DS-GVO kommt Ende 2017

Das Wichtigste zur EU-Datenschutz-Grundverordnung

| Autor: Heidemarie Schuster

Für Unternehmen ändert sich mit der neuen DS-GVO einiges.
Für Unternehmen ändert sich mit der neuen DS-GVO einiges. (Bild: © XtravaganT - Fotolia)

Die EU-Datenschutz-Grundverordnung (DS-GVO) ist seit Dezember eine beschlossene Sache und soll ab Ende 2017 eine einheitliche Regelung schaffen, um die EU für das digitale Zeitalter zu rüsten.

An der DS-GVO, die Ende 2017 in Kraft tritt, ist neu, dass nun eine Verarbeitung der Daten nur nach ausdrücklicher Einwilligung geschehen darf, das „Recht auf Vergessenwerden“ und die Einführung scharfer Strafen für Unternehmen, die gegen die überarbeiteten Datenschutzregeln verstoßen.

Geldstrafen

In der neuen DS-GVO steht geschrieben, dass Firmen, die gegen die Regeln verstoßen, Strafen von bis zu vier Prozent des Jahresumsatzes drohen.

Varonis zufolge sieht die DS-GVO ein Stufensystem vor:

So können Unternehmen beispielsweise mit einer Geldstrafe von bis zu zwei Prozent ihres weltweiten erwirtschafteten Jahresumsatzes belegt werden, wenn sie es versäumen, Verarbeitungsvorgänge ordnungsgemäß zu dokumentieren (Artikel 28), die Aufsichtsbehörde und betroffene Personen über Datenschutzverletzungen zu informieren (Artikel 31 und 32) oder Datenschutz-Folgenabschätzungen durchzuführen (Artikel 33).

Ernsthaftere Verstöße ziehen laut Varonis eine Geldbuße von vier Prozent des weltweit erwirtschafteten Jahresumsatzes nach sich. Dazu gehöre die Nichteinhaltung der Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5) sowie der Bestimmungen zur Einwilligung betroffener Personen (Artikel 7). Dabei handle es sich im Grunde um Verstöße gegen die im Gesetz verankerten Privacy-by-Design-Prinzipien.

Die Regeln der DS-GVO gelten für die Verantwortlichen der Datenverarbeitung und die Auftragsverarbeiter. Das heißt, auch die Anbieter von Cloud-Dienstleistungen müssen sich an die Richtlinien der DS-GVO halten, so Varonis weiter.

Meldepflicht

Bei Verstößen gegen den Schutz personenbezogener Daten, beispielsweise durch Datenlecks oder „gehackte Daten“ müssen die Anbieter die zuständigen Behörden so schnell wie möglich informieren, so dass die Nutzer geeignete Maßnahmen ergreifen können.

Laut Varonis hat sich hier die 72-Stunden-Regelung durchgesetzt. Demnach muss laut Artikel 31 der für die Verarbeitung von Daten Verantwortliche eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde melden, sofern die Verletzung zu einem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen führt. Doch selbst wenn es sich um keine ernsthafte Datenschutzverletzung handelt, müssen Unternehmen sie intern dokumentieren.

Die DS-GVO definiert eine Datenschutzverletzung als „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob zufällig oder unrechtmäßig, oder zur unbefugten Weitergabe von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt“.

Die Betonung liegt hier auf „unbefugt“, erklärt Varonis. Nach dieser Definition handelt es sich beispielsweise auch um eine Datenschutzverletzung, wenn ein Mitarbeiter Einblick in Daten hat, die er für seine Tätigkeit nicht benötigt. Sind die Dateizugriff-Listen entsprechend aktuell und hat man rollenbasierte Zugriffskontrollen implementiert, können solche Probleme erst gar nicht auftreten.

Allein die Meldung, dass sich ein Vorfall ereignet hat, reiche Varonis zufolge bei weitem nicht aus. Ein Unternehmen müsse auch die betroffenen Datenkategorien sowie eine ungefähre Anzahl der betroffenen Personen und Datensätze melden. Dazu brauche man allerdings detaillierte Informationen darüber, was ein Hacker- oder Insiderangriff angerichtet hat. Auftragsverarbeiter hätten hier etwas mehr Spielraum: Sie müssen ihrem Auftraggeber – also dem für die Verarbeitung Verantwortlichen – „ohne unangemessene Verzögerung“ benachrichtigen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43885513 / Recht & Sicherheit)