Auf einen Blick: Die neue EU-Datenschutzgrundverordnung (DSGVO) als Chance

Startseite / Business Insider News / Auf einen Blick: Die neue EU-Datenschutzgrundverordnung (DSGVO) als Chance

Veröffentlicht am 24.04.2018

Am 25. Mai 2018 endet die zweijährige Übergangsfrist zur Umsetzung der neuen EU-Datenschutzgrundverordnung (Verordnung (EU) 2016/679). Ab diesem Zeitpunkt können bei Nichteinhaltung der Anforderungen erhebliche Strafen von bis zu 20 Millionen EUR oder 4 Prozent des weltweiten Jahresumsatzes gegen Unternehmen verhängt werden. Datenschutz wird somit für viele Unternehmen zum Compliance-Thema.

Ziel der DSGVO ist es, den Schutz personenbezogener Daten aller EU-Bürger zu stärken und eine einheitliche Rechtsanwendung in der Europäischen Union sicherzustellen. Die DSGVO ändert grundlegende Abläufe in Zusammenhang mit der Verwaltung datenschutzrelevanter Informationen durch Organisationen. Dies bringt für die Unternehmen erhebliche Konsequenzen mit sich.

Betroffen ist jedes Unternehmen, das personenbezogene Daten sammelt, speichert und verarbeitet – sei es von seinen Mitarbeitern, Kunden oder Partnern. Der Anwendungsbereich erstreckt sich hierbei auf alle Unternehmen, die auf dem europäischen Markt tätig sind.

Dieses White Paper bietet einen Überblick über die wesentlichen Inhalte der DSGVO und liefert Handlungsansätze zur Umsetzung der Bestimmungen. Es handelt sich hierbei um keine abschließende Information.

Welche Rechte haben Betroffene, welche Pflichten die Datenverantwortlichen?

Die Grundprinzipien des Datenschutzes bleiben erhalten. Im Wesentlichen schreibt die DSGVO die bisherigen datenschutzrechtlichen Grundprinzipien fort und entwickelt diese weiter. Die Verordnung ist hierbei durch die Grundsätze der „Datenvermeidung und Datensparsamkeit“, der „Transparenz“, des „Verbots mit Erlaubnisvorbehalt“ und der „Zweckbindung“ geprägt.

In der Tabelle sind exemplarische Neuerungen im Bereich der Rechte und Pflichten aufgeführt:

Rechte der Betroffenen

Auskunft darüber, …

zu welchem Zweck Daten verarbeitet werden (bereits vor Erfassung).

welche Daten konkret gespeichert wurden (Kopie der betreffenden Daten).

Berichtigung von …

lückenhaften Daten (Vervollständigung).

fehlerhaften Daten (Korrektur).

Datenübertragung …

im gängigen, maschinenlesbaren Format.

zu einem anderen Verantwortlichen (z. B. Konkurrenzunternehmen).

Löschung, wenn …

für den Zweck der Verarbeitung die Daten nicht mehr benötigt werden.

die Einwilligung zur Datenverarbeitung widerrufen wurde.

Pflichten der Datenverantwortlichen

Verzeichnis der Verarbeitungstätigkeiten

Eine Aufstellung, welche Verfahren (mit Beschreibung) zur Datenverarbeitung eingesetzt und welche Schutzmaßnahmen getroffen werden.

Datenschutz-Folgenabschätzung bei datenschutzsensiblen Projekten

Eine systematische Aufstellung der Verarbeitungsverfahren und Bewertung entsprechend der Notwendigkeiten und Risiken.
Des Weiteren eine Beschreibung der Schutzmaßnahmen, welche die Rechte der Betroffenen sicherstellen.

Meldewesen für Verstöße innerhalb von 72 Stunden

Benachrichtigung der Aufsichtsbehörden sowie der Betroffenen über die Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden.

Zentrale Leitfragestellungen zur Erfüllung der DSGVO

Die Vorgaben der DSGVO fordern Organisationen in vielerlei Hinsicht. Die folgenden Leitfragen unterstützen dabei, individuelle Herausforderungen in Unternehmen zu identifizieren und relevante Handlungsfelder zu bestimmen.

An welchen Kontaktpunkten werden personenbezogene Daten erfasst?

Um weiterführende Fragen stellen und beantworten zu können, muss zunächst geklärt werden, welche Quellen für personenbezogene Daten in Unternehmen existieren. Eine Analyse der Prozesse in Abteilungen mit Kundenkontakt oder Beziehungen zu anderweitigen Geschäftspartnern in jeglicher Form sowie der HR sind für die Feststellung der tatsächlichen Datenerfassung von zentraler Bedeutung.

Wo liegen die Daten der Betroffenen?

Nach der Feststellung, dass personenbezogene Daten von der Organisation erfasst werden, muss geprüft werden, wo diese Daten (technisch) abgelegt werden, hierzu zählen auch Backup-Systeme. Diese Frage ist für die Erfüllung der Rechte der Betroffenen sowie eine im Schadensfall erforderliche Meldung unerlässlich.

Können die Daten jedes Betroffenen identifiziert werden?

Neben dem Wissen um den Speicherort von personenbezogenen Daten muss ein Unternehmen auch die Daten einzelnen Betroffenen zuordnen können. Ohne diese Fähigkeit ist ebenfalls keine Einhaltung der Rechte von Betroffenen möglich.

Wie werden personenbezogene Daten verarbeitet?

Der Gesetzgeber sieht vor, dass ein Verzeichnis über Verarbeitungstätigkeiten geführt wird. Dieses ist sowohl im Gesamtunternehmenskontext als auch auf Basis der Auskunftsrechte einzelner Betroffener relevant. Aus diesem Grund ist es empfehlenswert, die Verarbeitungstätigkeiten auch auf der Ebene des einzelnen Betroffenen zu protokollieren oder anderweitig ableiten zu können.

Werden Daten durch externe Dienstleister verarbeitet?

Auftragsverarbeitung wird durch die DSGVO gesondert geregelt und muss dem Betroffenen kenntlich gemacht werden. Unter externen Dienstleistern werden neben Agenturen z. B. auch „Cloud-“ oder „Software as a Service“-Lösungen (SaaS) verstanden.

Können personenbezogene Daten geändert oder gelöscht werden?

Neben der Fähigkeit, personenbezogene Daten in den unterliegenden Datenbanken zu ändern oder zu löschen, müssen auch Prozesse, welche die Informationen verarbeiten, darauf eingestellt sein, dass sich die zugrundeliegenden Angaben ändern oder löschen lassen. Hierfür ist ein Heranziehen der in der vorangegangenen Frage identifizierten Verarbeitungstätigkeiten unerlässlich.

Die DSGVO als Chance für Digitalisierung und Kostensenkung

Die vorgestellten Leitfragen zur Erfüllung der DSGVO sind für Unternehmen mit verschiedenen Digitalisierungsgraden unterschiedlich schwer zu beantworten. Die DSGVO kann somit als Gradmesser für die Digitalisierung genutzt werden.

Da hohe Strafen bei der Verletzung der DSGVO drohen, ist es für Unternehmen nicht tolerierbar, die Anforderungen der DSGVO wesentlich zu ignorieren sowie zu verletzen. Die Veränderungen, welche Firmen zur Erfüllung der Vorgaben mit Blick auf ihre Prozess- und Systemlandschaft vornehmen müssen, sind oftmals grundsätzlicher Natur. Ein Betrachten der Veränderungen – lediglich mit dem Ziel, die Mindestanforderungen der DSGVO zu erfüllen – bietet neben der Vermeidung von Strafzahlungen und Reputationsverlusten keinen bleibenden Mehrwert. Eine moderne sowie den Vorgaben der DSGVO genügende Prozess-, System- und Datenlandschaft im Unternehmen ermöglicht hingegen das Heben weiterer Potenziale wie

  • die Optimierung von Prozesslaufzeiten,
  • die Kostensenkung durch das Vereinheitlichen der genutzten Systeme und
  • den Schritt hin zu datengetriebenen Entscheidungsprozessen, gestützt durch die Rationalisierung der Datenhaltung.

