Ist Ihr Unternehmen bereit für die EU-Datenschutz-Grundverordnung?

Joe Svetlik

06/12/2016

Im Mai 2018 tritt in allen Ländern der EU eine neue wichtige Verordnung in Kraft. Und wenn Ihr Unternehmen gegen diese Verordnung verstößt, können hohe Geldstrafen die Folge sein.

Auch wenn Sie vielleicht noch nicht davon gehört haben: Die Datenschutz-Grundverordnung ist eine wichtige neue EU-Verordnung, die für personenbezogene Daten (einschließlich Online-IDs wie IP-Adressen) gilt und die Zuständigkeit von Organisationen im Hinblick auf den Schutz dieser personenbezogenen Daten regelt.

Die Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft und gilt für alle Unternehmen, die in der EU Geschäfte tätigen, sowie Unternehmen außerhalb der EU, die Mitgliedsstaaten Dienstleistungen anbieten. Diese Unternehmen sind für personenbezogene Daten verantwortlich; sie müssen die Prinzipien der Verordnung einhalten und ihre Compliance demonstrieren, indem sie z. B. Entscheidungen im Zusammenhang mit ihrer Verarbeitung dokumentieren.

Unternehmen sind nicht gerüstet

Ein Grund zur Besorgnis ist, dass die meisten Unternehmen noch keine angemessenen Maßnahmen zur Einhaltung der Verordnung ergriffen haben. Laut einem Bericht von Symantec zum Datenschutz in Europa, State of European Data Privacy, haben erstaunliche 96 Prozent der Unternehmen die Datenschutz-Grundverordnung nicht wirklich verstanden. Eine überwiegende Mehrzahl (neun von zehn) haben Bedenken, ob sie die Verordnung einhalten können, und weniger als ein Viertel (22 Prozent) räumen der Compliance in den nächsten zwei Jahren höchste Priorität ein.

Offensichtlich gibt es da noch viel zu tun.

Vorbereitung

Wenn Ihr Unternehmen bis Mai 2018 die Vorschriften nicht einhält, könnte das hohe Geldstrafen nach sich ziehen. Glücklicherweise bleibt noch genügend Zeit, diesen Zustand zu beheben – wenn Sie jetzt handeln.

Zunächst einmal muss sichergestellt werden, dass die Entscheidungsträger und Schlüsselfiguren in Ihrer Organisation über die Gesetzesänderung informiert sind. Als Nächstes muss dokumentiert werden, welche Arten von personenbezogenen Daten Ihr Unternehmen speichert, woher sie stammen und mit wem sie geteilt werden (eine nicht zu unterschätzende Aufgabe, die eine umfassende Informationsprüfung erfordern kann). Ihre aktuellen Datenschutzhinweise müssen überprüft und gegebenenfalls Änderungen geplant werden, die Sie vornehmen müssen, bevor die Datenschutz-Grundverordnung in Kraft tritt.

Im Rahmen der Datenschutz-Grundverordnung haben Personen das Recht, vergessen zu werden (d. h. ihre Daten aus dem System des Unternehmens löschen zu lassen). Prüfen Sie also, ob Ihre Verfahren alle Rechte berücksichtigen, die Personen zustehen, ob Sie in der Lage sind, personenbezogene Daten zu löschen, und ob das auf Anfrage geschehen kann.

Etablierte Verfahren

Verfahren müssen aktualisiert werden und Sie müssen planen, wie Sie Zugriffsanfragen innerhalb der neuen Fristen handhaben. Sehen Sie sich an, welche Arten der Datenverarbeitung Sie durchführen, identifizieren Sie die Rechtsgrundlage für die Durchführung und dokumentieren Sie diese.

Überprüfen Sie, wie Sie Einwilligungen erbitten, erhalten und aufzeichnen, und führen Sie gegebenenfalls Änderungen durch. Richten Sie Systeme ein, mit denen das Alter der Personen verifiziert und gegebenenfalls die Zustimmung der Eltern oder Erziehungsberechtigten zur Datenverarbeitung eingeholt wird. Außerdem müssen die korrekten Verfahren zur Aufdeckung, Meldung und Ermittlung von Datenschutzverletzungen eingerichtet sein. Wenn Sie in Großbritannien sind, machen Sie sich mit dem Verhaltenskodex zur Datenschutz-Folgenabschätzung vertraut, in dem Sie erfahren, wie und wann Sie diese Richtlinien umsetzen müssen. Wenn Sie Ihren Sitz anderswo haben, konsultieren Sie den entsprechenden Verhaltenskodex in Ihrem Land.

Ernennen Sie gegebenenfalls einen Datenschutzbeauftragten oder eine Person, die für die Compliance mit dem Datenschutz zuständig ist. Und schließlich müssen Sie, wenn Ihr Unternehmen international tätig ist, herausfinden, welche Datenschutz-Aufsichtsbehörde für Sie zuständig ist.

Wenn Sie Ihren Sitz in Großbritannien haben, dürfen Sie nicht glauben, dass Sie die Datenschutz-Grundverordnung infolge des Brexit vernachlässigen können. Britische Unternehmen, die international Geschäfte tätigen, müssen sie dennoch einhalten. Die Compliance mit der Datenschutz-Grundverordnung erfordert tief greifende Änderungen, aber wenn Sie jetzt beginnen, sollte Ihr Unternehmen fit sein, bevor es zu spät ist.

DAS KÖNNTE IHNEN AUCH GEFALLEN...

Büro 2020

Was Unternehmen im 21. Jahrhundert wissen müssen