Die Datenschutz-Grundverordnung ist eines der Top-Themen 2018. Schliesslich wird es am 25. Mai ernst. Während viele Unternehmen mit den einschlägigen Projekten in den kommenden Wochen bereits in den Endspurt gehen, sind andere gerade noch dabei, sich mit der Bedeutung und den direkten Auswirkungen der neuen Gesetzgebung auseinanderzusetzen. Doch für sie wird die Zeit jetzt besonders knapp.
Das strukturierte Zusammenspiel der Sicherheitsdienste im Rahmen einer UTM-Lösung sorgt dafür, dass sich eventuelle Lücken bei der Netzwerksicherheit zügig und verlässlich schliessen lassen. Passgenaue Visualisierungsmöglichkeiten garantieren zudem eine schnelle Reaktionsfähigkeit und erleichtern ein spezifisches Reporting.
Der Geltungsbereich
In den Geltungsbereich der Datenschutz-Grundverordnung (DSGVO) fallen ausnahmslos alle Organisationen, welche personenbezogene Informationen von EU-Bürgern erfassen, speichern und /oder verarbeiten. Der Sitz des Unternehmens spielt dabei keine Rolle. Die Definition «personenbezogener Daten» ist gleichwohl gross gefasst. Darunter werden alle Informationen verstanden, die zur direkten oder indirekten Identifizierung von Personen herangezogen werden können – von Namen, Fotos, E-Mail-Adressen und Bankdaten über steuerliche Identifikationsnummern oder Posts in sozialen Medien bis hin zu medizinischen Informationen und sogar IP-Adressen von Computern, mit denen bestimmte Benutzerkonten oder Geräte verknüpft sind. Im Zuge dessen gibt es unterschiedliche Fallstricke zu beachten.
So besteht beispielsweise mit der DSGVO für Unternehmen die Pflicht, Datensicherheitsverletzungen innerhalb von 72 Stunden den Aufsichtsbehörden zu melden und betroffene Personen unverzüglich darüber zu informieren. Ausgenommen sind hierbei Sicherheitsverletzungen bei verschlüsselten Daten. Darüber hinaus erfordert die neue Gesetzgebung, dass von jedem Individuum bei der Erfassung seiner persönlichen Daten eine ausdrückliche Einwilligung vorliegen muss. Die generischen Zustimmungserklärungen verlieren ihre Gültigkeit.
Stattdessen müssen Unternehmen spezifische Informationen zur erfassten Datenart sowie zum Speicher- und Verarbeitungszeitraum in klarer und verständlicher Sprache bereitstellen. Der EU-Bürger muss zudem jederzeit in der Lage sein, eine gegebene Einverständniserklärung einfach zurückziehen zu können. Ebenfalls sollte auf Unternehmensseite geprüft werden, ob die Benennung eines Datenschutzbeauftragten als zentraler Ansprechpartner gegenüber den Aufsichtsbehörden sowie für alle in diesem Zusammenhang eingehenden Beschwerden und Anfragen verpflichtend wird. Die Anforderungen sind hoch – genau wie die Sanktionen, die bei Nichterfüllung im Raum stehen. Geldstrafen in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes sind durchaus kein Pappenstiel.