Zunächst sollten implizite Prozesse dokumentiert werden. Um Kontaktpunkte zu Betroffenen zu identifizieren, muss ohnehin eine wesentliche Anzahl an Prozessen beleuchtet werden. Der Nutzen zentral dokumentierter Abläufe geht hierbei weit über die Umsetzung der DSGVO hinaus. So können beispielsweise abgeschlossene Prozessketten identifiziert und standardisiert werden.

Zentral dokumentierte & standardisierte Prozesse
Optimierte unternehmensweite Systemlandschaft

Die gewonnenen Erkenntnisse über die Prozesse lassen einen Rückschluss auf die verwendeten Systeme zu und können genutzt werden, um eine unternehmensweite Systemlandkarte zu erstellen. In der Aufstellung, welche Systeme DSGVO-relevante Daten einsetzen und ob diese als Auftragsverarbeiter anzusehen sind, ist des Weiteren die Identifikation von Optimierungsmöglichkeiten gegeben. So können beispielsweise Systeme zusammengefasst, Abhängigkeiten zu kritischen Systemen aufgedeckt oder technisch überholte Systeme identifiziert werden.

Die Herausforderungen durch die DSGVO erfordern eine enge Zusammenarbeit von IT und Business in einer Art und Weise, wie sie in Unternehmen mit hohem Digitalisierungsgrad unabdingbar ist. Diese Zusammenarbeit kann genutzt werden, um auch nach der Umsetzung der DSGVO-Anforderung das Geschäftsmodell weiter zu digitalisieren, zu modernisieren sowie zu optimieren und damit die allgemeine Wettbewerbsfähigkeit zu steigern.

Wie eingangs bereits beschrieben, müssen DSGVO-relevante Daten im Unternehmen identifiziert und verknüpft werden, sodass die Vorgaben der Verordnung erfüllt werden können. Solch eine Verknüpfung bzw. Integration kann genutzt werden, um die Daten hin zu einem „Single Point of Truth“-Ansatz zu bewegen und damit wiederum das Anwenden von Datenanalyseverfahren zur Erkennung von strategischen Chancen, besserem Verständnis der eigenen Kunden sowie der Vorbeugung von Betrug zu ermöglichen.

Modernisierung & Digitalisierung

Möchten Sie erfahren, wie bereit Ihr Unternehmen ist, die Bestimmungen der DSGVO zu erfüllen? Mit passcon haben Sie einen kompetenten Partner an Ihrer Seite, welcher Sie bei der Beantwortung dieser Frage unterstützt. Durch den Einsatz unseres DSGVO-Reifegradmodells erfahren Sie, wie gewappnet Sie gegenüber den Vorgaben der DSGVO sind. Gern unterstützen wir Sie auch bei der Umsetzung von Anpassungen, durch die Ihr Unternehmen nicht nur die regulatorischen Anforderungen erfüllen kann, sondern auch die sich mit der DSGVO bietenden Chancen wahrnehmen und somit den Unternehmenserfolg weiter steigern kann.

Julia Sarah Reimer

Manager | passcon GmbH

Mobil +49 172 4125351
Julia.Reimer@passcon.de

Eugen Gorschenin

Manager | passcon GmbH

Mobil +49 172 5796152
Eugen.Gorschenin@passcon.de

Diese Seite verwendet Cookies. Mit der Nutzung der Webseite stimmen Sie der Verwendung von Cookies und den Datenschutzbestimmungen zu.

Abbonieren Sieunsere Business-Insider-News,um den Artikel "AFC-STUDY" als PDF herunterzuladen

Abbonieren Sie
unsere Business-Insider-News,
um den Artikel "AFC-STUDY" als PDF herunterzuladen

You have Successfully Subscribed!

/***Linkedin Insight-Tag eingefügt am 12.12.2018 v. Hoffrichter i.A v. Biablas***/