Sie sind hier: Home » Markt » Hinweise & Tipps

Gerüstet für die EU-Datenschutz-Grundverordnung


Inventarisierung sämtlicher Daten ein erster sinnvoller Schritt in Richtung Compliance
Eine Neuerung der DS-GVO besteht darin, dass Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Behörde melden müssen



Mit dem Ende der Trilog-Verhandlungen im Dezember 2015 wurde die endgültige Fassung der EU-Datenschutz-Grundverordnung (DS-GVO) verabschiedet. In der unendlichen Geschichte der kurz "DS-GVO" genannten Verordnung waren immer wieder neue Hürden aufgetaucht. Die finale Textfassung wurde dann im April endgültig vom EU-Parlament beschlossen. Die DS-GVO wird im Mai 2018 in Kraft treten. Darauf weist Varonis hin.

Die Uhr tickt also: Unternehmen bleiben noch knapp zwei Jahre, um ihre Rechenzentren auf Vordermann zu bringen. Genau genommen ist die DS-GVO seit fast einem Jahr in der nahezu finalen Version bekannt. Während dieser Zeit haben die Verhandlungsparteien allerdings noch einige wichtige Punkte diskutiert. Unternehmen, die diesen Prozess mitverfolgt haben, genießen insofern einen gewissen Vorsprung.

>> Was sind die zentralen Anforderungen der DS-GVO?
Unter den zahlreichen Anforderungen und Konzepten der DS-GVO haben wir die folgenden sechs Punkte als zentral ausgewählt:

>> Meldepflicht für Datenschutzverletzungen – Eine Neuerung der DS-GVO besteht darin, dass Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Behörde melden müssen. Die betroffenen Personen müssen zudem informiert werden, sofern der Vorfall "voraussichtlich ein hohes Risiko für [ihre] persönlichen Rechte und Freiheiten" zur Folge hat.

>> Datenschutz-Folgeabschätzungen – Vor der Verarbeitung bestimmter Daten sind Unternehmen dazu verpflichtet, die Risiken für die Privatsphäre der betroffenen Personen zu analysieren. Auch das ist eine neue Anforderung der DS-GVO.

>> Privacy by Design – Privacy-by-Design-Prinzipien spielen in den EU-Datenschutzbestimmungen seit jeher eine Rolle. Die neue Verordnung schreibt nun Prinzipien wie die Minimierung der erfassten und gespeicherten personenbezogenen Daten sowie die Einwilligung der betroffenen Personen zur Verarbeitung ihrer Daten fest.

>> Extraterritorialität – Das neue Prinzip der Extraterritorialität besagt, dass sämtliche Anforderungen der DS-GVO auch für Unternehmen ohne Niederlassung in der EU gelten, die aber Daten von EU-Bürgern verarbeiten (zum Beispiel über eine Website). Übersetzt heißt das: Die DS-GVO gilt ebenso außerhalb der EU. Das betrifft insbesondere E-Commerce- und andere cloudbasiert arbeitende Unternehmen.

>> Recht auf Vergessenwerden und auf Löschung – Die aktuelle Datenschutzrichtlinie sieht bereits seit Langem vor, dass Verbraucher die Löschung ihrer Daten verlangen können. Die DS-GVO erweitert dieses Recht auf im Internet veröffentlichte Daten. Hier geht es um das nach wie vor umstrittene Recht auf "Vergessenwerden".

>> Geldbußen – Die DS-GVO umfasst ein abgestuftes Sanktionssystem, das den Gewinn eines Unternehmens empfindlich schrumpfen lassen kann. Ernsthaftere Verstöße können mit Geldstrafen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Dazu gehört beispielsweise die Nichteinhaltung grundlegender Datenschutzprinzipien, insbesondere "Privacy by Design". Geringere – aber immer noch horrende – Geldbußen in Höhe von bis zu zwei Prozent des weltweiten Jahresumsatzes können verhängt werden, wenn Unternehmen Vorgänge nicht ordnungsgemäß dokumentieren oder die Aufsichtsbehörde und betroffene Personen nicht über eine Datenschutzverletzung informieren. Versäumnisse bei der Meldepflicht für Sicherheitsvorfälle können also durchaus kostspielig werden.

Die DS-GVO ist ein komplexes Gesetz, und dies ist bei weitem keine vollständige Liste aller wichtigen Regeln. In jedem Fall würden die meisten Rechts- und Compliance-Experten zustimmen, dass die Inventarisierung sämtlicher Daten ein erster sinnvoller Schritt in Richtung Compliance ist. Unternehmen müssen herausfinden, welche Daten wo gespeichert sind, wer darauf zugreifen kann und welche Berechtigungen erteilt wurden.

Genau das predigen wir an dieser Stelle schon lange. Im Hinblick auf die DS-GVO ist das aber nicht mehr länger nur eine gute Idee sondern eine wichtige Voraussetzung gesetzeskonform zu sein. (Varonis: ra)

eingetragen: 01.07.16
Home & Newsletterlauf: 29.07.16

Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Generationenkonflikt der IT-Security

    Unternehmen sind auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Es darf jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, braucht es einen Security-Ansatz, der Platz für Fortschritt schafft, anstatt ihn zu behindern.

  • Ist NIS-2 zu anspruchsvoll?

    Die politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und der Stärkung der Cybersicherheit noch vor der Bundestagswahl ist gescheitert. SPD, Grüne und FDP konnten sich nicht auf zentrale Punkte einigen. Damit bleibt über zwei Jahre nach der Verabschiedung der EU-Richtlinie die dringend notwendige gesetzliche Verschärfung aus. Die Umsetzungsfrist wird weiter überschritten

  • Seit 1. Januar 2025 gilt die E-Rechnungspflicht

    Stellen Sie sich vor, Ihr Unternehmen kann plötzlich Rechnungen nicht mehr rechtssicher verschicken. Verzögerte Zahlungen, rechtliche Konsequenzen und möglicherweise ein belastetes Geschäftsverhältnis könnten die Folge sein - und das alles, weil Sie die E-Rechnungspflicht ohne die richtige Software kaum einhalten können.

  • Compliance: Mehr als Datensicherheit

    Neue Regularien und Standards im Bereich Cybersicherheit sorgen dafür, dass das Thema Compliance immer stärker in den Fokus von Unternehmen rückt. Verstöße können zu hohen Bußgeldern und einem massiven Vertrauensverlust führen. Angesichts strengerer Datenschutzregulierungen wie der DSGVO und NIS-2 sowie zunehmender technischer Anforderungen müssen Unternehmen eine klare Strategie verfolgen, um sowohl gesetzliche als auch sicherheitstechnische Vorgaben einzuhalten.

  • DORA: Neue Standards für den Finanzsektor

    Nun müssen Finanzinstitute die Compliance mit der EU-DORA-Verordnung (Digital Operational Resilience Act) nachweisen. Diese Regulierung zielt darauf ab, die digitale Widerstandsfähigkeit des Finanzsektors gegen Cyber-Risiken und operative Störungen zu stärken. Dazu gehören Vorschriften und Richtlinien zu Cyber-Risikomanagement, Datensicherheit, Governance, Ausfallsicherheit und Multi-Cloud-Flexibilität.

MaRisk-Novelle umzusetzen Änderung des Telemediengesetzes

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen