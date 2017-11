Mit dieser neuen Verordnung werden wesentliche neue Verpflichtungen für Unternehmen eingeführt, die personenbezogene Daten verarbeiten. Für Regelverstöße sind strenge Sanktionen vorgesehen, darunter Geldstrafen von bis zu vier Prozent des weltweiten Umsatzes oder 20 Millionen Euro, je nachdem, welche Zahl höher ist.

Einige der wichtigsten Änderungen sind neue Regeln für die Benachrichtigung von Behörden im Falle einer Datenschutzverletzung, ein Recht auf Datenübertragbarkeit, nach dem Personen ihre persönlichen Daten anfordern können, um diese an einen anderen Dienst zu übertragen, ein Recht auf Löschung, nach dem Unternehmen auf Anforderung betroffener Personen verpflichtet sind, personenbezogene Daten zu löschen, die Verpflichtung von Unternehmen, unter bestimmten Voraussetzungen Datenschutzfolgenabschätzungen durchzuführen, bevor personenbezogene Daten verarbeitet werden dürfen, sowie die Verpflichtung von Unternehmen, die bestimmte Arten von Datenverarbeitung vornehmen, einen Datenschutzbeauftragten zu ernennen.

Auch wenn bis zum Inkrafttreten der Verordnung nicht einmal mehr ein Jahr bleibt, haben viele Unternehmen noch keine Vorbereitungen unternommen und müssen erst noch eine Compliance-Strategie entwickeln und umsetzen.

Großbritannien: Cabinet Office

In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. Frankreich: TV5 Monde

Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). USA: Department of Veterans Affairs

Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. Norwegen: Steuerbehörde

Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". Belgien: Gesellschaft der Belgischen Eisenbahnen

Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.

Jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet, benötigt eine individuelle Strategie, die unter anderem von Faktoren wie der Unternehmensgröße, der Art und Menge der verarbeiteten Daten sowie seinen derzeitigen Sicherheits- und Datenschutzmaßnahmen abhängt. Unternehmen wird ausdrücklich empfohlen, sich juristisch beraten zu lassen, um festzustellen, was in ihrer jeweiligen Situation erforderlich sein könnte. Es gibt aber auch Anforderungen, die alle Unternehmen - auch die kleinsten - betreffen.

"Verstehen" Sie Ihre Daten!

Der erste Schritt auf dem Weg zur DSGVO-Compliance (Datenschutz-Grundverordnung) ist, zu verstehen, wie personenbezogene Daten in Ihrem Unternehmen gespeichert, verarbeitet, geteilt und genutzt werden. Eine gründliche Prüfung setzt voraus, dass Sie Ihre aktuelle Vorgehensweise mit den Anforderungen der neuen Verordnung vergleichen und überlegen, was Sie verändern müssen, um die Vorgaben auf eine Weise zu erfüllen, die zu den Bedürfnissen Ihrer Organisation passt. Denken Sie daran, dass die Erfüllung der Verpflichtungen laut DSGVO nicht nur die Richtlinien und Maßnahmen Ihres eigenen Unternehmens einschließt, sondern auch die jeglicher Anbieter, die in Ihrem Namen personenbezogene Daten verarbeiten.

Bestimmen Sie die Verantwortlichkeiten für den Datenschutz in Ihrem Unternehmen

Alle Unternehmen werden ab dem 25. Mai 2018 verpflichtet sein, Programme für Datenschutz-Compliance einzuführen. Möglicherweise müssen Sie Ihre Datenschutzrichtlinien verschärfen und Ihre Mitarbeiter schulen. Nicht alle Unternehmen werden einen Datenschutzbeauftragten ernennen müssen. Die Anleitung legt nahe, dass solche Beauftragten für Unternehmen notwendig sind, die in zwei Feldern tätig sind: der großflächigen Verarbeitung spezieller Datenkategorien oder der großflächigen Beobachtung persönlicher Daten, beispielsweise in der verhaltensbasierten Zielgruppenwerbung.

Stellen Sie eine rechtliche Basis für die Datenverarbeitung sicher

Ihr Unternehmen sollte prüfen, welche Rechtsgrundlagen es aktuell für die Verarbeitung verschiedener Arten von persönlichen Daten nutzt. Wenn Sie Zustimmung als Grundlage für die Datenverarbeitung nutzen, müssen Sie überlegen, wie Sie diese Zustimmung einholen, und in der Lage sein, klar zu zeigen, wie und wann diese Zustimmung erteilt wurde.

