DSGVO: Der umfassendste Leitfaden für Compliance
Anforderungen, Richtlinien, operative Strategien - alles, was Sie wissen müssen um DSGVO-konform zu sein.
Verhindern Sie Datenverlust und hohe Bußgelder
1. Was ist die DSGVO (GDPR)?
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist eine Verordnung der Europäische Kommission, dem Europäischen Parlament und dem EU-Ministerrat, mit der der Schutz der Daten der EU-Bürger gestärkt und vereinheitlicht werden sollen. Sie ersetzt die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie) aus dem Jahr 1995 und wurde nach vierjähriger Vorbereitung und Erörterung am 14. April 2016 vom Europäischen Parlament verabschiedet.
Die DSGVO trifft eindeutige Aussagen zu den personenbezogenen Daten der Bürger und ihrem Recht, von Datenverantwortlichen und Datenverarbeitenden die Löschung, Änderung und Aushändigung ihrer Daten zu verlangen. Sie erfordert gegenüber der Datenschutzrichtlinie also erhebliche Änderungen bei den betrieblichen Abläufen der Unternehmen und Organisationen. Um die Umsetzung sicherzustellen, können schmerzhafte Bußgelder auferlegt werden für den Fall, dass die Rechte von EU-Bürgern nicht geschützt werden.
2. DSGVO – Wie steht es um die Vorbereitung?
Der Handlungsdruck für die Unternehmen und Organisationen wächst, denn der Tag, an dem die DSGVO in Kraft tritt, nähert sich in Riesenschritten. Viele Unternehmen sind bei der Umsetzung weit vom Ziel entfernt, denn die Änderungen, die sie umsetzen müssen, erfordern einen Kraftakt auf allen Ebenen. So zeigte Ende 2016 eine Umfrage von AvePoint bei international aufgestellten Firmen, dass lediglich 26 Prozent von 223 Antwortenden die Verarbeitung und die Übermittlung von Daten dokumentieren, nur 33 Prozent Daten klassifizieren und nur zehn Prozent von ihnen automatisierte Klassifikationsverfahren einsetzen. Die Zahlen sind bedenklich, da Dokumentation und Klassifikation grundlegende Anforderungen der DSGVO darstellen. Die Untersuchung zeigt zudem, dass sich die Firmen in unterschiedlichen Stadien der Vorbereitung benden und nur langsam vorankommen. So haben einige einen Datenschutzbeauftragten berufen, während andere noch dabei sind, die Auswirkungen der DSGVO auf ihre Abläufe zu ermitteln.
Dieses White Paper will als Leitfaden für die operative Umsetzung Unternehmen bei der Vorbereitung auf die DSGVO entlasten.
3. Die wichtigsten Artikel und ihre Bedeutung für Unternehmen
Geltungsbereich
Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern erfassen und verarbeiten. Dabei spielt es keine Rolle, in welchem Land das Unternehmen seinen Sitz hat und wo die Datenverarbeitung stattfindet. So unterliegen beispielsweise auch US-amerikanische Unternehmen, zu deren Kunden EU-Bürger gehören, der DSGVO.
Zustimmung
Die Unternehmen müssen die Zustimmung von EU-Bürgern einholen, wenn sie deren Daten speichern und nutzen, und sie müssen erläutern, wofür sie genutzt werden. Nach Inkrafttreten der DSGVO müssen sie jederzeit nachweisen können, dass die Zustimmung erteilt wurde. Die Zustimmung kann einfacher als bisher widerrufen werden.
Meldepflicht
Unternehmen müssen einen Datenverlust innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzbehörde ihres Landes melden. Ausgenommen sind Datenverluste, bei denen kein Risiko für die Rechte und Freiheiten von Personen besteht. Die Meldung muss unter anderem Angaben zur Art und Weise des Datenverlustes sowie zu Anzahl und Art der betroffenen Daten enthalten, den Namen des Datenschutzbeauftragten und Angaben zu den Maßnahmen, die zur Begrenzung der Auswirkungen ergriffen wurden.
