InfoGuard Cyber Security & Cyber Defence Blog

Keine Angst vor der General Data Protection Regulation (GDPR)

Geschrieben von Markus Limacher | 13. Jan 2017

Im Mai 2018 tritt die Datenschutz-Grundverordnung ‒ General Data Protection Regulation (GDPR) ‒ in Kraft, welche die Europäische Union 2016 beschlossen hat. Sie regelt EU-weit die einheitliche Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen. Im Vordergrund stehen dabei der Schutz der Bürger bei der Verarbeitung persönlicher Daten sowie die Gewährleistung des freien Datenverkehrs innerhalb der EU. Soweit so gut – die neuen Regelungen bieten datenschutztechnisch viele Vorteile. Unternehmen stellt sie jedoch vor grosse Herausforderungen! Unter anderem bezüglich Timing. Die Regelkonformität muss bis Mai 2018 sichergestellt sein. Mit der GDPR wird das Rad zwar nicht neu erfunden. Aber es kommen neue Regelungen hinzu und bestehende werden detaillierter gefasst. Was das für Ihr Unternehmen bedeutet, wie Sie sich rechtzeitig darauf vorbereiten können - und weshalb Sie keine Angst haben müssen, erfahren Sie hier!

Obwohl die Schweiz nicht in der EU ist, werden die neuen Richtlinien einen grossen Einfluss auf die Unternehmen haben. Die GDPR gilt für alle Unternehmen in der EU und Drittstaatunternehmen – unabhängig von Grösse und Branche. Dies betrifft nicht nur jene, die innerhalb der EU wirtschaften, sondern auch solche mit Angestellten aus der EU oder jene, die Daten aus oder in der EU verarbeiten. Es ist zudem zu erwarten, dass auch der schweizerische Gesetzgeber nachziehen wird.

Die GDPR basiert auf der derzeit gültigen EU-Datenschutzrichtlinie 95/46/EG, von welcher viele Regelungen übernommen wurden – jedoch in verschärfter Version. Herausfordernd sind nicht nur der Umfang und die hohen Anforderungen, sondern auch die Umsetzungsfrist. Bis Mai 2018 müssen alle Unternehmen die Regelkonformität sichergestellt haben.

Hier ein kurzer Auszug der wichtigsten Anforderungen:

  • Datenschutzpannen (Data Breaches) müssen innert 72 Stunden der zuständigen Datenschutzbehörde informiert werden; bei schweren Vorfällen zusätzlich die Betroffenen.

  • « Privacy by Design » und « Privacy by Default » verpflichten die Datenbearbeitenden, die Einhaltung des Datenschutzes bereits mit der Wahl ihrer Mittel und Technik sicherzustellen.

  • Datenportabilität: Dateninhaber / Betroffene können ihre Daten jederzeit in gebräuchlicher Form herausverlangen, beispielsweise für den Wechsel zu anderen Anbietern. Folglich sinken die Markteintrittsbarrieren und der Wettbewerb wird verstärkt. Betroffene haben zudem das Recht auf die Löschung sämtlicher personenbezogener Daten.

  • Die GDPR fordert, dass in «Risiko-Unternehmen» ein Datenschutzbeauftragter (ein Vertreter in der EU, falls betroffene Personen in der EU) für die Informationssicherheit verantwortlich sein muss. Fakt ist jedoch, dass spätestens beim Inkrafttreten des neuen Gesetzes die wenigsten Unternehmen ohne auskommen werden – Risiko hin oder her!

  • Anspruchsvolle Projekte erfordern vorgängig eine Datenschutz-Folgeabschätzung sowie Meldung an die Aufsichtsbehörde, soweit hohe Restrisiken verbleiben.

Dies ist nur ein Auszug des Reglementen-Katalogs. Die wenigsten der neuen Datenschutzrichtlinien sind von Unternehmen aktuell umgesetzt oder bereits im Rahmen eines BCM getestet worden.

Die GDPR als Chance

Auf den ersten Blick mögen die neuen Reglemente vor allem Nachteile mit sich bringen. Für viele Unternehmen bieten sie jedoch auch Chancen. Beispielsweise entfallen für grenzüberschreitende Tätigkeiten die nationalen Anpassungskosten, welche aktuell von Land zu Land unterschiedlich sind. Einheitliche Standards, Rechtsklarheit und Transparenz sorgen für gleich lange Spiesse in Bezug auf den Umgang mit Personendaten. Zudem verschafft die Datenportabilität kleineren Unternehmen sowie Start-Ups Vorteile, da Anbieter einfacher gewechselt werden können.

