GlobalSign Blog

07 Sep 2017

DS-GVO-Vorschriften und was sie für Ihre Unternehmensdaten bedeuten

Für die meisten modernen Unternehmen sind Daten das wichtigste Kapital. Was geschäftliche Aktivitäten angeht, bilden Daten die Grundlage für das Forcieren von Verkauf und Marketing. Sie ermöglichen es Ihnen, in Kontakt mit Kunden zu bleiben, und Sie können damit Informationen über Ihre Belegschaft speichern. Aber es heißt ja bekanntlich auch, dass große Macht auch große Verantwortung mit sich bringt.

Der Datenschutz hat in unserem zunehmend anspruchsvolleren digitalen Zeitalter eine neue und schärfere Interpretation erlangt. Größere Anforderungen an die Unternehmens-Cybersicherheit und die neue DS-GVO-Richtlinie sind der beste Weg, um möglichen Cyber-Attacken einen Schritt voraus zu bleiben. Damit werden die einzelnen Unternehmen eindeutig in die Pflicht genommen, die personenbezogenen Daten, die sie in ihren Systemen speichern, zu schützen und verantwortungsvoll zu nutzen.

An die Alternative darf man gar nicht erst denken. Jedes Mal, wenn eine hochkarätige Datenschutzverletzung ans Licht kommt, wird deutlich, wie schnell anfällige Systeme und Protokolle ausgenutzt werden können, mit potenziell katastrophalen Ergebnissen hinsichtlich Datenmissbrauch, Betrug und Identitätsdiebstahl. Für Ihr Unternehmen bedeutet dies auch hohe Geldstrafen, Entschädigungszahlungen und Reputationsverluste.

Nehmen Sie als Beleg dafür nur den jüngsten spektakulären Angriff auf den britischen NHS, FedEx und Computersysteme in Russland, Taiwan und Indien, der von The Telegraph als ‘größter Ransomware-Angriff der Geschichte’ gemeldet wurde.

Welche Rechtsvorschriften müssen Sie einhalten?

Derzeit müssen sich alle deutschen Unternehmen nach dem Bundesdatenschutzgesetz richten. Dieses wird durch die Datenschutz-Grundverordnung (DS-GVO), ein EU-weites Gesetz, das im Mai 2018 in Kraft tritt und für alle Unternehmen in Deutschland gilt, ersetzt.

Das Prinzip hinter DS-GVO ist, einen besseren Datenschutz durch größere Verantwortung der einzelnen Unternehmen zu erreichen. Dies wird durch hohe Geldbußen für die Nichteinhaltung bis zu einem Höchstbetrag von 20 Mio. € untermauert. Unternehmen, die personenbezogene Daten erheben, speichern und/oder verwenden wollen, müssen sich bei der Datenschutzbehörde registrieren.

Was sind die wichtigsten Punkte der DS-GVO?

Unter DS-GVO sind personenbezogene Daten definiert als "alle Informationen, die genutzt werden könnten, um eine Person zu identifizieren". Dazu gehören persönliche Daten wie Namen, E-Mail-Adressen, IP-Adressen, Telefonnummern, GPS-Daten, Geburtsdaten und Gesundheitsdaten.

Kurz gesagt, die DS-GVO-Vorschrift legt fest, dass es Ihre Pflicht ist:

  • Daten geeignet und aus gutem Grund zu erheben, zu speichern und zu verwenden.

Die fraglichen Daten müssen Bestandteil eines Kundenvertrags sein, oder der Kunde muss ansonsten seine ausdrückliche Erlaubnis zur Verarbeitung seiner Daten erteilt haben.

  • Daten rechtmäßig und für festgelegte Zwecke zu nutzen.

Daten dürfen nur in einer vernünftigen und transparenten Weise verwendet werden, und es sollte eine Datenschutzrichtlinie vorhanden sein, die für den Kunden leicht zugänglich ist.

  • ausreichende, aber nicht übermäßige Datenmengen für den festgelegten Zweck zu speichern.

Speichern Sie nur so viele personenbezogene Daten über Personen, wie benötigt werden und vernichten Sie prinzipiell alle irrelevanten oder überschüssigen Daten.

  • dafür zu sorgen, dass personenbezogene Daten immer sachlich richtig und auf dem neuesten Stand gehalten werden.

Sie sollten alle angemessenen Maßnahmen treffen, um sicherzustellen, dass alle gespeicherten personenbezogenen Daten regelmäßig überprüft und aktualisiert oder gelöscht werden.

  • alle personenbezogenen Daten zu vernichten, die nicht mehr benötigt werden.

Obwohl es keine Mindest- oder Höchstdauer für die Datenspeicherung gibt, sollten Sie Maßnahmen ergreifen, um alle Daten zu vernichten, die ihren Zweck erfüllt haben.

  • alle von Ihrem Unternehmen gespeicherten personenbezogenen Daten zu schützen.

Sie müssen sicherstellen, dass strenge Verfahren und Prozesse sowie ausreichende technische Ressourcen geschaffen werden, um Daten vor der Kompromittierung zu schützen und um bereit zu sein, auf Datenschutzverletzungen zu reagieren.

  • Datenrechte der erweiterten Personen einzuhalten.

Unter DS-GVO haben Personen das Recht, unterrichtet zu werden, das Auskunftsrecht, das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruchsrecht und Rechte hinsichtlich automatisierter Entscheidungsfindung und Profiling. Unternehmen haben einen Monat Zeit, Ersuchen nachzukommen.

  • aktive Maßnahmen zu ergreifen, die Einhaltung nachzuweisen.

Durch eine Reihe von Tools zur Rechenschaftspflicht wie Datenschutzrichtlinien, Schulungen und Reviews sollten Datenschutzmaßnahmen in Unternehmensprozesse eingebaut werden.

Mit DS-GVO, die verspricht, die größte europaweite Umwälzung bei Datenschutzgesetzen seit zwei Jahrzehnten zu sein, werden Unternehmen feststellen, dass die Art und Weise, wie sie personenbezogene Daten speichern und verarbeiten, einer zunehmenden Prüfung unterliegen. Und bei riesigen Geldstrafen von bis zu 4% des jährlichen weltweiten Umsatzes, um alle Übertretungen zu sichern, sollten Sie DS-GVO nur auf eigene Gefahr ignorieren.

Über den Autor

Mike James ist ein unabhängiger Autor, Tech-Spezialist und Cybersecurity-Experte aus Brighton, UK. Seine Arbeiten werden in vielen der führenden Online- und Print-Magazine veröffentlicht und er ist ein hervorragender Autor über Ethical Hacking, Penetration Testing - und wie diese Technologien bei Unternehmen aller Formen und Größen implementiert werden können. Mike arbeitet oft mit Redscan, einem führenden Anbieter von Cybersicherheit in Großbritannien, sowie einer Reihe weiterer Unternehmen zusammen. Er schreibt auch über seltsame Diät- und Trainingsprogramme, wenn er nicht über die sehr technischen Themen schreibt!

Hinweis: Dieser Blog Artikel wurde von einem Gastautor geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die des Autors und geben nicht unbedingt die von GlobalSign wieder.

Artikel teilen

Jetzt Blog abonnieren