Die EU-Datenschutzgrundverordnung ist gerade das beherrschende Thema. Experten fürchten gar, es wird das gesamte Jahr dominieren und andere wichtige IT-Themen, wie IoT, Digitalisierung und KI, könnten dadurch vernachlässigt werden.
Fakt ist: Die Galgenfrist läuft ab. Drücken kann sich keiner mehr, der Zweijahreszeitraum für die Umsetzung der EU-Verordnung in nationales Recht endet am 25. Mai 2018 und spätestens dann muss sie von Unternehmen vollständig eingehalten werden.
Dabei stehen hohe Strafen bei Nichteinhaltung im Raum. Die Rede ist von bis zu 20 Millionen EUR bzw. bis zu vier Prozent des weltweiten Bruttoumsatzes – je nachdem was denn höher ist.
Persöhnliche Daten? Worum geht es dabei eigentlich?
Personenbezogene Daten sind per Definition alle Informationen, die sich auf eine identifizierte oder identifizierbare natürlich Person beziehen. (Art. 4 DSGVO)
Dabei geht es um Online-Kennungen, wie IP-Adressen, Cookies, wenn eine Rückverfolgung möglich ist. Und es geht um indirekte Informationen, das sind zum Beispiel physiologische, kulturelle, wirtschaftliche oder soziale Informationen, die zu einer bestimmten Person zurückverfolgt werden können. Dabei wird nicht unterschieden, ob es personenbezogene Daten in privater, öffentlicher oder beruflichen Hinsicht sind – alle unterliegen der neuen Verordnung.
Unternehmen müssen sich neu sortieren
Beim “neuen” Umgang mit personenbezogenen Daten geht es nicht nur einfach darum, dass die Person der Speicherung zustimmen muss. Unternehmen müssen nachweisen können wann und wie, ggf. auch durch entsprechendes Handeln, diese Einwilligung zustande kam. Das die Daten nur für eindeutige, spezielle und rechtmäßige Zwecke verwendet werden dürfen, versteht sich dabei schon fast von selbst.
Weiterhin haben Personen nun ein Recht auf “Vergessenwerden”. Wenn die Daten nicht mehr benötigt werden, müssen sie gelöscht werden. (Art. 17 DSGVO)
Während der Speicherung und Verarbeitung der persönlichen Daten müssen dann “geeignete technische und organisatorische Maßnahmen” getroffen werden. Dabei geht es um adäquate Verschlüsselung, der Sicherstellung dauerhafter Vertraulichkeit, Verfügbarkeit, Integrität und auch Belastbarkeit der Systeme. Es wird die Möglichkeit einer raschen Wiederherstellung nach technischen Zwischenfällen gefordert und die regelmäßige Überprüfung, Evaluierung und Bewertung der Systeme.
Zusammengefasst bedeutet das, viele Unternehmen müssen nicht nur ihre internen Prozesse, sondern ihre gesamte IT-Infrastruktur an die neuen Erfordernisse anpassen. Und der Großteil von ihnen hat noch nicht einmal angefangen.
Unterstützung? Mit Know-how von brainworks! Erfahren Sie mehr.