Managed Service Provider

Noch nicht bereit!

4. Mai 2018, 13:10 Uhr | Autor: Alex Fürst / Redaktion: Axel Pomper

Die Zeit drängt! In wenigen Tag tritt die neue Datenschutzgrundverordnung der Europäischen Union in Kraft. Bis dahin müssen Unternehmen sie einhalten können – und die wenigsten sind dafür bereit.

Schon allein wegen der hohen Strafen sind Unternehmen hierzulande bestimmt gut auf die neuen Anforderungen vorbereitet, sollte man meinen – doch das ist ein Trugschluss: Denn wie die IDC-Studie „EU-Datenschutz-Grundverordnung in Deutschland – Der Countdown läuft!“ zeigt, haben bislang 44 Prozent der befragten Organisationen noch keine konkreten Maßnahmen zur Erfüllung der Anforderungen gestartet. Eigentlich unverständlich, denn die DSGVO ist keine Revolution, sondern eher eine Evolution, die viele Vorteile für Unternehmen mit sich bringt. Trotzdem beschäftigen 83 Prozent aller Umfrageteilnehmer noch keinen Datenschutzbeauftragten, der sich um alle Belange kümmern sollte. Worauf aber müssen Unternehmen denn überhaupt konkret achten?

Zentrale Herausforderung: Personenbezogene Daten

Ein zentraler Bestandteil der DSGVO ist es, den Begriff „personenbezogene Daten“ überhaupt zu definieren. Gemäß Artikel 4 fallen darunter „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] bezieht.“ Dazu gehören nicht nur diejenigen personenbezogenen Daten, die man als solche klar erkennt, sondern auch Informationen wie IP-Adresse, Kennnummer, Standortdaten oder sonstige besondere Merkmale.

Die neue DSGVO schreibt in diesen Fällen unter anderem vor, dass die Art und Menge der gespeicherten personenbezogenen Daten im Hinblick auf ihren Zweck angemessen sein müssen. Deshalb sind nur solche Daten zu speichern, die für die Verarbeitung notwendig sind. Werden Informationen für ihren ursprünglichen Verwendungszweck nicht mehr benötigt, sind sie zu löschen.

Daten löschen lassen

Rechtlich handelt es sich dabei um das „Recht auf Vergessen“. Es ermöglicht einer Person, ihre personenbezogenen Daten löschen zu lassen. Beispielsweise weil sie die ursprüngliche Einwilligung zur Datenspeicherung widerruft oder Widerspruch gegen die Verarbeitung der persönlichen Daten einlegt. Des einen Recht ist des anderen Pflicht. Denn zu löschen sind in einem solchen Fall alle Kopien, Back-ups und Links auf Daten und Kopien. Darüber hinaus umfasst die Löschung auch andere Datenspeicher wie Fotos und Papierakten, aber auch Mikrofilme, Systeme und Infrastrukturen von Partnern, auch dann, wenn diese nicht in der EU sitzen.

Ein weiterer nicht ganz unerheblicher Faktor ist die Dokumentationspflicht, die die DSGVO mit sich bringt. Denn ab Mai sind Unternehmen dazu angehalten, jegliche Verarbeitung und Verwendung von personenbezogenen Daten zu dokumentieren. Außerdem müssen sie jederzeit nachweisen können, dass sie die Datenschutzgrundsätze einhalten. In diesem Zusammenhang steht auch die Meldepflicht im Falle einer Datenschutzverletzung. Trifft dies zu, müssen Organisationen innerhalb von 72 Stunden die entsprechende Behörde einschalten. Darüber hinaus sind sie verpflichtet, alle betroffenen Personen umgehend zu informieren.

Jedes Land hat seine eigenen Gesetze

Noch komplexer wird das Ganze, weil die DSGVO den EU-Ländern einige Gestaltungsspielräume lässt. Hierzulande hat der Deutsche Bundestag beispielsweise am 27. April 2017 das „Datenschutz-Anpassungs- und Umsetzungsgesetz“ (EU DSAnpUG-EU) verabschiedet. Nach Inkrafttreten der Verordnung wird die Rechtsprechung in den einzelnen Mitgliedsländern der EU zusätzliche Anpassungen mit sich bringen.