EU-DSGVO & GDPR

Die Anforderungen auf einen Blick

14.08.2017
Von Michael Nadeau
Michael ist Senior Editor bei unserer US-Schwesterpublikation CSO Online. Zuvor arbeitete er bereits als Redakteur und Buchautor. Darüber hinaus unterstützte er Unternehmen dabei, das Maximum aus ihren ERP-Systemen zu holen.
Die Uhr tickt für Unternehmen. Ab Mai 2018 gilt es zahlreiche Datenschutz-Hürden zu nehmen. Wir sagen Ihnen, welche Anforderungen die EU-Datenschutzgrundverordnung mit sich bringt.

Die General Data Protection Regulation (GDPR) - hierzulande auch als EU-Datenschutzgrundverordnung (DSGVO) bekannt - wird den Umgang von Unternehmen mit den Daten von EU-Bürgern maßgeblich verändern. Wenn die GDPR in Kraft tritt, müssen sich Unternehmen, die Geschäfte in EU-Ländern abwickeln, auf einiges gefasst machen. Die DSGVO regelt ab diesem Zeitpunkt nicht nur, wie die persönlichen Daten von Bürgern bei EU-internen Transaktionen gespeichert und geschützt werden müssen, sondern auch den Export solcher Daten in Länder außerhalb der Europäischen Union. Unternehmen, die persönliche Daten von EU-Bürgern speichern oder verarbeiten, müssen diesen Richtlinien ab dem 25. Mai 2018 genügen.

Die Vorschriften gelten gleichermaßen für alle 28 EU-Mitgliedsstaaten. Allerdings ist dieser EU-weite Standard auch ziemlich hoch angesetzt und wird dafür sorgen, dass die meisten Unternehmen größere Investitionen tätigen müssen. Die DSGVO besteht aus 99 Artikeln, die die Rechte von EU-Bürgern und die Anforderungen an Unternehmen, sowie die Strafen bei Nichteinhaltung definieren. Wir haben die für Unternehmen wichtigsten Anforderungen der Datenschutzgrundverordnung zusammengefasst. Den vollständigen Gesetzestext finden Sie hier.

Unternehmen, die personenbezogene Daten von EU-Bürgern speichern oder verarbeiten, müssen ab 2018 die Anforderungen der EU-Datenschutzgrundverordnung erfüllen.
Unternehmen, die personenbezogene Daten von EU-Bürgern speichern oder verarbeiten, müssen ab 2018 die Anforderungen der EU-Datenschutzgrundverordnung erfüllen.
Foto: NASA images - shutterstock.com

DSGVO: Umgang mit persönlichen Daten

Artikel 5, Verarbeitung personenbezogener Daten: Alle personenbezogenen Daten müssen auf rechtmäßige und nachvollziehbare Weise verarbeitet und nur für festgelegte Zwecke erhoben werden. Die Daten dürfen dabei in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Die Daten müssen dabei in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet - einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen. Diese Maßnahmen wiederum sind nicht genau definiert. Es ist aber davon auszugehen, dass ein Unternehmen im Falle eines Datendiebstahls als nicht konform eingestuft wird.

Artikel 6, 7 & 8, Zustimmung: Alle personenbezogenen Daten müssen auf rechtmäßige Weise verarbeitet werden. Das bedeutet im Klartext, dass jedes Individuum der Nutzung seiner persönlichen Daten ausdrücklich zustimmen muss. Die gesammelten Daten müssen außerdem nötig sein, um eine Aufgabe oder Transaktion abschließen zu können, die von der betreffenden Person veranlasst wurde. Ausgenommen sind hier nur Behörden.

Artikel 15, Auskunftsrecht: EU-Bürger haben das Recht, auf Nachfrage zu erfahren, welche ihrer persönlichen Daten ein Unternehmen zu welchen Zwecken nutzt.

Artikel 17, Recht auf Löschung: Unternehmen müssen auf Verlangen eines EU-Bürgers dessen persönliche Daten löschen.

Artikel 20, Recht auf Datenübertragbarkeit: Die Bürger der Europäischen Union können auf Verlangen den Transfer ihrer persönlichen Daten veranlassen.

Artikel 25 & 32, Datenschutz: Unternehmen müssen geeignete technische Maßnahmen treffen, um den Anforderungen zu genügen. Was genau "angemessen" im Sinne der DSGVO/GDPR bedeutet, ist in Artikel 32 näher ausgeführt.

GDPR: Meldepflicht & Strafzahlungen

Artikel 33 & 34, Meldepflicht: Unternehmen müssen Sicherheitsvorfälle innerhalb von 72 Stunden nach Bekanntwerden an die zuständigen Behörden und auch die betroffenen Personen melden.

Artikel 35, Folgenabschätzung: Firmen sind dazu verpflichtet, eine Datenschutz-Folgeabschätzung vorzunehmen, um die Risiken für EU-Bürger einschätzen zu können. Die Abschätzung muss auch darüber informieren, welche Maßnahmen das Unternehmen trifft, um die entstandenen Risiken zu minimieren.

Artikel 37, 38 & 39, Datenschutzbeauftragter: Einige Unternehmen sind dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, der sowohl die Datenschutzstrategie als auch die DSGVO/GDPR-Konformität überwacht und sicherstellt. Einen Datenschutzbeauftragten brauchen diejenigen Unternehmen, die große Mengen persönlicher Daten von EU-Bürgern speichern oder verarbeiten und regelmäßige Datenprüfungen durchführen. Auch staatliche Behörden müssen einen Datenschutzbeauftragten einsetzen. Die International Association for Privacy Professionals (IAPP) geht davon aus, dass derzeit rund 28.000 Stellen für Datenschutzbeauftragte zu besetzen sind.

Artikel 50, Internationale Zusammenarbeit: International tätige Unternehmen, die personenbezogene Daten von EU-Bürgern sammeln, speichern oder verarbeiten, müssen den Richtlinien der Datenschutzgrundverordnung entsprechen.

Artikel 83, Strafen: Bei Verstößen können auf Unternehmen Strafzahlungen in Höhe von bis zu 20 Millionen Euro - oder vier Prozent des weltweiten Gesamtumsatzes - zukommen.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.

Kommentare zum Artikel

Hans Kolpak

Wie witzig! Meine Kundendaten sowie lizensierte Fotos, Filme und Tondateien wurden unrechtmäßig von Polizisten gesichert und ich habe keinerlei Kontrolle, was die damit anstellen!

Aufgrund bisheriger Ermittlungen beschloss ein Staatsanwalt am 5. Juli 2016 dem Tatverdacht der "Volksverhetzung" nach § 130 Abs. 3 und 5 StGB durch weitere Ermittlungen nachzugehen. Die Beschlagnahme meines beruflichen Rechners für Videobearbeitung, Bildbearbeitung und Pressetexte am 4. August 2016 sollte Beweise liefern, auch wenn sich der Tatverdacht auf eine Satire vom 8. November 2011 auf DZiG de bezog, die seit dem 1. September 2016 offline ist.

Am 31. August 2016 hat der bearbeitende Staatsanwalt das Ermittlungsverfahren gemäß § 170 Abs. 2 StPO eingestellt, Posteingang am 3. September.

Was haben diese EU-Regelungen mit Treue und Redlichkeit zu tun? Werden hier vielmehr neue Geschäftsfelder für Juristen erschlossen?

comments powered by Disqus