Am 25.Mai 2018 tritt die EU-Datenschutzverordnung in Kraft.
Ab dem 25. Mai 2018 entfaltet die bereits im April 2016 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) der EU ihre ganze Wirkung. Ab diesem Stichtag müssen Unternehmen den Datenschutz ernst nehmen, ansonsten drohen harte Strafen in Millionenhöhe. Zwei Jahre hatten die Unternehmen Zeit, sich auf die neuen Anforderungen einzustellen. Mit dieser Verordnung geniessen Personendaten von EU-Bürgern einen besonders starken gesetzlichen Schutz.
Im Fokus: Transparenz, Aufklärung und aktives Einverständnis der Person
Bevor ein Unternehmen Daten erfasst, muss es umfassend aufklären: Zweck, Umfang und Dauer der Datenbearbeitung müssen klar kommuniziert werden. Auch die Rechte der betroffenen Person sind transparent und verständlich darzulegen. Die Einwilligung muss künftig aktiv erfolgen — blosses Schweigen gilt nicht mehr als Erlaubnis.
Zusätzlich sind Unternehmen verpflichtet, ihre Datenverarbeitungsprozesse jederzeit nachweisen zu können: Zweck, Art, Umfang und technische Massnahmen zur Risikominimierung müssen dokumentiert sein. Auf Wunsch der betroffenen Person müssen gespeicherte Daten gelöscht werden. Für viele Unternehmen heisst das: Datenstrategie von Grund auf überdenken.
- Unmissverständliche, aktive Einwilligung der Person zur Speicherung und Nutzung ihrer Daten
- „Recht auf Vergessen“
- Speicherung von personenbezogenen Daten von EU-Bürgern ausschliesslich innerhalb der EU
- Sicherheit der IT-Systeme vor ungewollten Zugriffen
- Datenschutzverstösse müssen von Unternehmen innerhalb von 72 Stunden gemeldet werden
Problem: cloudbasierte Dienste wie Dropbox, Google Drive oder ICloud.
Viele Unternehmen speichern Daten über cloudbasierte Dienste wie Google Drive, Dropbox oder iCloud. Das Problem: Dabei landen sensible Kundendaten schnell ausserhalb der EU — und das verstösst gegen die DSGVO. Ab dem 25. Mai 2018 sind Unternehmen verpflichtet, personenbezogene Daten von EU-Bürgern innerhalb der EU zu speichern und gegen fremde Zugriffe zu schützen.
Problem: Datenversand per Email
Unternehmen müssen Daten vor unerwünschten Zugriffen schützen. Beim E-Mail-Versand ist das schwierig: Daten passieren verschiedene Server weltweit, und nicht überall gilt das gleiche Schutzniveau — in den USA etwa ein deutlich niedrigeres. Die Konsequenz: verschlüsseln.
Dazu kommt, dass der Versand personenbezogener Daten per E-Mail einen Rechtfertigungsgrund nach DSGVO voraussetzt. Liegt dieser vor, muss im nächsten Schritt sichergestellt werden, dass beim Empfänger ein angemessenes Datenschutzniveau besteht. Wer das ignoriert, riskiert ab Mai 2018 empfindliche Strafen.