Die Uhr tickt – in knapp einem Jahr treten die neuen Regelungen in Kraft
Am 25. Mai 2018 – somit in gut einem Jahr – tritt die Europäische Datenschutz-Grundverordnung ( GDPR ) in Kraft und ersetzt somit endgültig die bislang geltende EU-Datenschutzrichtlinie. Im Gegensatz zur Richtlinie ist die neue Datenschutz-Grundverordnung kein Rahmen, der in nationale Gesetzgebung umgesetzt werden soll, sondern eine unmittelbare Verpflichtung für alle Mitgliedstaaten – ein EU‐weit geltendes Gesetz, das über den nationalen Gesetzen steht. Im Vergleich zur bisherigen EU-Datenschutzrichtlinie ist die GDPR nicht nur inhaltlich weitaus umfangreicher sondern betritt auch deutlich mehr Unternehmen. Grundsätzlich unterliegt jede in Europa aktive Organisation diesem Gesetz, auch jene ohne Niederlassung in der EU, die jedoch Güter und Dienstleistungen an Personen in der EU anbieten. Somit unterliegen auch Schweizer Firmen, die ihre Produkte an Kunden mit Sitz in der EU vertreiben, dem neuen Gesetz, auch wenn sie keine Niederlassung in der europäischen Union haben.
Unternehmen nicht vorbereitet – trotz empfindlicher Geldstrafen
Eine Missachtung der neuen Vorschrift wird Unternehmen spätestens ab Mai 2018 teuer zu stehen kommen. Denn anders als bislang orientieren sich die Bußgelder nicht mehr an festgelegten Summen, sondern am weltweit erzielten Jahresumsatz – bis zu 4% kann als Bußgeld festgesetzt werden, dabei gilt schon die Nichteinhaltung der gesetzlichen Vorgaben als strafbar, selbst wenn (noch) kein Schaden entstanden ist. Die Frage, wie die Daten der Kunden verwaltet und geschützt werden, ist somit für jedes Unternehmen von essentieller Bedeutung und eine strikte Einhaltung der GDPR ist daher für Unternehmen aller Branchen überlebenswichtig.
Umso erstaunlicher ist, dass gemäß einer von der Bitkom im September 2016 veröffentlichten Umfrage, rund die Hälfte aller befragten Unternehmen die Datenschutzreform noch nicht auf dem Schirm hat. Zwar kennt gut ein Drittel die neue Verordnung , hat sich bislang jedoch noch nicht näher damit beschäftigt, während 12 % der Befragten sogar davon noch nicht einmal gehört haben.
Kein Überblick über personenbezogene Daten
Offensichtlich bereitet die konkrete Umsetzung der Vorgaben vielen Unternehmen große Probleme – dabei stellt nicht etwa die Bereitstellung der notwendigen Ressourcen und Mittel die größte Herausforderung dar. Es fehlt schlicht und ergreifend der Überblick über die im Unternehmen verarbeiteten personenbezogenen Daten. Dabei ist die in der GDPR erweiterte Definition personenbezogener Daten vielen Unternehmen noch nicht einmal bekannt: so werden zum Beispiel IP-Adressen, User IDs, GPS Daten, Cookies, MAC-Adressen und IMEI-Nummern zukünftig als personenbezogene Daten gewertet. Wo all diese Informationen im Unternehmen verarbeitet und gespeichert werden ist ohne Einsatz professioneller Werkzeuge in den wenigsten Fällen festzustellen – die Prozess- und Systemlandschaft ist zu komplex geworden und erstreckt sich zudem immer öfter auch über die Unternehmensgrenzen hinweg in Cloud-Umgebungen oder zu Geschäftspartnern. Hochsaison für Information Governance Lösungen – diese Tools helfen dabei, Daten durch ein intelligentes und automatisiertes System aufzudecken und zu ordnen, relevante Informationen zu identifizieren und aufzubewahren und unbedeutende Daten gleichzeitig rechtskonform zu beseitigen.
Damit ist es aber noch nicht getan: Unternehmen müssen sich spätestens im zweiten Schritt mit der Frage beschäftigen, wer auf die Daten zugreift und welche sowohl technischen als auch organisatorischen Vorkehrungen zu treffen sind, um ein angemessenes Schutzniveau für die Daten in allen Bereichen des Unternehmens sicherzustellen. Hochsaison für Identity & Access Governance Lösungen…
