Auf dem Weg zur DSGVO-Compliance

Geschrieben von Pooja Mohnani

In dieser hyperaktiven und facettenreichen Welt stellen sich alte und neue Herausforderungen. Der Weg in Richtung einer sichereren und harmonischeren Welt ist ein Grund, uns auf die Datenschutzgrundverordnung (DSGVO) vorzubereiten. Das Gesetz trat im April 2016 in Kraft und findet seit dem 25. Mai 2018 seine Anwendung.

Die DSGVO betrifft Organisationen weltweit, die Daten von natürlichen Personen in der EU und in der EEA verarbeiten.

So wie nextexitfuture fokussiert sich die DSGVO auf das Individuum. Staatsangehörige der EU haben das Recht zu wissen, wie ihre persönlichen Daten gespeichert, verwendet und gelöscht werden.

Jede Person kann der weiteren Datenverarbeitung rechtmäßig widersprechen. DSGVO-Compliance bedeutet, dass die Organisationen Verantwortung übernehmen. Organisationen müssen Ihre Praktiken hinsichtlich Erwerb, Verarbeitung, Speicherung und Schutz von personenbezogenen Daten überprüfen und verbessern. Während Organisationen diese Schritte auf dem Weg zur Compliance unternehmen, werden sie einige Herausforderungen erleben.

Mit dem Ziel, die DSGVO verständlich zu machen, lassen Sie uns in die Fakten eintauchen und Einblicke bekommen.

Wen betrifft die DSGVO?
Die DSGVO betrifft alle Organisationen innerhalb der EU und Unternehmen außerhalb der EU, wenn Sie Güter oder Dienstleistungen an Individuen in der EU anbieten. Allgemein ausgedrückt, alle Organisationen, die personenbezogene Daten von Individuen mit Wohnsitz in der EU verarbeiten oder speichern, unabhängig vom geographischen Firmensitz des Unternehmens.

Was sind die Strafen für Non-Compliance?
Organisationen können mit bis zu 4% ihres Jahresumsatzes oder 20 Millionen Euro bestraft werden. Es gibt einen gestaffelten Strafkatalog, beispielsweise kann ein Unternehmen mit 2% bestraft werden, wenn seine Dokumentation nicht ordnungsgemäß ist (Artikel 28), die zuständigen Aufsichtsbehörden bei einer Verletzung nicht benachrichtigen oder keine Folgenabschätzung durchgeführt wird.

Was sind personenbezogene Daten?
Personenbezogene Daten können als Informationen beschrieben werden, die dabei helfen, ein Individuum eindeutig zu identifizieren, direkt oder indirekt. Die Liste beschränkt sich nicht auf Namen, Adressen, E-Mails, Fotos oder Personalnummern, sondern auch Ortsdaten, IP-Adressen, etc.

Brauchen Unternehmen ‘explizite’ oder ‘eindeutige’ Zustimmung?
Die Voraussetzungen für die Einverständniserklärung wurden verschärft, die Aufforderung muss in klarer und einfach zugänglicher Form sein und dabei den Zweck der Datenverarbeitung betonen – das bedeutet, es muss eindeutig sein. Es sollte genauso einfach sein, die Einverständniserklärung zu widerrufen, wie sie zu erteilen.

Wie profitieren Unternehmen von der DSGVO?
Die DSGVO hilft auf folgende Weise:

  1. Fördern von Digitalisierung
  2. Optimieren von Prozessen
  3. Compliant zu sein, ermöglicht Branding über die ganze Welt
  4. Es bietet den Kunden Sicherheit
  5. Aufbauen von Vertrauen
  6. Ermöglichen von Gelegenheiten für die Zukunft

Muss mein Unternehmen einen Datenschutzbeauftragten (DSB) beauftragen?
Ein DSB wird in folgenden Fällen benötigt:

  1. öffentliche Behörden
  2. Unternehmen, die systematisches Monitoring betreiben.
  3. Unternehmen, die besonders sensible personenbezogene Daten verarbeiten (Art. 37).