Vorbereitung ist alles. So gehen Sie vor!

Die Folgen einer Verletzung der GDPR kann Unternehmen teuer zu stehen kommen: Die EU kann Bussen von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes sowie weitere Sanktionen verhängen. Ein Schreckensszenario, welches viele Firmen aufgerüttelt hat. Grund genug also, die GDPR ernst zu nehmen! Selbst wenn Sie Ihr Unternehmen nicht gezielt betroffen sehen, ist es wichtig, sich mit Ihrer Datenschutz-Compliance auseinanderzusetzen und Ihr Management zu sensibilisieren Erfahrungsgemäss dauert eine Umsetzung bis zu zwei Jahre – beginnen Sie also lieber heute als morgen!

Mit diesen 8 Schritten bereiten Sie sich optimal auf die interne Umsetzung vor:

  1. Benennen Sie – falls noch nicht vorhanden – einen Datenschutzbeauftragten, welcher die Umsetzung des GDPR von Beginn an betreut.

  2. Unterziehen Sie Ihre Prozesse und Systeme einer periodischen Gap- & Risiko-Analyse, um Lücken zu erkennen und gezielt angehen zu können.

  3. Identifizieren Sie personenbezogene Daten und finden Sie heraus, welche Daten wo gespeichert sind und wer darauf Zugriff hat.

  4. Passen Sie anhand dieser Erkenntnisse und den neuen Datenschutzrichtlinien Ihre Prozesse an, schränken Sie den Zugriff auf sensitive Daten nach dem Need-to-Know Prinzip ein und kontrollieren Sie die Einhaltung.

  5. Testen Sie die wichtigsten Anforderungen mit Dry-Run’s: Daten-Löschung, Daten Export / Datenübertragbarkeit, Einwilligung für die Verwendung der Web-Nutzer- und Verhaltensdaten, «Incident / Breach Detection and Escalation» inkl. Reporting.

  6. Dokumentieren Sie Ihre Datenverarbeitungs-Prozesse um den Nachweis der Einhaltung des GDPR zu erbringen.

  7. Verwenden Sie Systeme zur Einhaltung der Data Governance und zur Datenverschlüsselung.

  8. Betreiben Sie laufendes Monitoring (Cyber Defence Center Services) mit angemessener Aufbewahrungsdauer der Logfiles.

 

Wenn Sie diese Schritte sorgfältig durchgehen, brauchen Sie sich trotz umfangreichem Reglementen-Katalog vor der GDPR keinesfalls zu fürchten. Trotzdem ist es ratsam, bei einer derart umfangreichen Gesetzesänderung Experten zu Rate zu ziehen. InfoGuard ist hierbei Ihr idealer Ansprechpartner. Wir begleiten Sie bei allen Schritten: von der Analyse, der Strategiedefinition, der Implementation von Netzwerk- und Sicherheitslösungen, dem laufenden Monitoring Ihrer Systeme und selbstverständlich auch bei der Kontrolle. Aufgrund unserer langjährigen und umfassenden Erfahrung in verschiedensten Branchen können wir Ihnen professionelle Leistungen bieten, auf die Sie sich verlassen können!

Nehmen Sie mit uns - ganz unverbindlich - Kontakt auf und unsere Spezialisten melden sich bei Ihnen. Wir freuen uns, Sie in Sachen GDPR zu unterstützen.

 

Besuchen Sie die (GDPR-)Fachkurse der Hochschule Luzern

  • Fachkurs GDPR – New EU Data Protection Regulation: Die neue europäische Datenschutzverordnung GDPR und ihre Auswirkungen in der Schweiz. Der Kurs richtet sich an Personen, welche über Grundkenntnisse im Bereich Recht verfügen und ein vertieftes Interesse an den regulatorischen Neuerungen im Bereich des Datenschutzes haben.

  • CAS Data Privacy Officer (DPO): Das CAS Data Privacy Officer (DPO) vermittelt die erforderlichen Fachkenntnisse zur Ausübung der Funktion des/der betrieblichen Datenschutzverantwortlichen bzw. des/der Datenschutzberatenden nach revidiertem Datenschutzgesetz der Schweiz. Die relevanten Aspekte der EU-Datenschutzgrundverordnung (DSGVO) – der General Data Protection Regulation (GDPR) 2016/679 – werden in diesem Kurs mitberücksichtigt.

 

PS: War dieser Artikel für Sie hilfreich? Wir freuen uns über Ihr Feedback und/oder Anregungen.