Der Datenschutzbeauftragte
Sowohl Datenverantwortliche als auch Datenverarbeitende sind zur Benennung eines Datenschutzbeauftragten verpflichtet, sofern sie Tätigkeiten ausüben, die aus datenschutzrechtlicher Sicht besonders kontrolliert werden müssen. Alle anderen Unternehmen können einen Datenschutzbeauftragten freiwillig bestellen. Wer als Datenschutzbeauftragter in Frage kommt und was zu seinen Aufgaben gehört, regelt Artikel 37 ff. der DSGVO. Kurz gesagt kann der Datenschutzbeauftragte ein Mitarbeiter des Unternehmens oder ein externer Dienstleister sein. Er wirkt darauf hin, dass das Unternehmen die DSGVO umsetzt, berät und unterrichtet es hinsichtlich seiner Datenschutzpflichten und führt ein Verzeichnis der Prozesse, bei denen personenbezogene Daten verarbeitet werden.
Nicht alle Unternehmen brauchen einen Datenschutzbeauftragten. Dazu sind nur die Datenverantwortlichen und Auftragsverarbeiter verpflichtet, zu deren Kerntätigkeit Verarbeitungsvorgänge gehören, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder die umfangreiche Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten. Alle anderen Unternehmen können einen Datenschutzbeauftragten freiwillig bestellen. Er wirkt darauf hin, dass das Unternehmen die DSGVO umsetzt, berät und unterrichtet es hinsichtlich seiner Datenschutzpflichten und führt ein Verzeichnis der Prozesse, bei denen personenbezogene Daten verarbeitet werden.
Auskunftsrecht
Diese Bestimmung schafft Transparenz. Betroffene Personen können Auskunft darüber verlangen, welche sie betreffenden Daten ein Unternehmen verarbeitet, zu welchem Zweck die Daten verarbeitet werden und wo sie gespeichert sind. Die Unternehmen müssen den Personen eine Kopie ihrer Daten in einem gängigen elektronischen Format überrmitteln können.
Recht auf Löschung
Das "Recht auf Vergessenwerden" gibt EU-Bürgern die Möglichkeit, vom Datenverantwortlichen die Löschung der sie betreffenden Daten zu verlangen. Der Verantwortliche muss den Datenverarbeitenden informieren, dieser muss die Daten ebenfalls unverzüglich löschen. Artikel 17 der DSGVO führt die Umstände auf, unter denen das Recht auf Löschung zum Tragen kommt: beispielsweise wenn die betroffene Person ihre Einwilligung zurückzieht, die Daten nicht mehr für den Zweck benötigt werden, für den sie erhoben wurden, oder die Daten unrechtmäßig verarbeitet wurden.
Datenübertragbarkeit
Personen, die ihre Daten einem Verantwrtlichen zur Verfügung gestellt haben, können sie zu einem anderen übertragen. Dafür muss das Unternehmen in der Lage sein, die Daten in einem "strukturierten, gängigen und maschinenlesbaren Format" auszuhändigen.
Datenschutz durch Technikgestaltung
Wie "integrierte Sicherheit" bezieht sich der Begriff "Datenschutz durch Technikgestaltung" darauf, dass Schutzfunktionen von Beginn an in alle Prozesse, Systeme, Produkte und Dienste integriert werden. Dies setzt starken, konsistenten Schutz für die Daten durch und verhindert Lücken, die bei der nachträglichen Ergänzung von Schutzfunktionen auftreten können. Beim Datenschutz durch Technikgestaltung handelt es sich nicht um eine Empfehlung, sondern um eine in der DSGVO verankerte Anforderung.
