz-Grundverordnung gilt ab dem 25. Mai 2018 und führt ein neues Regelwerk für die Erhebung, Speicherung und Verarbeitung personenbezogener Daten ein. Unternehmen sollten sich vorbereiten, um regelkonform zu bleiben und finanzielle Fallstricke zu vermeiden. Die Datenschutz-Grundverordnung wird am 25. Mai 2018 in Kraft treten und einheitliche Regelungen in der gesamten EU einführen. Sie gilt in allen Mitgliedsstaaten gleichermaßen. Die Grundverordnung hebt die Richtlinie 95/46/EG (Datenschutzrichtlinie) auf. Die Datenschutzrichtlinie wurde jeweils durch die einzelnen Mitgliedsstaaten in nationales Recht umgesetzt und galt darum als nicht einheitlich in der EU.

Neben deutlich härteren Strafen führt die Grundverordnung schwerwiegende Compliance-Verpflichtungen ein. So müssen lokale Behörden beispielsweise unverzüglich und, soweit machbar, innerhalb von 72 Stunden über Datenschutzverletzungen informiert werden; wenn die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten von Personen darstellt, muss die betroffene Person ebenfalls unverzüglich unterrichtet werden. Darüber hinaus ist die Definition von personenbezogenen Daten umfassender als die der Datenschutzrichtlinie.

Die Grundverordnung trifft nicht nur in der EU ansässige Unternehmen, sondern kann auch für jede andere Organisation inner- und außerhalb der EU gelten, die personenbezogene Daten von EU-Bürgern verarbeitet. Dies ist der Fall, wenn Unternehmen Waren oder Dienstleistungen EU-Bürgern offerieren, oder wenn die Verarbeitung der personenbezogenen Daten darin besteht, ihr Verhalten zu überwachen.

Die Datenschutz-Grundverordnung führt härtere Strafen für Verstöße ein, als derzeit gelten. Beispielsweise können Verstöße mit Sanktionen von bis zu 20 Millionen Euro oder im Falle internationaler Organisationen 4 Prozent des weltweiten Jahresumsatzes der Organisation geahndet werden. Dazu gehören insbesondere Verstöße, die sich auf die Rechte des Datensubjekts bzw. der betroffenen Person beziehen sowie auf die Übermittlung personenbezogener Daten in Drittländer (außerhalb der EU).

Organisationen müssen den neuen Rechtsrahmen einhalten
>> Angesichts der massiven und anhaltenden Veränderungen in der digitalen Welt ist es eine technische und organisatorische Herausforderung, den Rechtsrahmen für den Datenschutz in Europa einzuhalten.

>> Gleichzeitig gehen Millionen von Datensätzen mit personenbezogenen Daten jedes Jahr verloren oder werden gestohlen. Tatsächlich hat ein Bericht der britischen Regierung festgestellt, dass zwei Drittel der großen Unternehmen im Jahr 2015 einen Cyber-Verstoß oder -Angriff erlebt haben. Die Datenschutz-Grundverordnung liefert Unternehmen einen Anstoß, diese Probleme direkt anzugehen.

>> Die Einhaltung der Grundverordnung stellt eine Herausforderung für Unternehmen dar

>> Die Einhaltung der Vorschriften ist jedoch mit einer Reihe an Herausforderungen verbunden: wie bereits erwähnt, besteht eine große Herausforderung darin, dass der Überwachungsbehörde ein Missbrauch personenbezogener Daten mitgeteilt werden muss und nur ein kurzer Zeitrahmen zur Verfügung steht, um dies zu tun. Hinzu kommt die Pflicht, die betroffene Person über die Verletzung zu informieren. Dies ist eine wesentliche neue Anforderung.

Drei einfache Schritte für einen proaktiven Ansatz
Da das Inkrafttreten der Datenschutz-Grundverordnung stetig näher rückt, werden Unternehmen überlegen müssen, welche Maßnahmen erforderlich sind, um die Verordnung einzuhalten. Für diejenigen, die diese Herausforderung erst jetzt angehen, gilt es einige klare erste Schritte einzuleiten. Überlegungen zur Umsetzung dieser Schritte können dazu beitragen, finanzielle Fallstricke in der Zukunft zu vermeiden.

1) Verstehen Sie das persönliche Datenuniversum Ihres Unternehmens
Organisationen sollten Maßnahmen ergreifen, um sich ein klares Verständnis hinsichtlich ihres persönlichen Datenuniversums zu verschaffen:Es ist zum Beispiel wichtig zu wissen, welche Arten von personenbezogenen erfasst werden, wie und von wem diese gesammelt werden, wo die Daten gespeichert werden, was damit gemacht wird, wer damit umgeht, die Gründe für die Verarbeitung, die Speicherungsdauer sowie die Gründe für die Speicherung oder Löschung von Daten, und natürlich, inwiefern diese Praktiken die bevorstehenden regulatorischen Verpflichtungen nach der Datenschutz-Grundverordnung und anderen gesetzlichen Anforderungen erfüllen.

