Am 25.Mai 2018 tritt die EU-Datenschutzverordnung in Kraft.
Ab dem 25. Mai 2018 entfaltet die bereits im April 2016 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) der EU ihre ganze Wirkung. Ab diesem Stichtag müssen Unternehmen den Datenschutz ernst nehmen, ansonsten drohen harte Strafen in Millionenhöhe. Zwei Jahre hatten die Unternehmen nun Zeit sich auf die zusätzliche Bürokratie einzustellen. Mit dieser Verordnung kommt den Personendaten von EU-Bürgern ein ganz besonderer Schutz zuteil.
Im Fokus: Transparenz, Aufklärung und aktives Einverständnis der Person
Bevor Daten von Unternehmen erfasst werden, sind diese zu einer umfassenden Aufklärung verpflichtet. Zweck, Umfang und Dauer der Datenbearbeitung müssen klar kommuniziert werden. Auch der Hinweis auf die Rechte des Bürgers muss transparent und leicht verständlich sein. Die unmissverständliche Einwilligung des Kunden muss zukünftig aktiv stattfinden. Blosses Schweigen darf nicht mehr als Erlaubnis interpretiert werden.
Daneben sind Unternehmen verpflichtet, jederzeit Nachweise über ihre Datenverarbeitungsprozesse erbringen zu können. Zweck, Art, Umfang und technische Umsetzung zur Risikominimierung müssen künftig dokumentiert werden. Zudem müssen Unternehmen in der Lage sein auf Wunsch des Kunden diese Daten zu löschen. Für die meisten Unternehmen bedeutet dies, ihre Datenstrategie grundlegend zu überarbeiten.
- Unmissverständliche, aktive Einwilligung der Person zur Speicherung und Nutzung seiner Daten
- „Recht auf Vergessen“
- Speicherung von personenbezogenen Daten von EU-Bürgern ausschliesslich innerhalb der EU
- Sicherheit der IT-Systeme vor ungewollten Zugriffen
- Datenschutz- Verstösse müssen von den Unternehmen innerhalb von 72 Stunden gemeldet werden
Problem: cloudbasierte Dienste wie Dropbox, Google Drive oder ICloud.
Immer mehr Unternehmen setzen bei der Datenspeicherung auf cloudbasierte Dienste wie Google Drive, Dropbox oder ICloud. Schnell werden hierbei sensible Kundendaten ausserhalb der EU verarbeitet. Dies ist aber ein Verstoss der DSGVO. Unternehmen sind ab dem 25. Mai 2018 verpflichtet, personenbezogene Daten von EU-Bürgern innerhalb der EU zu speichern und gegen fremde Zugriffe zu schützen.
Problem: Datenversand per Email
Grundsätzlich sind Unternehmen verpflichtet, Daten vor unerwünschten Zugriffen von aussen zu schützen. Beim Email-Versand kann dies nicht immer gewährleistet werden, da die Daten über verschiedene weltweite Server gehen und länderspezifisch (bspw. USA) weniger Datenschutz besteht. Dies bedeutet beim Email-Versand: verschlüsseln!
Hinzu kommt, dass beim Versand von Daten per Email der Rechtfertigungsgrund der DSGVO greifen muss. Ist dies der Fall, dann haben Unternehmen im zweiten Schritt dafür sorge zu tragen, dass beim Empfänger ein angemessenes Datenschutzniveau vorliegt. Ansonsten drohen ab Mai 2018 harte Strafen.
