- Anzeigen -

Zwei Jahre nach Inkrafttreten der DSGVO


DSGVO-Compliance für kleine und mittlere Unternehmen stellt sich häufig noch als schwierig dar
DSGVO – EU-Kommission zieht Bilanz: KMU im Nachteil?

- Anzeigen -





Ein Statement von Volker Sommer, Area Vice President DACH and Eastern Europe bei SailPoint

Gut zwei Jahre nach Inkrafttreten der DSGVO zieht die EU-Kommission Bilanz. Eine Erkenntnis: Die Compliance für kleine und mittlere Unternehmen stellt sich häufig noch als schwierig dar. So haben KMU vor allem steigende Kosten im Rahmen von Mitarbeiterschulungen und externen Beratungsleistungen zu beklagen. Laut der Kommission ist dies für viele von ihnen eine Belastung. Die Möglichkeit, diese kleineren und mittleren Firmen von der DSGVO auszunehmen, bestehe nicht, denn auch diese verarbeiten teilweise personenbezogene Daten in großem Umfang.

Trotz dieser Probleme wurden auch die Erfolge der Datenschutzgrundverordnung insgesamt betont, denn es seien neue globale Grundsätze geschaffen worden, die neue Möglichkeiten für einen sicheren Datenverkehr ermöglichen. Dies komme sowohl Einzelpersonen als auch Unternehmen zugute. So trage die DSGVO dazu bei, dass sich globale Datenschutzstandards ihr anpassen – sie werde oftmals als Bezugspunkt genutzt, etwa in Ländern wie Chile, Südkorea, Brasilien oder Japan. Bezogen auf Betriebe und im speziellen KMU hält die Kommission fest, dass die Verordnung für gleiche Bedingungen im Wettbewerb mit anderen Firmen sorge – auch solche, die ihren Sitz außerhalb der EU haben, aber hier tätig sind.

Weiterhin trage das vermehrte Bestreben um mehr Datenschutz dem Wunsch der Kunden Rechnung, die diesen Punkt heute immer häufiger in ihre Kaufentscheidung mit einbeziehen. Wenn die DSGVO-Compliance auf transparente Weise erreicht werde, stärke dies das Vertrauen zwischen Betrieben und Endkunden.

Dass auch Großkonzerne Probleme bei der Einhaltung der Richtlinie haben, zeigte kürzlich eine Nachricht aus Frankreich. So muss Google in Frankreich wegen undurchsichtiger Privatsphäre-Einstellungen und der fehlenden rechtlichen Grundlage für personalisierte Werbung die höchste Strafe zahlen, die europäische Aufsichtsbehörden im Rahmen der Verordnung bisher verhängten. Konkret geht es um eine Summe von 50 Millionen Dollar.

Zunächst einmal ist die Tatsache, dass Unternehmen jeglicher Größe – vor allem aber kleinere und mittelständische Betriebe – noch Probleme bei der Compliance haben, nicht überraschend. Schließlich erfordert die Verordnung eine umfassende Überprüfung, wer Zugriff auf welche Daten hat, wo sich die regulierten Daten befinden sowie die Fähigkeit, erforderliche Sicherheitsaudits und kontinuierliche Kontrollen durchzuführen. Eine lückenlose Compliance ist hier essentiell, denn die DSGVO sieht für gravierende Verstöße ein Mindestbußgeld von 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor.

Gerade weil die Nicht-Einhaltung für viele Betriebe geschäftskritisch sein kann, sollten diese neben organisatorischen Maßnahmen auch die Nutzung technischer Lösungen in Erwägung ziehen. Denn: Die DSGVO erfordert nicht nur, dass Organisationen Least-Privilege-Rechte für PII-Daten (Persönlich identifizierende Informationen) von EU-Bürgern integrieren – sondern auch, dass sie in der Lage sind, Verstöße gegen die Richtlinie sofort zu erkennen und zu beheben. Firmen haben maximal 72 Stunden Zeit, um eine Datenpanne im Zusammenhang mit Kundendaten zu melden – nachdem sie selbst von der Verletzung Kenntnis erlangt haben – und müssen Einzelpersonen benachrichtigen, wenn nachteilige Auswirkungen festgestellt werden.

Darüber hinaus muss die Person im Unternehmen, die für die Datenverarbeitung verantwortlich ist, den betrieblichen Kontrolleur sofort benachrichtigen, wenn er von einem Datenabfluss der personenbezogenen Informationen erfahren hat. Deshalb ist es unerlässlich, firmeninterne Sicherheitslücken umgehend zu erkennen und zu schließen.

Die Komplexität, die mit Unternehmens-Identity, der DSGVO-Compliance und dem Datenschutz verbunden ist, bedeutet: Der effektivste und sicherste Weg besteht darin, so viele Identity- und Access-Management-Tools sowie Sicherheitsauditprozesse wie möglich zu automatisieren. Schließlich ist Automatisierung unerlässlich, wenn Prozesse regelmäßig wiederholt werden müssen und Reaktionen in Echtzeit erfolgen sollen. Durch die Automatisierung der Zugriffsbereitstellung und -entfernung können Unternehmen die Sicherheitskontrollen verschärfen und gleichzeitig ihre Geschäftseffizienz steigern. So geschützt können Betriebe jeglicher Größe ein neues Zeitalter des Datenschutzes beginnen und empfindliche Geldbußen im Rahmen der Verordnung verhindern, die gerade für kleinere Betriebe nicht selten geschäftskritisch sein können. (SailPoint: ra)

eingetragen: 16.07.20
Newsletterlauf: 02.10.20

SailPoint: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Deutsches Steuerrecht nicht einfach

