Sie sind hier: Home » Markt » Hinweise & Tipps

Gerüstet für die EU-Datenschutz-Grundverordnung


Inventarisierung sämtlicher Daten ein erster sinnvoller Schritt in Richtung Compliance
Eine Neuerung der DS-GVO besteht darin, dass Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Behörde melden müssen



Mit dem Ende der Trilog-Verhandlungen im Dezember 2015 wurde die endgültige Fassung der EU-Datenschutz-Grundverordnung (DS-GVO) verabschiedet. In der unendlichen Geschichte der kurz "DS-GVO" genannten Verordnung waren immer wieder neue Hürden aufgetaucht. Die finale Textfassung wurde dann im April endgültig vom EU-Parlament beschlossen. Die DS-GVO wird im Mai 2018 in Kraft treten. Darauf weist Varonis hin.

Die Uhr tickt also: Unternehmen bleiben noch knapp zwei Jahre, um ihre Rechenzentren auf Vordermann zu bringen. Genau genommen ist die DS-GVO seit fast einem Jahr in der nahezu finalen Version bekannt. Während dieser Zeit haben die Verhandlungsparteien allerdings noch einige wichtige Punkte diskutiert. Unternehmen, die diesen Prozess mitverfolgt haben, genießen insofern einen gewissen Vorsprung.

>> Was sind die zentralen Anforderungen der DS-GVO?
Unter den zahlreichen Anforderungen und Konzepten der DS-GVO haben wir die folgenden sechs Punkte als zentral ausgewählt:

>> Meldepflicht für Datenschutzverletzungen – Eine Neuerung der DS-GVO besteht darin, dass Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Behörde melden müssen. Die betroffenen Personen müssen zudem informiert werden, sofern der Vorfall "voraussichtlich ein hohes Risiko für [ihre] persönlichen Rechte und Freiheiten" zur Folge hat.

>> Datenschutz-Folgeabschätzungen – Vor der Verarbeitung bestimmter Daten sind Unternehmen dazu verpflichtet, die Risiken für die Privatsphäre der betroffenen Personen zu analysieren. Auch das ist eine neue Anforderung der DS-GVO.

>> Privacy by Design – Privacy-by-Design-Prinzipien spielen in den EU-Datenschutzbestimmungen seit jeher eine Rolle. Die neue Verordnung schreibt nun Prinzipien wie die Minimierung der erfassten und gespeicherten personenbezogenen Daten sowie die Einwilligung der betroffenen Personen zur Verarbeitung ihrer Daten fest.

>> Extraterritorialität – Das neue Prinzip der Extraterritorialität besagt, dass sämtliche Anforderungen der DS-GVO auch für Unternehmen ohne Niederlassung in der EU gelten, die aber Daten von EU-Bürgern verarbeiten (zum Beispiel über eine Website). Übersetzt heißt das: Die DS-GVO gilt ebenso außerhalb der EU. Das betrifft insbesondere E-Commerce- und andere cloudbasiert arbeitende Unternehmen.

>> Recht auf Vergessenwerden und auf Löschung – Die aktuelle Datenschutzrichtlinie sieht bereits seit Langem vor, dass Verbraucher die Löschung ihrer Daten verlangen können. Die DS-GVO erweitert dieses Recht auf im Internet veröffentlichte Daten. Hier geht es um das nach wie vor umstrittene Recht auf "Vergessenwerden".

>> Geldbußen – Die DS-GVO umfasst ein abgestuftes Sanktionssystem, das den Gewinn eines Unternehmens empfindlich schrumpfen lassen kann. Ernsthaftere Verstöße können mit Geldstrafen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Dazu gehört beispielsweise die Nichteinhaltung grundlegender Datenschutzprinzipien, insbesondere "Privacy by Design". Geringere – aber immer noch horrende – Geldbußen in Höhe von bis zu zwei Prozent des weltweiten Jahresumsatzes können verhängt werden, wenn Unternehmen Vorgänge nicht ordnungsgemäß dokumentieren oder die Aufsichtsbehörde und betroffene Personen nicht über eine Datenschutzverletzung informieren. Versäumnisse bei der Meldepflicht für Sicherheitsvorfälle können also durchaus kostspielig werden.

Die DS-GVO ist ein komplexes Gesetz, und dies ist bei weitem keine vollständige Liste aller wichtigen Regeln. In jedem Fall würden die meisten Rechts- und Compliance-Experten zustimmen, dass die Inventarisierung sämtlicher Daten ein erster sinnvoller Schritt in Richtung Compliance ist. Unternehmen müssen herausfinden, welche Daten wo gespeichert sind, wer darauf zugreifen kann und welche Berechtigungen erteilt wurden.

Genau das predigen wir an dieser Stelle schon lange. Im Hinblick auf die DS-GVO ist das aber nicht mehr länger nur eine gute Idee sondern eine wichtige Voraussetzung gesetzeskonform zu sein. (Varonis: ra)

eingetragen: 01.07.16
Home & Newsletterlauf: 29.07.16

Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

  • NIS-2-Umsetzung in Deutschland

    Mit dem neuen für NIS-2-Gesetz kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen zu - doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben. Jetzt ist die Zeit zum Handeln. Seit der Verabschiedung der NIS-2-Richtlinie durch die EU im Jahr 2022 war die Umsetzung in den Mitgliedstaaten ein komplexer Prozess.

  • Dem Fiskus drei Schritte voraus

    Teure Materialien sowie steigende Energie- und Transportpreise sind nur zwei Gründe, warum in zahlreichen Unternehmen der Sparzwang wächst. "Unvorhergesehene und potenziell kostspielige Steuernachzahlungen können in einer ohnehin angespannten Situation den Druck auf die finanziellen Ressourcen empfindlich erhöhen", weiß Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld.

  • Gesetze über Gesetze

    Der Countdown läuft: Die NIS2-Richtlinie steht praktisch schon vor der Tür und Betreiber kritischer Infrastrukturen (KRITIS) arbeiten auf Hochtouren daran, bis Oktober alle notwendigen Maßnahmen zu treffen.

MaRisk-Novelle umzusetzen Änderung des Telemediengesetzes

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen