Am 25. Mai trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Helko Kögel vom IT-Sicherheitsunternehmen Rohde & Schwarz Cybersecurity schildert die Herausforderungen und Chancen für Unternehmen, die sich aus der neuen Verordnung ergeben.
Bis zum Stichtag mussten sich die Verantwortlichen durch eine Flut an Informationen kämpfen. Zusammen mit den Auflagen und Bußgeldern schürten die kursierenden Informationen oftmals Angst vor den bevorstehenden Änderungen.
Vertrauen gewinnen
Dabei birgt die EU-DSGVO große Chancen: Die Verordnung ist eine Modernisierung für wirksamen Schutz personenbezogener Daten in Europa. Unternehmen haben die Chance, ihr Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern zu untermauern, wenn sie die Richtlinie umsetzen. Im Zeitalter rasanter Digitalisierung und datengetriebener Wirtschaft ist ein integrer Umgang mit Informationen unabdingbar – Prozesse im Einklang mit der EU-DSGVO belegen eine solche Handhabung.
Ein weiterer Vorteil: Um nachweisen zu können, dass ein Unternehmen datenschutzrechtliche Vorgaben einhält, muss es ein Datenschutzmanagementsystem einführen. Diese Bedingung stellt einen hohen Nutzen dar. Der Datenschutzbeauftragte erhält über ein risikobasiertes Managementsystem schnell eine Übersicht über die laufende Verarbeitung von personenbezogenen Daten und kann darauf seine datenschutzrechtliche Prüfung aufbauen. Zudem ist im Falle einer Prüfung durch die Aufsichtsbehörde die Vorlage des Verfahrensverzeichnisses jederzeit möglich.
Grundsätze des Datenschutzes
Konkret wird die Modernisierung des Datenschutzes durch mehrere Grundsätze gewährleistet, die in Artikel 5 der EU-DSGVO festgelegt sind:
- Rechtmäßigkeit und Transparenz: Ohne eine Ermächtigungs- bzw. Rechtsgrundlage dürfen keine personenbezogenen Daten erhoben und benutzt werden.
- Zweckbindung: Die personenbezogenen Daten, für die eine Ermächtigungsgrundlage vorhanden ist, dürfen nur zu dem Zweck verwendet werden, für den ebendiese Ermächtigung erteilt wurde.
- Datenminimierung: Die Datenverarbeitung muss auf das notwendigste Maß beschränkt werden.
- Richtigkeit von Daten: Bei falschen und unsachlichen Daten hat das Datensubjekt sofortigen Anspruch auf Berichtigung bzw. Löschung.
- Speicherbegrenzung: Die neue Verordnung besagt, dass die Datenspeicherung auf den Zeitraum der Verarbeitung beschränkt ist. Unbegrenzte Datenspeicherung muss vermieden werden.
- Integrität und Vertraulichkeit: Die personenbezogenen Daten müssen angemessen gesichert werden vor Manipulation oder Fälschung.
- Rechenschaftspflicht: Die Einhaltung dieser Grundsätze muss nachgewiesen werden.
Konkrete Herausforderungen
Unternehmen müssen Maßnahmen ergreifen, die die Vertraulichkeit, Integrität und Belastbarkeit der Systeme und Dienste sicherstellen. Die Verfügbarkeit der personenbezogenen Daten muss gewährleistet sowie eine Wiederherstellung der Daten möglich sein. Vor allem die Abschätzung des Risikos nach einer festgelegten Methodik – das Fachwort lautet Datenschutzfolgenabschätzungen – stellt eine erhöhte Anforderung an Unternehmen dar. Eine weitere Herausforderung sind die erweiterten Informations- und Auskunftspflichten gegenüber Betroffenen sowie eine generelle Ausweitung der Betroffenenrechte.
Helko Kögel, Director Consulting, Rohde & Schwarz Cybersecurity. |