Die neue EU-Datenschutz-Grundverordnung fordert alle Unternehmen

Welche Ziele hat die neue Verordnung?

Mit der neuen Verordnung wird die aus dem Jahr 1995 stammende Datenschutzrichtlinie (DSRL) vollständig modernisiert.

Zu dieser Zeit steckte die Digitalisierung noch in ihren Anfängen: Für die komplexen Verarbeitungsstrukturen und die nahezu vollständige Vernetzung bietet die DSRL keinen angemessenen Schutz mehr.

Im Wesentlichen hat die Reform des EU-Datenschutzrechts vier Ziele:

1. einen Rechtsrahmen für die digitale Welt schaffen,

2. den Binnenmarkt der EU harmonisieren,

3. Betroffenenrechte stärken und

4. Veränderungen im Primärrecht anpassen.

Die neue Datenschutzgrundverordnung wurde am 4. Mai 2016 verkündet und gilt unmittelbar ab dem 25. Mai 2018 in allen Mitgliedstaaten der Europäischen Union. Anders als bei der bisherigen EU-Richtlinie ist eine Umsetzung in das nationale Recht der Mitgliedstaaten nicht mehr erforderlich.

Was ändert sich?

Die DS-GVO hält im Prinzip an dem fest, was auch das deutsche Bundesdatenschutzgesetz (BDSG) bisher vorsieht. Allerdings gibt die DS-GVO allem eine andere Ausprägung, die individuell betrachtet werden muss.

Unabhängig von seiner Größe muss sich jedes Unternehmen intensiv mit der Thematik auseinandersetzen, denn Unwissenheit schützt vor Strafe nicht. Die DS-GVO verschärft die Sanktionen mit Bußgeldern von bis zu 20 Millionen Euro. Datenverarbeiter sind gezwungen, dem Datenschutz mehr Beachtung zu schenken. Denn in Zukunft führt jeder Fehler zwangsläufig zu einer Strafe.

Wie sind die Anforderungen an den technischen Datenschutz und die Dokumentation zu verstehen?

Künftig muss der Unternehmer die Einzelmaßnahmen der unterschiedlichen Gesetze, die ihn schon heute zum Schutz der eigenen IT betreffen, mit den neuen Anforderungen der DS-GVO in Einklang bringen - zum Beispiel das IT-Sicherheitsgesetz oder die Richtlinie zur Netzwerk- und Informationssicherheit (NIS). Im Datenschutzmanagement werden den Unternehmen weitreichendere Verpflichtungen auferlegt.

Es umfasst alle Maßnahmen, die zur effektiven Umsetzung der datenschutzrechtlichen und sonstigen Vorgaben notwendig sind. Dazu gehört auch die Verpflichtung, die damit verbundenen Prozesse und Strukturen umfassend zu dokumentieren. Eine Hilfestellung für die konkrete Umsetzung der Dokumentationspflichten bietet hier das Standard Datenschutzmodell (SDM) oder die ISO 27001.

Wozu sind Unternehmen generell verpflichtet?

Zusammengefasst müssen folgende Auflagen erfüllt werden:

- einen Datenschutzbeauftragten bestellen,

- einen risikobasierten Datenschutz umsetzen,

- Technikgestaltung und Voreinstellungen datenschutzfreundlich gestalten,

- Datenschutzfolgen abschätzen und [1] Datenschutzverstöße melden.

Wie erfolgt die praktische Umsetzung?

Empfehlenswert ist ein schrittweises Vorgehen unter Anleitung eines Datenschutz-Experten nach einem Sechs-Punkte-Programm:

1. Status Quo feststellen,

2. rechtliche Rahmenbedingungen prüfen,

3. Risiko- und Schutzniveau feststellen und eine Datenschutzfolgeabschätzung implementieren,

4. einen Maßnahmenkatalog entwickeln und die Umsetzung dokumentieren,

5. Mitarbeitende schulen und

6. regelmäßige Kontrollen durchführen.

Was bedeutet das für Unternehmen?

Um die stetig zunehmenden Cyberattacken abzuwehren, sind Sicherheitsmaßnahmen zwingend erforderlich. Die DS-GVO enthält Rahmenbedingungen, wie der Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen aufgebaut werden muss.

Verantwortliche Führungskräfte, Geschäftsführung und Geschäftsleitung müssen die neue Verordnung zügig umsetzen und ihren eigenen rechtssicheren Weg gestalten. Sonst entstehen nicht zu verantwortende Risiken.

• Über Drimalski & Partner GmbH
• Weitere Meldungen
• Diesen Pressetext kommentieren
• Pressemitteilung veraltet?