Beachten Sie die Rechte von betroffenen Personen

Laut DSGVO hat jede Person, deren Daten Sie verarbeiten, neue Rechte, darunter das Recht, auf ihre eigenen persönlichen Daten zuzugreifen oder diese korrigieren, löschen oder elektronisch übertragen zu lassen. Kann Ihr Unternehmen Kundendaten schnell und einfach finden, löschen und bewegen? Verfügen Sie über die Kapazitäten, um schnell auf Anfragen zu personenbezogenen Daten zu reagieren? Hat Ihr Unternehmen und Dritte, mit denen Sie zusammenarbeiten, Aufzeichnungen darüber, wo sich Daten befinden, wie sie verarbeitet werden und wo sie geteilt wurden?

Gewährleisten Sie den eingebauten Datenschutz

Laut DSGVO sind Unternehmen dazu verpflichtet, einen eingebauten Datenschutz bei der Entwicklung neuer Projekte, Prozesse oder Produkte von Anfang an zu berücksichtigen. Die Grundidee hinter eingebautem Datenschutz ist, dass Datenschutzrisiken verringert werden, wenn man Datenschutz von Anfang an als Teil des Projekts begreift, anstatt nachträglich Datenschutzmaßnahmen zu integrieren. Haben Sie sichergestellt, dass der Zugriff auf personenbezogene Daten ausschließlich auf Personen in Ihrem Unternehmen eingeschränkt ist, die ihn wirklich benötigen? Unter bestimmten Bedingungen sollten Sie Datenschutzfolgenabschätzungen durchführen, bevor Sie personenbezogene Daten verarbeiten.

Bereiten Sie sich auf das Management von Datenschutzverletzungen vor

Ihr Unternehmen muss über geeignete Richtlinien und Prozesse für das Data Breach Management verfügen. Vergewissern Sie sich, dass Sie wissen, welchen Behörden Sie Datenpannen melden müssen, und machen Sie sich mit den entsprechenden Fristen vertraut. Das Versäumnis, eine Datenpanne ordnungsgemäß zu melden - und Datenpannen als solche - können Geldstrafen nach sich ziehen.

Kommunizieren Sie wichtige Informationen

Laut DSGVO sind Sie verpflichtet, Personen die rechtlichen Grundlagen für die Verarbeitung ihrer Daten mitzuteilen und sicherzustellen, dass die Personen die Behörden kennen, bei denen sie im Problemfall Beschwerde einlegen können. Stellen Sie sicher, dass Ihre Online-Datenschutzerklärungen auf dem neuesten Stand sind.

Arbeiten Sie gemeinsam mit Ihren Anbietern

DSGVO-Compliance erfordert eine umfassende Betrachtung Ihrer Datensicherheit, einschließlich der Anbieter, die in Ihrem Namen personenbezogene Daten verarbeiten. Der Einsatz eines Drittanbieters für die Datenverarbeitung befreit ein Unternehmen nicht von seinen Pflichten gemäß DSGVO. Prüfen Sie, ob Ihre Datenverarbeitungsanbieter internationale Datenschutzstandards erfüllen, Erfahrung im Datensicherheitsmanagement in großem Umfang haben und über Tools verfügen, die Ihre Data Governance verbessern und Verletzungsrisiken verringern.



Vergewissern Sie sich außerdem, ob Ihre Anbieter international anerkannte Standards für Datensicherheit und Datenschutz erfüllen, beispielsweise ISO 27018. Befragen Sie Ihre Anbieter zu den Maßnahmen in Bezug auf Netzwerk- und Informationssicherheit (z. B. Verschlüsselung und Kontrollen auf Anwendungsebene), Sicherheitsrichtlinien, Schulungen und Risikoevaluierung sowie Tests.

Auf der Kehrseite können IT-Dienstleistungen von Drittanbietern aber auch die Unternehmen, insbesondere kleine und mittlere Unternehmen, bei der Erfüllung der Bestimmungen unterstützen. Der Einsatz cloudbasierter Lösungen, bei denen Sicherheit und Datenschutz standardmäßig eingebaut sind, könnte beispielsweise bei Ihren Vorbereitungen auf die DSGVO-Compliance eine wichtige Rolle spielen. Unternehmen sollten sich dabei genau anschauen, wie diese Dienstleistungen helfen können, den Datenzugriff innerhalb Ihres Unternehmens zu kontrollieren, auf Anfragen von Personen bezüglich ihrer Daten zu reagieren oder ihre Sicherheit zu erhöhen. (rw)