Was ist die DSGVO-Regel hinsichtlich Verletzungen des Datenschutzes?
Verletzungen des Datenschutzes adressieren die Benachrichtigungsregelungen von Unternehmen, die betroffen sind. Verletzungen des Datenschutzes, die ein potentielles Risiko für den Einzelnen darstellen, müssen der zuständigen Datenschutzbehörde innerhalb von 72 Stunden und den betroffenen Individuen ohne Verzögerung gemeldet werden.

Was ist mit Personen unter 16 Jahren?
Für Onlinedienste wird eine Zustimmung der Eltern zur Verarbeitung von personenbezogenen Daten von Kindern unter 16 Jahren benötigt.

Was ist der Unterschied zwischen einem Datenverarbeiter und einem Datenkontrolleur?
Ein Datenkontrolleur ist die Instanz, welche die Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten bestimmt, während der Verarbeiter die Instanz ist, die die personenbezogenen Daten im Auftrag von Kontrolleur verarbeitet.

Wie innovieren wir “Privacy by Design”?
Unternehmen müssen Systeme entwerfen/überarbeiten, die optimiert sind – die relevanten Daten sammeln und keine weiteren Informationen und „Privacy by Default“ beschützen.

Was ist der Ansatz zur DSGVO-Compliance?
Ein Fünf-Schritte-Ansatz wird vorgeschlagen:

  1. Datenflüsse. Der erste Schritt ist, alle seine Datenquellen zu kennen. Unabhängig von der Technologie, strukturierten oder unstrukturierten Daten, stationären oder sich bewegenden Daten – untersuchen und auditieren, welche personenbezogenen Daten gespeichert und verarbeitet werden über die gesamte Datenlandschaft hinweg. Die Regulierung macht es erforderlich, dass Unternehmen nachweisen, wo personenbezogene Daten sind – und wo nicht.
  2. Identifizieren. Der nächste Schritt ist zu prüfen – identifizieren, welche personenbezogenen Daten jeweils gefunden werden können. Üblicherweise sind personenbezogene Daten in halbstrukturierten Feldern verteilt und beinhalten Namen, E-Mail-Adressen und Sozialversicherungsnummern. Spezielle Eigenschaften, Mustererkennung, Regeln zur Datenqualität und Standardisierung sind wichtige Elemente dieses Prozesses.
  3. Verwalten. Strenge Datenschutzregeln müssen formuliert, dokumentiert und über alle Unternehmensebenen hinweg geteilt werden. Es muss sichergestellt sein, dass nur von autorisiertem Personal auf personenbezogene Daten zugegriffen werden kann, basierend auf der Art der personenbezogenen Daten, die damit verbundenen Rechte mit Benutzergruppen und dem Benutzungskontext. Rollen und Berechtigungen müssen verteilt werden, was die Bestimmung von Verantwortlichkeiten ermöglicht.
  4. Beschützen. Für Compliance können verschiedene Techniken zum Datenschutz verwendet werden: Verschlüsselung, Pseudonymisierung und Anonymisierung.
  5. Prüfen. In diesem Stadium sollte es möglich sein, den Aufsichtsbehörden folgende Informationen nachweisen und demonstrieren zu können:

Der Ansatz funktioniert als Leitfaden, um DSGVO-Compliance zu erreichen und mit Risiken umzugehen. Er kann dabei helfen, engere Beziehungen zu Kunden aufzubauen und Geschäfte zu stärken.

Es ist wichtig, Ihre bestehenden Regelungen und Verfahren zu überprüfen und die notwendigen Änderungen umzusetzen.

Unter der folgenden URL können Sie einen Ihr DSGVO-Wissen mit einem kurzen Test prüfen:
survey.nextexitfuture.com/686913

 

TEILEN AUF
Pooja Mohnani
Pooja Mohnani

Research, education, training and development, Coordination of global teams, Coaching and mentoring for students, Publication of technical papers, Auditor for ISO for universities

Möchten auch Sie von den Vorteilen unseres Netzwerks profitieren?

Ja, sehr gerne Nein, danke alleine funktioniert es besser
REGISTRIEREN LOGIN NETZWERK FIT FÜR DIE DSGVO?
Hiermit akzeptiere ich die Datenschutzbedingungen*

Allgemeine Erklärung:
Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Webseite nur im technisch notwendigen Umfang erhoben. In keinem Fall werden die erhobenen Daten verkauft oder aus anderen Gründen an Dritte weitergegeben.