EU-Datenschutz-Grundverordnung tritt mit 24. Mai 2016 in Kraft

Dienstag, 24 Mai 2016 09:54
Written by Redaktion
font size decrease font size increase font size

Markus Robin, General Manager SEC Consult Foto: Wilke

Ohne Warm-up vom seichten Datenschutz-Niveau auf hohes EU-Level: Neues Gesetz verbindet Datenschutz mit Datensicherheit und stellt heimische Unternehmen vor organisatorische und technische Herausforderungen.

Markus Robin, General Manager SEC Consult: „Mit der EU-Datenschutz-Grundverordnung muss sich die österreichische Wirtschaft nun innerhalb von gerade einmal zwei Jahren von einem unvollständig umgesetzten Datenschutz-Niveau auf hohes EU-Level begeben – ganz ohne Warm-up. Für Unternehmen bedeutet das: Unbedingt jetzt einen Umsetzungsplan zurechtlegen und mit der Risiko-Analyse starten. Zwei Jahre sind kürzer, als man denkt – und der neue Sanktionsrahmen lässt keinen Platz für Fahrlässigkeit.“

Heute tritt die EU-Datenschutz-Grundverordnung (EU-DS-GVO) in Kraft. Ziel ist die Vereinheitlichung eines hohen Datenschutzniveaus für die gesamte Europäische Union. Betroffen sind alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten – demnach fallen auch internationale Daten-Riesen wie Google, Facebook & Co. unter die neue Regelung. Neben datenschutzrechtlichen Aspekten wie dem „Recht auf Vergessen werden“ kommt der Datensicherheit im neuen Gesetz eine tragende Rolle zu. Ab 25. Mai 2018 müssen betroffene Unternehmen sowie deren Anwendungen organisatorische und technische Schutzmaßnahmen für personenbezogene Daten vorweisen können. Bei Verstößen wird das Strafausmaß anhand der getätigten Vorbereitungen bemessen, kann jedoch bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes betragen.

Angesichts des kurzen Umsetzungszeitraums von gerade einmal zwei Jahren empfiehlt SEC Consult betroffenen Unternehmen hinsichtlich Daten- bzw. IT-Sicherheit daher:

1. Risikoanalyse starten und Umsetzungsplan zurechtlegen

Unternehmen sollten sich umgehend mit den organisatorischen und technischen Vorgaben der EU-Datenschutz-Grundverordnung befassen, um etwaige finanzielle Aufwände bereits in das kommende Budget einrechnen zu können und genügend Zeit für die Umsetzung zu haben. „An erster Stelle sollte eine umfassende Analyse stehen. Welche personenbezogenen Daten befinden sich im Unternehmen? Wie sind diese zu kategorisieren? Wie sieht die Risikosituation aus? Welche technischen Sicherheitsmaßnahmen habe ich bereits implementiert? Anhand dieser Ergebnisse lassen sich die notwendigen Handlungen ableiten“, so Markus Robin.

2. Umsetzungspartner suchen

„Der neue Sanktionsrahmen entspricht mehreren IT-Jahresbudgets – Fahrlässigkeit lässt sich nicht mehr einfach aus der Portokasse begleichen. Für eine lückenlose Umsetzung der Vorgaben sollten Unternehmen daher unbedingt juristische Partner und Sicherheitsexperten mit ins Boot holen“, rät Robin. SEC Consult selbst arbeitet hierfür eng mit Rechtsanwälten zusammen und bietet neben aussagekräftigen Risikoanalysen und Implementierungen von Sicherheitsmaßnahmen eine umfassende Beratung.

Factbox: EU-Datenschutz-Grundverordnung (EU-DS-GVO)

Ist Teil der EU-Datenschutzreform
Tritt mit 24. Mai 2016 in Kraft
Geltung mit 25. Mai 2018 (zwei Jahre Umsetzungszeitraum)
Ziel: Vereinheitlichung eines hohen Datenschutzniveaus für die gesamte Europäische Union –
„Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“
Betroffen sind alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten –

somit fallen auch internationale Größen wie Google, Facebook & Co. unter die Regelung

Unternehmen müssen organisatorische und technische Schutzmaßnahmen in den Bereichen Datenschutz und Datensicherheit nachweislich treffen und dokumentieren
Unternehmen müssen ein „risiko-angemessenes Schutzniveau“ vorweisen können
Massive Verschärfung des Sanktionsrahmens: Je nach Verstoß bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes; Strafrahmen wird jedoch an den getätigten Vorbereitungen bemessen