Skip to the main content.

2 minute gelesen

Datenschutz-Grundverordnung – Fluch oder Segen?

Datenschutz-Grundverordnung – Fluch oder Segen?

Erfolgreich vorbereiten auf die Europäische Datenschutz-Grundverordnung (EU-DSGVO) & die EU-Richtlinie zur Netz- und Informationssicherheit (NIS)

2018 werden grundlegende Änderungen der EU-Gesetzgebung in Kraft treten, die nahezu jedes Unternehmen betreffen, das in oder mit der EU Geschäfte tätigt. Eines dieser Themen - die Datenschutz-Grundverordnung (DSGVO) - ist derzeit viel diskutiert in Unternehmen. Sie wird im Mai 2018 für alle verbindlich. Im Fokus der Verordnung stehen die Erhöhung des Schutzes personenbezogener Daten und das Etablieren eines europaweit einheitlichen Standards. Damit sind vor allem solche Unternehmen betroffen, die für ihren Geschäftszweck persönliche Daten von EU-Bürgern verarbeiten. Aber beispielsweise auch die Personalabteilung eines jeden Unternehmens muss sich rüsten.

Die Datenschutz-Grundverordnung (DSGVO) aktualisiert das Datenschutzgesetz und schließt die Nutzung von Social Media und anderen Online-Diensten mit ein. Sie betont ausdrücklich die Notwendigkeit einer Cyber-Sicherheit, die auf dem neuesten Stand der Technik sein muss und fordert eine Berichtspflicht bei Datenschutzverstößen. Wird die Verordnung nicht befolgt, sind sehr hohe Strafen vorgesehen.

Zeitgleich mit der Datenschutz-Grundverordnung kommt auch die Richtlinie zur Netz- und Informationssicherheit (NIS), um in allen Mitgliedsstaaten ein gemeinsames Schutzniveau gegen Cyber-Angriffe zu erreichen. Sie ist ebenfalls bis spätestens Mai 2018 in nationales Recht umzusetzen. Davon betroffen sind Unternehmen, die unerlässliche Dienste (z.B. Energie, Wasser, Ernährung Transport und ITK) bereitstellen. Mit der jüngsten Veröffentlichung der „Änderung des BSI-Kritisverordnung“ gilt das IT-Sicherheitsgesetz (ITSiG) jetzt sogar auch für die Finanz-, Gesundheits- und Logistik-Branchen.

So weit zu den Vorgaben. Die spannende Frage dabei ist: Bietet sich damit eine Chance, die eigenen Sicherheitsmaßnahmen auf den Prüfstand zu stellen, um den hohen Anforderungen gerecht zu werden, oder ist dies nur wieder eine weitere regulatorische Belastung, die Unternehmen stemmen müssen?

Auswirkungen DSGVO & NIS

  • Die Notwendigkeit ist klar und liegt in unser aller Interesse: Die persönlichen Daten der Bürger müssen besser geschützt werden, um das Vertrauen in den Einsatz von Technologie in der heutigen digitalen Gesellschaft weiter aufzubauen.
  • Aufgrund eines internen Sicherheitsvorfalls aber auch wenn ein Dienstleister (Dritter) für eine Datenpanne verantwortlich ist, kann jedes Unternehmen in der EU rechenschaftspflichtig werden. Hier wird es darauf ankommen, den Beweis für die eigene Compliance zu erbringen.
  • Die DSGVO kommt – das steht fest. Sie bietet die Gelegenheit, die bisherige Sicherheitsumgebung zu bewerten und ein zukunftsorientiertes Sicherheitsniveau aufzubauen. Damit eröffnet sich Unternehmen nicht nur die Möglichkeit, die eigenen Sicherheitsmaßnahmen zu verbessern, sondern auch die Chance, einen entscheidenden Wandel zu unterstützen, um das Vertrauen in eine digitale Gesellschaft zu stärken.

Was ist neu?

Die DSGVO ist strenger als ihre Vorgänger
  • Es besteht die Pflicht, einen Datenschutzbeauftragten zu ernennen
  • Es gibt neue Auflagen für die Meldung von Datenschutzverletzungen
  • Es besteht die Möglichkeit, sehr hohe Geldstrafen zu verhängen
Die persönlichen Rechte der EU Bürger werden ausgeweitet:
  • Das Recht, vergessen zu werden (digitale Informationen mit Personenbezug sollen nicht dauerhaft zur Verfügung stehen)
  • Das Recht auf Daten-Portabilität (Daten, die Unternehmen von Nutzern zur Verfügung gestellt werden, müssen in strukturierter und maschinenlesbarer Form zurückgegeben werden)
  • Höhere Anforderungen bei der Zustimmung zur Verwendung von personenbezogenen Daten
  • Auflage, „State-of-the-Art“ Sicherheitslösungen einzusetzen (der Markt als Orientierungshilfe und Maßstab): Beim Stand der Technik sollen sich Unternehmen am Markt orientieren. Es geht um die am Markt verfügbaren Waren, Verfahren, Einrichtungen oder Betriebsweisen, deren Umsetzung das Erreichen der jeweiligen gesetzlichen Anforderungen und IT-Sicherheitsziele am wirkungsvollsten gewährleisten kann.
Zusammenfassung:
  • Die DSGVO ist unausweichlich: Mai 2018
  • Personenbezogene Daten müssen sicher gehandhabt werden (nachweisbare organisatorische und technische „State-of-the-Art“ Maßnahmen!)

indevis kann mit seinem Portfolio und seiner großen Erfahrung Kunden bei der Umsetzung der DSGVO & NIS Compliance helfen, denn Datensicherheit ist unser Kerngeschäft.

Bildquelle: Brad Pict - adobe.stock.com


Dirk Wocke

Compliance Manager, indevis

Das könnte Sie auch interessieren:

Unternehmen in der Pflicht: Besonderes Schutzbedürfnis personenbezogener Daten gemäß DSGVO

2 minuutin luku

Unternehmen in der Pflicht: Besonderes Schutzbedürfnis personenbezogener Daten gemäß DSGVO

Seit Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) nun in der EU geltendes Recht. Unternehmen stehen deshalb in Sachen personenbezogenem Datenschutz besonders in der Pflicht. Doch noch immer haben nicht alle Unternehmen entsprechende Maßnahmen ergriffen, um die Daten vollumfänglich zu schützen.

Schritt für Schritt zu einem ISMS

2 minuutin luku

Schritt für Schritt zu einem ISMS

Die Anzahl von sensiblen Daten in Unternehmen nimmt stetig zu. Dabei wächst die IT-Sicherheit nicht immer genau so schnell mit und Daten können verloren werden. Ein ISMS kann dabei die Lösung sein, um Prozesse und Regelungen zu definieren und dadurch den Schutz der Daten zu gewährleisten.

Höchste Eisenbahn für NIS-2: Diese Maßnahmen sollten Unternehmen jetzt umsetzen

4 minuutin luku

Höchste Eisenbahn für NIS-2: Diese Maßnahmen sollten Unternehmen jetzt umsetzen

Durch die Neufassung der EU-Direktive NIS werden nicht nur die Mindestanforderungen an die Cybersicherheit, sondern auch die Anzahl der betroffenen Unternehmen deutlich erhöht. Erfahren Sie, welche 5 Maßnahmen Unternehmen jetzt ergreifen sollten, um die Anforderungen der neuen NIS-2-Richtlinie zu erfüllen und ihre Organisation gegen Cyberbedrohungen zu schützen.