Für Datenschutzbeauftrage ist das am häufigsten erwähnte Datum wohl der 25. Mai 2018. An diesem Tag endet die Übergangsfrist, die Unternehmen zur Umsetzung der EU-Datenschutzgrundverordnung (EU DS-GVO) hatten. Während viele Unternehmen entweder mit der Umsetzung fertig sind oder noch mit Hochdruck daran arbeiten, sehen manche noch immer keinen akuten Handlungsbedarf. Warum jedes Unternehmen sich eher heute als morgen mit dem Thema befassen sollte, erklären wir in diesem Artikel.
Die wohl meistzitierte Neuerung in der DS-GVO ist die drastische Erhöhung der Strafzahlungen im Falle von Verstößen. Daraus kann man also durchaus ableiten, dass die Höhe der Strafen ihren Zweck nicht verfehlen: sie sollen abschrecken. Die EU DS-GVO ist allerdings weit mehr als ein reines Instrument, um CIOs zu erschrecken und sie bedeutet mehr als „Wir müssen jetzt einen Datenschutzbeauftragen benennen“.
Tatsache ist, dass in vielen Betrieben heutzutage in irgendeiner Form EDV-Systeme genutzt werden. Diese wiederum ermöglichen im Verbund mit verschiedenen externen Dienstanbietern das schnelle und effiziente Abwickeln von Geschäftsprozessen. In diesem Zuge werden auch in fast allen Fällen personenbezogene Daten in der einen oder anderen Form verarbeitet. Genau hier besteht für Unternehmen oft verstärkter Handlungsbedarf: denn wo solche Daten den Einflussbereich des eigenen Unternehmens verlassen, muss sichergestellt werden, dass die Vertraulichkeit und Integrität der Daten weiter gewährleistet sind. Um rechtlich auf der sicheren Seite zu sein, mussten bis jetzt Vereinbarungen zur Auftragsdatenverarbeitung (ADV) zwischen einem Unternehmen und einem Dienstleister getroffen werden. Daran hat sich zunächst nichts geändert, allerdings müssen diese Vereinbarungen auf den Prüfstand gestellt werden, um zu ermitteln, ob diese auch noch mit der EU DS-GVO konform sind. Ein Bestandsschutz für bereits bestehende ADV-Beziehungen ist in der DS-GVO nicht vorgesehen. Übrigens: Auch, wenn bestimmte Aufgabenbereiche in ein Tochterunternehmen ausgelagert werden, muss eine ADV-Vereinbarung zwischen dem Tochterunternehmen und dem Mutterkonzern bestehen. Selbiges gilt für Firmenableger im Ausland.
Nicht nur die Prüfung von ADV-Vereinbarungen steht auf der Liste der Themen, die dringend in Angriff genommen werden müssen, sondern auch das, was intern in einem Unternehmensnetzwerk vor sich geht. Ein genauer Blick auf aktuelle Prozesse ist angebracht, denn nicht immer ist klar, welche Daten ein Unternehmen tatsächlich erhebt – und wo diese gespeichert werden. Neben den offensichtlichen Daten wie Namen, Adressen, E-Mail-Adressen etc. gibt es oft auch eine Menge anderer Daten, die anfallen und die ebenfalls zu den personenbezogenen Daten zählen, wie zum Beispiel IP-Adressen.
Die Verordnung sieht ebenfalls vor, dass Unternehmen ihre IT-Infrastruktur wirksam schützen. Der Stichtag ist also auch eine gute Motivation, einmal seine IT-Sicherheitsstrategie unter die Lupe zu nehmen und bestimmte aktuelle Gegebenheiten zu hinterfragen: Wer muss warum auf welche Daten Zugriff haben? Wie stelle ich sicher, dass niemand unbemerkt Daten aus dem Netzwerk stehlen kann? Was muss getan werden, um alle Systeme auf dem neuesten Stand zu halten und um Sicherheitsrichtlinie wirksam umzusetzen?
Die Zeit, die zur Beantwortung dieser Fragen bleibt, wird immer kürzer – handeln Sie daher jetzt. G DATA kann Sie hierbei unterstützen.
Weitere Informationen zur EU-Datenschutzgrundverordnung finden Sie im G DATA Whitepaper „Die neue EU-Datenschutz-Grundverordnung – Was Unternehmen unbedingt wissen müssen“.