4. Bußgelder
Je nach Art, Schwere, Dauer des Verstoßes, der Vorsätzlichkeit oder Fahrlässigkeit, dem Grad der Verantwortung und anderen Faktoren beläuft sich der Rahmen für Bußgelder auf:
• bis zu 10 Millionen Euro oder im Fall eines Unternehmens bis zu 2 Prozent des gesamten weltweit erzielten Umsatzes des vorangegangenen Jahres, je nachdem, welcher Wert der höhere ist, bei Verstößen gegen verschiedene Artikel der DSGVO,
• bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4 Prozent des gesamten weltweit erzielten Umsatzes des vorausgegangenen Jahres, je nachdem, welcher Wert der höhere ist, bei Verstößen z. B. gegen die Grundsätze für die Verarbeitung von Daten oder gegen die Rechte von betroffenen Personen
5. Zwei Eckpunkte für die Umsetzung der DSGVO (GDPR)
Damit Unternehmen die erweiterten, strengeren Regelungen umsetzen können, sollten sie ihre bestehenden Lösungen und Prozesse für den Schutz ihrer Daten auditieren und darauf aufbauen. Das Audit sollte erfassen, in welchen Vorgängen welche personen-bezogenen Daten erhoben werden, ob die Zustimmungsverfahren in Ordnung sind, wo die Daten gespeichert werden, wie ihre Integrität sichergestellt wird, wer auf sie zugreifen kann usw. Auf dieser Grundlage kann eine Planung für die Anpassung an die neue Verordnung erstellt und mit allen Beteiligten abgestimmt werden.
Schauen wir doch einmal, wie ein Plan aussehen sollte, der Ihre Chancen verbessert, die Ziellinie ohne allzu großen Ressourceneinsatz zu erreichen.
Korrekte Umsetzung
Eine Strategie ist nur so gut wie ihre Umsetzung. Es ist leichter gesagt als getan, für die Umsetzung der DSGVO die richtigen Management-Tools und Lösungen zum Schutz der Daten zu finden und einzuführen. Denn dabei kommen viele verschiedene Faktoren ins Spiel, darunter so komplexe wie der menschliche Faktor. Ein einfaches Beispiel ist der Datenschutzbeauftragte. Die Unternehmen haben angesichts der ihm übertragenen Verantwortung eine schwierige Entscheidung zu fällen. Seine Arbeit ist ausschlaggebend dafür, dass das Unternehmen die Anforderungen an den Datenschutz einhält, und schwierig, denn er muss sich auf der einen Seite mit den Angestellten auseinandersetzen und auf der anderen Seite mit den Abteilungsleitern.
Ebenso schwierig umzusetzen ist der Artikel zum grenzüberschrei-tenden Datentransfer. Hier geht es nicht um die Grenzen der Länder, an denen sich die Firmenzentralen und Zweigstellen der Unternehmen befinden. Ein Unternehmen am Standort Deutschland kann Kunden in Frankreich, den USA oder beliebigen anderen Ländern haben. Die DSGVO gilt für die Verarbeitung personenbezogener Daten von EU-Bürgern, auch wenn der Datenverantwortliche oder der Datenverarbeitende nicht in der EU angesiedelt ist. Selbst als Unternehmen außerhalb der EU können Sie also der DSGVO unterliegen.
Bewusstsein schaffen
Security-Verantwortliche, IT-Manager, CEO, Abteilungsleiter usw. müssen über die Änderungen Bescheid wissen, die die DSGVO verlangt, und sollten sicherstellen, dass diese in klare, einfach umzusetzende Maßnahmen übersetzt werden.
Je deutlicher die Vorgaben formuliert werden, desto besser verstehen alle, wozu die Maßnahmen dienen. Alle Führungskräfte und Entscheider sollten sich intensiv mit der DSGVO beschäftigen oder aber hinsichtlich der Verpflichtungen, die dem Unternehmen daraus erwachsen, einen Fachanwalt einschalten.
Die Sprache von Verordnungen wie der DSGVO ist nicht allgemeinverständlich, so dass anwaltliche Übersetzungshilfe empfohlen, wenn nicht notwendig ist. Zu wissen, wie die Verpflichtungen eines Unternehmens im Hinblick auf den Schutz personenbezogener Daten aussehen, ist eine gute Grundlage für alle weiteren Schritte.
Behandeln Sie die Umsetzung der DSGVO als Projekt und starten Sie mit der Festlegung der Planungs- und Einführungsphasen.
Lassen Sie sich von einem Fachanwalt beraten.
Ihre Aufgabe besteht darin, zu ermitteln, welche Daten Sie für die europäischen Bürger speichern und verarbeiten, ihren Speicherort, die jeweiligen Übertragungswege, durch welche Systeme sie verarbeitet werden usw. Das Ergebnis zeigt Ihnen auf, ob Sie die erforderlichen Tools zum Schutz privater Daten haben oder welche Instrumente Sie möglicherweise benötigen, um Sie bei der Einhaltung der DSGVO zu unterstützen.
Ganz neue Maßstäbe setzen die Prinzipien Data Protection by Design und by Default. Ihnen zufolge muss bereits vom Entwurf und von der Entwicklung an Datenschutz- und Sicherheitsfunktionalität in die Produkte und Dienstleistungen integriert werden. Das könnte insbesondere für die Entwickler von mobilen Apps und im Bereich IoT interessant sein.
Die neuen Richtlinien werden bei den Herstellern die Verbindung von Datensicherheit und Innovation anstoßen, so dass Produkte künftig nicht nur intelligent, sondern auch sicher sind.
Außer auf Produkte und Services muss der DSGVO zufolge Privacy by Design auch auf Prozesse angewendet werden. Grundsätzlich muss in Vorgängen wie der internen Kommunikation, der Personalwirtschaft oder der Logistik, in denen personenbezogene Daten genutzt werden,Datensicherheit als gleichwertiges Element neben anderen Faktoren betrachtet werden.
So muss beispielsweise beim Aufbau einer Personalabteilung zugleich mit der Mitarbeiterzahl, den Verantwortlichkeiten und den Abläufen auch die Datenschutzrichtlinie und ihre Anwendung festgelegt werden.
6. Wie Lösungen von Endpoint Protectorbei der Umsetzung der DSGVO helfen
Die Umsetzung der DSGVO kann den Verantwortlichen in den Unternehmen erhebliche Kopfschmerzen bereiten. Aber sobald sie gemeistert ist, dürfte deutlich werden, dass die Vorteile daraus die Mühen aufwiegen. Unternehmen haben es einfacher, in neue Märkte in der EU vorzudringen, da der Datenschutz in gleicher Weise geregelt ist wie am Heimatstandort. Die Europäische Kommission zeigt in einer Pressemitteilung auf, wie Unternehmen durch die Reform Kosten senken können.
Ein Franchise-Unternehmen mit Firmensitz in Frankreich betreibt Läden in 14 anderen EU-Ländern. Jedes Geschäft erfasst Kundendaten und übermittelt sie an die Unternehmenszentrale nach Frankreich, wo die Daten weiterverarbeitet werden.
Mit der bisherigen Regelung:Für die Datenverarbeitung in der Firmenzentrale würden die Datenschutzgesetze Frankreichs gelten, aber die einzelnen Geschäfte sind gegenüber ihrer jeweiligen nationalen Datenschutzbehörde rechenschaftspflichtig und müssen bestätigen, dass sie die personenbezogenen Daten gemäß den Rechtsvorschriften des jeweiligen Landes, in dem sie tätig sind, verarbeitet haben. Die Unternehmenszentrale muss also für alle Franchise-Läden Anwälte vor Ort konsultieren, um sicherzustellen, dass die entsprechenden Gesetzesauflagen erfüllt werden. Die Gesamtkosten dafür könnten 12.000 Euro übersteigen.
Nach der Datenschutz-Reform:Die Datenschutzvorschriften werden in allen 14 EU-Ländern identisch sein - ein Gesetz für die gesamte EU. Damit erübrigen sich Rechtsanwälte vor Ort, die sicherstellen, dass Franchise-Läden die Gesetze des jeweiligen Mitgliedstaats erfüllen. Das führt zu direkten Kosteneinsparungen und mehr Rechtssicherheit.
7. Fazit
Die DSGVO verursacht viel Unruhe in den Unternehmen, vor allem in Firmen mit Sitz in der EU. Manche sind sich nicht ganz sicher, ob sie zu den Datenverantwortlichen gehören oder zu den Datenverarbeitenden. Andere verschieben den Einstieg in die Umsetzung nach hinten, weil die notwendigen Änderungen sie überfordern, und wieder anderen sind die Auswirkungen nicht klar.
In welcher Lage Sie sich auch immer befinden, im Mai 2018 muss alles vorbereitet sein. Von dem Moment an müssen Sie jederzeit nachweisen können, dass Sie in Übereinstimmung mit der DSGVO handeln, den Umgang mit den Daten sicher gestalten und die Vertraulichkeit der Daten Ihrer Angestellten, Kunden, Partner und anderen Interessenten nicht in Gefahr bringen.
Falls Sie mit der Umsetzung der DSGVO noch nicht begonnen (GDPR) haben, sollten Sie als erstes Bewusstsein in allen Abteilungen schaffen. Dann sollte ein gründliches Audit folgen und die umfassende Umsetzung.
Untersuchen Sie sorgfältig, welche Software Sie bei den jeweiligen Phasen des Prozesses unterstützt, und achten Sie darauf, dass sie zu den Eigenheiten Ihres Unternehmens, dem rechtlichen Rahmen und dem menschlichen Faktor passt.
So weit, so gut. Und wie kann Endpoint Protector Ihnen helfen, Compliance mit der DSGVO zu erreichen?
Die Kurzfassung:
Die Details:
Die Basics beim Audit
In den Anfangsphasen des DSGVO-Umsetzungsprozesses können Sie in Endpoint Protector Richtlinien für Inhaltsüberwachung und Gerätekontrolle (für USB- und andere Geräte) einrichten und die Lösung im Report-Modus betreiben. So werden alle Aktivitäten, bei denen Daten das Unternehmen verlassen, erfasst und angezeigt. Dies gibt Ihnen einen Überblick darüber, welche Nutzer sensible Daten transferieren, wie personenbezogene Daten, Kreditkarten- oder Sozialversicherungsnummern oder andere vertrauliche Informationen.
Einschränkungen beim Datentransfer
Nach dem Audit müssen Sie den Schutz der Daten verbessern und Sicherheitslücken schließen. Die Richtlinien, die Sie in Endpoint Protector für die Beobachtungsphase verwendet haben, können Sie scharf schalten, so dass nicht zulässige Datentransfers, Copy-&-Paste-Vorgänge, das Erstellen von Screenshots etc. über alle Austrittspunkte und alle Rechner, Nutzer, Gruppen im gesamten Unternehmen hinweg blockiert werden. In der neuen Verordnung geht es um den Schutz der personenbezogenen Daten. Inhaltsprüfung und USB-Kontrolle der Lösung für Data Loss Prevention Endpoint Protector können sie vor Verlust und Diebstahl schützen.
Schutz für heterogene Netzwerke
Die DSGVO (GDPR) fordert, dass der Schutz der Daten gewährleistet ist. Sie spezifiziert aber weder Plattformen (wie Windows, macOS oder Linux, iOS, Android, Windows Phone etc.) noch Übertragungswege (wie E-Mail, Cloud-Sharing, tragbare Speicher etc.). Am Ende spielt das keine Rolle. Entscheidend ist allein, dass die Daten unabhängig davon geschützt werden. Für Sie bedeutet das, dass Sie sicherstellen müssen, dass die von Ihnen gewählte Lösung Ihre gesamte Infrastruktur abdeckt, mit allen Arbeitsplatzrechnern, mobilen Geräten und Austrittspunkten.
Sie haben eine Frage?
Fragen Sie einen DLP-Experten.
DLP Solutions Expert
Claudia oder einer ihrer Kollegen wird sich schnellstmöglich bei Ihnen melden.
Erhalten Sie aktuellste
Infos und Details rund um dieDSGVO
Infos und Details rund um die