    Im Juli 2018 hat die EU-Kommission ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland eingeleitet, weil berufsrechtliche Einschränkungen des Steuerberatungsgesetzes nicht mit EU-Recht vereinbar seien. In großen Teilen sollen sich beide Seiten nun geeinigt haben. Der Bundesverband der Bilanzbuchhalter und Controller (BVBC) appelliert jedoch zusammen mit dem Bundesverband mittelständische Wirtschaft (BVMW) und zwöf weiteren Verbänden an die EU-Kommission, nicht von ihrer ursprünglichen Forderung nach einer Gesetzesänderung abzuweichen. Das deutsche Steuerrecht ist nicht für seine Einfachheit bekannt. Das Steuerberatungsgesetz regelt daher genau, welche Berufsgruppen zur steuerlichen Hilfeleistung berechtigt sind - zum Schutz der Steuerpflichtigen und des Steueraufkommens, wie die Interessenvertretungen der Steuerberater und die Politik häufig argumentieren. Doch die damit verbundenen Einschränkungen von Dienstleistern und Unternehmen gehen der europäischen Kommission zu weit. Im Sommer 2018 hat sie deswegen ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet und um Stellungnahme gebeten.

  • Scheinbeteiligung bei Lieferkettengesetz

    Die Debatte zum Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten (Sorgfaltspflichtengesetz) läuft seit Jahren. Nun liegt endlich ein Referentenentwurf auf dem Tisch. Doch statt einen umfassenden Beteiligungsprozess zu ermöglichen, hat das Bundesministerium für Arbeit und Soziales Transparency Deutschland und den weiteren Stakeholdern das Gesetz zugeschickt - verbunden mit der Rückmeldefrist für die Einreichung einer Stellungnahme am selben Tag um 19 Uhr.

  • Bitkom-Kommentar zum Personenbeförderungsgesetz

    "Das neue Personenbeförderungsgesetz ist allenfalls ein halber Schritt in die richtige Richtung. Statt konsequent digitale Technologien für eine innovative, ressourcenschonende Mobilität einzusetzen, wird in zentralen Punkten der analoge, klimaschädliche Status Quo gesetzlich verankert. So wird es auch in der Neufassung eine Rückkehrpflicht für auftraglose Mietwagen geben. Der staatlich verordnete Zwang, mit leerem Wagen zu einem definierten Standort zurückzufahren, ist wirtschaftlich unsinnig und schadet der Umwelt. Die Rückkehrpflicht atmet den Geist des vorigen Jahrhunderts. Sie ist ein Anachronismus und dient nur dazu, ein überteuertes Geschäftsmodell fortzuschreiben. Gerade in ländlichen Regionen kann damit Ride Hailing faktisch kaum angeboten werden. Hinzu kommt, dass in Großstädten die Behörden Einschränkungen für Ride-Hailing-Dienste verhängen können, wenn der Verkehr mit Mietwagen einen Anteil von 25 Prozent überschreitet. Dann dürfen zum Beispiel ab bestimmten Uhrzeiten bestimmte Gebiete nicht mehr angefahren werden. Oder: Wer zu erfolgreich ist, der soll künftig bestraft werden können.

  • Einigung beim Lobbyregister

    Die Allianz für Lobbytransparenz kritisiert die Vereinbarung zwischen CDU und SPD für ein Lobbyregister als Stückwerk: Ein Lobbyregister ohne exekutiven Fußabdruck bleibt ein zahnloser Tiger. Außerdem dürfte eine Verabschiedung in der geplanten Form eine umfassende Verbesserung auf Jahre hinaus verhindern. Damit hat die Große Koalition eine große Chance verpasst. Echte Transparenz und Nachvollziehbarkeit der politischen Interessenvertretung bleiben damit auf der Strecke. Nach Auffassung der Allianz hätte die Große Koalition gerade in der aktuellen pandemischen Ausnahmesituation und mit Blick auf die Bundestagswahl durch ein gutes Lobbyregistergesetz ein klares Zeichen zur Stärkung des Vertrauens in den Gesetzgebungsprozess setzen müssen. Schließlich werden momentan weitreichende Gesetze unter hohem Zeitdruck verabschiedet. Dabei müssen sich die Bürger elementar darauf verlassen können, dass diese Entscheidungen und Gesetze unter fairen und transparenten Bedingungen zustande gekommen sind. Wichtig und gut ist, dass das Lobbyregister künftig in digitaler Form öffentlich einsehbar und mit klaren Sanktionen versehen wird. Das reicht aber nicht: Es bedarf eines exekutiven Fußabdrucks und gleicher Spielregeln für alle Interessenvertretenden.

  • Zu hohe Hürden für Versicherungs-Startups

    Ob persönliche Versicherungszentrale mit personalisierten Angeboten, Smartphone-Versicherungsabschluss oder Vertragsabschluss ohne Papierkram: Zahlreiche deutsche Startups haben in den vergangenen Jahren innovative digitale Versicherungsangebote auf den Markt gebracht. Doch InsurTechs, die nicht nur Produkte etablierter Versicherungen anbieten wollen, sondern völlig eigenständige Angebote entwickeln, wird es künftig hierzulande wohl kaum noch geben, wenn die aktuellen Pläne der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) umgesetzt werden. Denn InsurTechs, die selbst das Risiko tragen und nicht auf Versicherungspartner zurückgreifen wollen, benötigen dafür eine BaFin-Lizenz. Diese soll künftig laut einer Ankündigung im "BaFin-Journal" nur noch erteilt werden, wenn das Startup am Tag des Lizenzantrags die vollständige Ausfinanzierung nachweisen kann.