2) Planung und Kommunikation
Planung und Kommunikation sind der Kern einer erfolgreichen Information Governance-Strategie. Die Schlüsselpersonen (typischerweise IT-, Rechts-, Compliance-, Geschäfts-, Vertriebs- und Personalabteilungen, die sich mit personenbezogenen Daten befassen) an einen Tisch zu holen, um ein Daten-Mapping zu erstellen – im Wesentlichen eine Beschreibung der unternehmensspezifischen Datentypen, der technischen Infrastruktur und der Speicherlösungen ist ein wesentlicher zweiter Schritt.

3) Beständige Wachsamkeit
Es genügt nicht, eine unregelmäßige Überwachung der personenbezogenen Daten einzuführen. Da sich die personenbezogene Datenlandschaft eines Unternehmens kontinuierlich verschiebt, ist das Mapping dieser Landschaft vielmehr eine laufende Anforderung als eine einmalige Übung. Ein proaktiver und fortlaufender Ansatz für das Gebiet der Information Governance stellt sicher, dass Unternehmen bereit sind, mit zukünftigen Entwicklungen und Verschiebungen umzugehen.

Privatsphäre muss ein Kerngeschäft werden
Die Einführung der Datenschutz-Grundverordnung wird eine deutlich gesteigerte Umsetzung der Datenschutzbestimmungen in der gesamten EU bewirken. Privatsphäre muss nun ein Kerngeschäftsprogramm für in der EU agierende Unternehmen werden, und die Planung der Herausforderungen, die die Grundverordnung mit sich bringt, sollte jetzt beginnen. Mit der richtigen Vorbereitung werden Unternehmen in der Lage sein, die Vorteile eines starken regulatorischen Rahmens zur Entwicklung von Technologien und Prozessen zu nutzen. Bei ausbleibender Planung erhöht sich das Risiko einer Verletzung der Datenschutz-Grundverordnung mit der Konsequenz erheblicher Schäden finanzieller Art oder für die Reputation des Unternehmens.
(Epiq Systems: ra)

eingetragen: 18.01.17
Home & Newsletterlauf: 17.02.17

Epiq Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Administration

  • Erfüllung der hohen Compliance-Anforderungen

    Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema - seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

  • Schritthalten mit der Compliance

    Wir möchten alle glauben, dass unsere Netzwerke vollständig sicher sind und unsere Verfahren und Richtlinien voll und ganz den Vorschriften entsprechen, die unsere Branche regeln. Doch die Sicherheitslandschaft verändert sich viel zu schnell, als dass Organisationen jederzeit gegen alle Bedrohungen geschützt sein könnten. Im Jahr 2012 führten wir eingehende Sicherheitsprüfungen bei Netzwerken von 900 Organisationen weltweit durch und fanden heraus, dass 63 Prozent mit Bots infiziert waren, von denen sie nichts wussten. Diese kommunizierten mindestens alle zwei Stunden mit ihren externen Steuerungszentren - und zogen dabei aktiv Daten von den infizierten Netzwerken der Unternehmen ab.

  • PIM-Lösung: Fluch oder Segen?

    Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts sind umfassend. Für das Unternehmen reichen sie von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Auch der einzelne Administrator profitiert von einer deutlichen Reduzierung seines Verwaltungsaufwandes.

  • Compliance bei der Softwarelizenzierung

    Erfolgreiche Geschäftsbeziehungen beruhen auf dem Vertrauen zwischen Käufern und Verkäufern. Für die Softwarebranche sind die Themen Vertrauen und faire Gegenleistungen traditionell eher schwierige Themen. Denn viele Unternehmen verstoßen trotz bester Absichten immer wieder gegen geltende Nutzungsbestimmungen. Anwendungshersteller stellen ihren Kunden Anwendungen im Rahmen bestimmter Berechtigungen zur Verfügung. Dieser Rahmen gibt vor, wie das Produkt unternehmensweit genutzt werden darf. Diese Nutzungsberechtigungen werden üblicherweise mit einem Lizenzierungsmodell durchgesetzt, das das geistige Eigentum der Softwareapplikationsshersteller gleichzeitig schützt und monetarisiert. Im Laufe der Zeit und je nach avisierten Märkten und Segmenten stellt der Hersteller bisweilen auf ein anderes Lizenzierungsmodell um, das den geänderten Kundenanforderungen besser gerecht wird. Möglicherweise werden auch mehrere Lizenzierungsmodelle zur Wahl gestellt. Diese Dynamik erschwert ein einwandfreies Compliance-Management erheblich.

  • Compliance und Software-Audits

    Software-Audits gelten seit langem als notwendiges "Übel", um sicherzustellen, dass Endkunden nicht gegen Lizenzrechte verstoßen. Denn Softwarehersteller setzen nach wie vor hauptsächlich auf diese Methode, damit Kunden nicht irrtümlich oder vorsätzlich mehr Softwarelizenzen nutzen, als sie erworben haben. In manchen Marktsegmenten werden Kunden von den jeweiligen Herstellern allerdings stärker geprüft als von anderen. Schon die Vorstellung, sich einem Audit unterziehen zu müssen, veranlasst die meisten Endkunden dazu, angemessene Vorkehrungen zur Einhaltung der Lizenzbestimmungen zu treffen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen