Blog

DSGVO: Der Blick von außen

Es ist entscheidend, die einzelnen Bestandteile der DSGVO zu verstehen, um ein vollständiges Konzept zur Einhaltung der Vorschriften zu entwickeln.
Thumbnail

Im Laufe des vergangenen Jahres haben wir einen massiven Anstieg der Anfragen gesehen, wie Delphix Unternehmen helfen kann, die EU-Datenschutzgrundverordnung (DSGVO) einzuhalten. Aus gutem Grund - unabhängig davon, wo auf der Welt Ihr Unternehmen tätig ist, wenn Sie personenbezogene Daten von europäischen Bürgern halten und diese Daten verloren gehen oder kompromittiert werden, haftet Ihr Unternehmen für eine der bisher strengsten Strafen. Dies könnte erklären, warum die Mehrheit der bisherigen Anfragen von US-amerikanischen Unternehmen kam. Da wir in einer zunehmend vernetzten Welt leben, haben die meisten in den USA ansässigen Unternehmen auch europäische Kunden, was letztlich bedeutet, dass diese Unternehmen die Implikationen der DSGVO verstehen und umsetzen müssen. Wir haben lange mit US-amerikanischen Finanzunternehmen zusammengearbeitet (erst kürzlich haben wir beispielsweise einen Innovationspreis von JPMC erhalten) und die DSGVO hat für alle von ihnen höchste Priorität. Einer unserer Kunden aus dem Finanzsektor hat uns inoffiziell mitgeteilt, dass, obwohl das Europageschäft etwa 5% beträgt, die Kosten für die Einhaltung der DSGVO so hoch seien, dass man das EU-Geschäft ernsthaft überdenke.

Mit dem Wissen aus einer Vielzahl von DSGVO-Projekten, an denen wir gearbeitet haben, teilen wir in einer Reihe von Blogbeiträgen in den kommenden Wochen unsere Sicht auf die DSGVO und ihre Auswirkungen.

Zu Beginn ist es wichtig, die einzelnen Bestandteile der DSGVO zu verstehen, um Maßnahmen zur Einhaltung der Vorschriften zu entwickeln. Daher geben wir hier zunächst einen Überblick über die einzenen Bestandteile der DSGVO und vertiefen diese dann in einer Reihe von Blogbeiträgen. Es ist dabei wichtig zu verstehen, dass die Datenschutz-Grundverordnung sowohl auf Personen als auch Prozesse Bezug nimmt und aufgrund des Umfangs der Richtlinie kein Hersteller allein alle Punkte erfüllen kann. Neben einem Überblick zeigen wir den kommenden Blogbeiträgen Bereiche auf, in denen Produkte und Dienstleistungen von Delphix helfen können.

Die DSGVO im Überblick

Die DSGVO trat am 25. Mai 2018 in Kraft. Sie gilt für alle Mitgliegsstaaten der EU und für jedes Unternehmen, das in der EU Geschäfte tätigt (das sind fast alle großen Unternehmen aus den USA!).

Obwohl viele Unternehmen bereits Prozesse und Verfahren zum Datenschutz gemäß des alten Datenschutzgesetzes eingeführt haben, enthält die DSGVO eine Reihe neuer Schutzmaßnahmen für betroffene Personen aus der EU (identifizierbare natürliche Personen) und droht mit erheblichen Bußgeldern und Strafen für Datenverantwortliche und Auftragsverarbeiter.

Mit neuen Auflagen in Bezug auf die Einwilligung Betroffener, Datenanonymisierung, die Meldung von Datenschutzverletzungen, grenzüberschreitenden Datenverkehr, und die Ernennung eines Datenschutzbeauftragten, verpflichtet die DSGVO Unternehmen, die Daten von EU-Bürgern verarbeiten, dazu, eine umfassende operative Neuregelung durchzuführen.

  • Meldung von Datenschutzverletzungen: Die Datenschutz-Grundverordnung verlangt, dass sowohl die Aufsichtsbehörde als auch betroffene Personen benachrichtigt werden (mit einem Vorbehalt im Zusammenhang mit der Pseudonymisierung, aber wir kommen später dazu), wenn personenbezogene Daten bei einer Datenschutzverletzung verloren gehen.

  • Datenschutzbeauftragter: Unternehmen müssen eine neue Rolle einführen, die des "Datenschutzbeauftragten", um die DSGVO zu erfüllen - Einhaltung der Vorschriften, Zusammenarbeit mit den Behörden und Überblick über die Aktivitäten im Unternehmen im Zusammenhang mit der DSGVO.

  • Einwilligung: Die Datenschutz-Grundverordnung setzt die Einwilligung (mit einer klaren Definition, wie diese einzuholen ist) betroffener Personen voraus, bevor Unternehmen personenbezogene Daten nutzen können und ermöglicht es betroffenen Personen, diese jederzeit zu wiederrufen. 

  • Grenzüberschreitende Datenübermittlungen: Die DSGVO gestattet ausdrücklich die Übermittlung personenbezogener Daten, jedoch nur an Unternehmen / Länder, die bestimmte Bedingungen für den Schutz personenbezogener Daten erfüllen.

  • Profiling: Die DSGVO legt fest, wie die automatisierte Verarbeitung personenbezogener Daten erfolgen darf - sie legt insbesondere fest, dass Nutzer das Recht haben, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden.

  • Pseudonymisierung: Die DSGVO erkennt die Pseudonymisierung (oder Datenanonymisierung, Datenmaskierung) als akzeptables Mittel zum Schutz / zur Verarbeitung personenbezogener Daten an und fördert deren Nutzung.

Als nächstes in dieser Reihe von Blogbeiträgen werden wir hier tiefer einsteigen und aufzeigen, was es beudetet, diese Initiativen umzusetzen.

Tags