Datenschutz

Datenschutzgrundverordnung: Mehr Transparenz, höhere Strafen

Ein Kunde möchte von seiner Bank wissen, welche Daten von ihm dort gespeichert sind. Da kann es passieren, dass er nicht sofort eine Antwort bekommt. Denn oft sind die Daten in mehreren „Schubladen“ abgelegt.

Doch eine glasklare Transparenz ist künftig mehr denn je gefragt. Ab dem 25. Mai gelten neue verschärfte Regeln durch das EU-weite Rahmenregelwerk zum Datenschutz, die General Data Protection Regulation (GDPR). In Deutschland schlagen sich diese Regeln in der neuen Datenschutzgrundverordnung (DSGVO) nieder. Kunden erhalten mehr Rechte, Unternehmen werden stärker in die Pflicht genommen.

Wer den neuen Vorschriften nicht nachkommt, muss sich auf höhere Strafen gefasst machen: Der Höchstbetrag kann bis zu vier Prozent des Jahresumsatzes oder bis zu 20 Millionen Euro betragen. Bisher wurden Bußgelder von maximal 300.000 Euro fällig. In Deutschland wurde der Datenschutz seit jeher über das Bundesdatenschutzgesetz (BDSG) groß geschrieben, dennoch geht die DSGVO in einigen Bereichen über diese Regelung hinaus. Die wichtigsten Ziele sind Datenminimierung, Datenrichtigkeit, Datensicherheit, Integrität und Vertraulichkeit sowie die Rechenschaftspflicht.

Neuerungen der DSGVO

Die Kunden erhalten mehr Rechte. Dazu zählen:

  • Informationsrecht
  • Auskunfts- und Widerspruchsrecht
  • Recht auf Berichtigung, Löschung und Einschränkung („Recht auf Vergessen werden“)
  • Recht auf Datenübertragbarkeit

Unternehmen müssen neue Pflichten erfüllen:

  • Privacy by Design: Datenschutzkonzepte müssen standardmäßig in alle Geschäftsprozesse integriert werden
  • Neuartige Interaktionen mit Kundendiensten
  • Änderungen richtlinienbasierter Systeme in Unternehmen
  • Verpflichtung zur Ernennung eines Datenschutzbeauftragten (DSB) für Unternehmen von mehr als 250 Mitarbeitern; DSB ist verpflichtet, die jeweils nationale Aufsichtsbehörde innerhalb von 72 Stunden über Unregelmäßigkeiten zu informieren (in Deutschland: Bundesamt für Sicherheit in der Informationstechnik/ BSI)
  • Organisationen müssen einer erweiterten Meldepflicht nachkommen.

Für Deutschland sind in der DSGVO außerdem zwei Neuerungen implementiert, die im bisherigen Bundesdatenschutzgesetz (BDSG) nicht enthalten waren.

Das ist zum einen die Joint Controllership: Damit ist das Zusammenwirken zweier verantwortlicher Stellen gemeint, die unter der Festlegung eines gewissen Workflows Daten verarbeiten. Zum anderen ist für besonders risikobehaftete Datenverarbeitungen die Durchführung einer Datenschutzfolgeabschätzung (DFSA) als Assessment vorgeschrieben. Die DSFA ist ein Instrument zur Beschreibung, Bewertung und Reduzierung von Risiken für die Rechte von natürlichen Personen. Auch bei der Einführung neuer Technologien ist die DSFA notwendig und durchzuführen. Die DFSA ist kein einmaliger, sondern ein iterativer Prozess. Ergeben sich neue Risiken, die bislang nicht berücksichtigt worden sind, dann ist dies im Rahmen der DFSA zu überprüfen und anzupassen.

Die Vorteile der GDPR/DSGVO

Das Datenschutzrecht innerhalb der EU wird nunmehr für den privaten und öffentlichen Bereich vereinheitlicht. Weitere Vorteile:

  • das „Konzernprivileg“ - danach können gruppeninterne Datenweitergaben bei verbundenen Unternehmen unter weit vereinfachten Voraussetzungen erfolgen. Allerdings muss ein adäquates Datenschutzniveau gewährleistet sein (z. B. gruppeninterne Regelungen im Code of Conduct).
  • Schutz für Kinder und Jugendliche - Daten von unter 13-Jährigen dürfen nur noch mit Einwilligung der Eltern verarbeitet werden.
  • One-Stop-Shop - Betroffene können sich immer an die Behörde ihres Landes wenden, unabhängig davon, in welchem Mitgliedstaat der Datenmissbrauch passiert ist.
  • Klare Definition - was genau fällt unter personenbezogene Daten.

Empfehlung

Zwar wird eine reibungslose Umsetzung der DSGVO im Mai 2018 nicht erwartet, allerdings müssen Institute und Unternehmen nachweisen, dass sie sich bereits eingehend mit dieser Regulierung befasst haben. Bei der Umsetzung spielen nicht nur die juristische Expertise eine Rolle, sondern auch die Erfahrung in der Umsetzung von Managementsystemen sowie ein umfassendes Verständnis von Zusammenhängen zwischen Informationssicherheit und Technologie. CGI verfügt über ein umfangreiches Toolset wie etwa Data Analytics, IT und Beratung und ist gern behilflich bei der Einrichtung eines effektiven Datenschutzmanagements sowie der Dokumentation zur Einhaltung der Datenschutzanforderungen. So können Sie die datenschutzrechtliche Umsetzung gegenüber der Aufsichtsbehörde problemlos nachweisen.


Artikel empfehlen:

05.02.2018
Kategorien:
Ausgabe 20 - 2018
Risk & Compliance

Schlüsselwörter
Datenschutz
Datengrundschutzverordnung
Governance
Fraud
Geldwäsche

Aktuelles von Experten für Experten