Suchen

DS-GVO kommt Ende 2017 Das Wichtigste zur EU-Datenschutz-Grundverordnung

| Autor: Heidemarie Schuster

Die EU-Datenschutz-Grundverordnung (DS-GVO) ist seit Dezember eine beschlossene Sache und soll ab Ende 2017 eine einheitliche Regelung schaffen, um die EU für das digitale Zeitalter zu rüsten.

Firmen zum Thema

Für Unternehmen ändert sich mit der neuen DS-GVO einiges.
Für Unternehmen ändert sich mit der neuen DS-GVO einiges.
(Bild: © XtravaganT - Fotolia)

An der DS-GVO, die Ende 2017 in Kraft tritt, ist neu, dass nun eine Verarbeitung der Daten nur nach ausdrücklicher Einwilligung geschehen darf, das „Recht auf Vergessenwerden“ und die Einführung scharfer Strafen für Unternehmen, die gegen die überarbeiteten Datenschutzregeln verstoßen.

Geldstrafen

In der neuen DS-GVO steht geschrieben, dass Firmen, die gegen die Regeln verstoßen, Strafen von bis zu vier Prozent des Jahresumsatzes drohen.

Varonis zufolge sieht die DS-GVO ein Stufensystem vor:

So können Unternehmen beispielsweise mit einer Geldstrafe von bis zu zwei Prozent ihres weltweiten erwirtschafteten Jahresumsatzes belegt werden, wenn sie es versäumen, Verarbeitungsvorgänge ordnungsgemäß zu dokumentieren (Artikel 28), die Aufsichtsbehörde und betroffene Personen über Datenschutzverletzungen zu informieren (Artikel 31 und 32) oder Datenschutz-Folgenabschätzungen durchzuführen (Artikel 33).

Ernsthaftere Verstöße ziehen laut Varonis eine Geldbuße von vier Prozent des weltweit erwirtschafteten Jahresumsatzes nach sich. Dazu gehöre die Nichteinhaltung der Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5) sowie der Bestimmungen zur Einwilligung betroffener Personen (Artikel 7). Dabei handle es sich im Grunde um Verstöße gegen die im Gesetz verankerten Privacy-by-Design-Prinzipien.

Die Regeln der DS-GVO gelten für die Verantwortlichen der Datenverarbeitung und die Auftragsverarbeiter. Das heißt, auch die Anbieter von Cloud-Dienstleistungen müssen sich an die Richtlinien der DS-GVO halten, so Varonis weiter.

Meldepflicht

Bei Verstößen gegen den Schutz personenbezogener Daten, beispielsweise durch Datenlecks oder „gehackte Daten“ müssen die Anbieter die zuständigen Behörden so schnell wie möglich informieren, so dass die Nutzer geeignete Maßnahmen ergreifen können.

Laut Varonis hat sich hier die 72-Stunden-Regelung durchgesetzt. Demnach muss laut Artikel 31 der für die Verarbeitung von Daten Verantwortliche eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde melden, sofern die Verletzung zu einem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen führt. Doch selbst wenn es sich um keine ernsthafte Datenschutzverletzung handelt, müssen Unternehmen sie intern dokumentieren.

Die DS-GVO definiert eine Datenschutzverletzung als „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob zufällig oder unrechtmäßig, oder zur unbefugten Weitergabe von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt“.

Die Betonung liegt hier auf „unbefugt“, erklärt Varonis. Nach dieser Definition handelt es sich beispielsweise auch um eine Datenschutzverletzung, wenn ein Mitarbeiter Einblick in Daten hat, die er für seine Tätigkeit nicht benötigt. Sind die Dateizugriff-Listen entsprechend aktuell und hat man rollenbasierte Zugriffskontrollen implementiert, können solche Probleme erst gar nicht auftreten.

Allein die Meldung, dass sich ein Vorfall ereignet hat, reiche Varonis zufolge bei weitem nicht aus. Ein Unternehmen müsse auch die betroffenen Datenkategorien sowie eine ungefähre Anzahl der betroffenen Personen und Datensätze melden. Dazu brauche man allerdings detaillierte Informationen darüber, was ein Hacker- oder Insiderangriff angerichtet hat. Auftragsverarbeiter hätten hier etwas mehr Spielraum: Sie müssen ihrem Auftraggeber – also dem für die Verarbeitung Verantwortlichen – „ohne unangemessene Verzögerung“ benachrichtigen.

(ID:43885513)

Über den Autor