Es herrscht eine gewisse Ähnlichkeit zwischen der J. R. R. Tolkien Trilogie "Herr der Ringe" und der Datenschutzgrundverordnung vom 25.05.2018:

Die Analogie zeichnet sich in der Wirkung der DSGVO und dem einen Ring ab. Die DSGVO – wie auch der Ring – soll Macht über etwas verüben. Und so stellt sich die Datenschutzgrundverordnung als mächtiges Instrument dar, welches sich auf viele andere auswirkt – genau wir der eine Ring aus der Tolkien-Trilogie.

Im echten Leben vereinheitlicht die europäische Datenschutzgrundverordnung die unterschiedlichen Niveaus von Datenschutzregulierungen eines jeden EU-Staates. Die DSGVO zielt darauf ab, alle Informationen zu schützen, die mit identifizierten oder identifizierbaren Personen in Verbindung gebracht werden können. Das betrifft auch persönliche Daten von EU-Bürgern außerhalb Europas.

WeLiveSecurity war im Gespräch mit dem Datenschutzbeauftragten von ESET, Tomáš Mičo, um wesentliche Aspekte für Unternehmen zu verdeutlichen. "In der Slowakei, wo das IT-Sicherheitsunternehmen ESET seinen Hauptsitz hat, haben wir gesetzlich bereits die Möglichkeit, einen Datenschutzbeauftragten zu ernennen. Für Unternehmen in Ländern mit ähnlichen gesetzlichen Voraussetzungen sollte die DSGVO kein wesentliches Hindernis darstellen." sagte Mičo.

Er erklärt weiterhin, dass bereits viele Unternehmen eine Menge Zeit und Energie in die Abbildung aller Prozesse und in die Überprüfung von Vereinbarungen nach Vorgaben von Datenschutz-Spezialisten investiert haben. Der ESET-Datenschutzbeauftragte meint: "Das in Kraft treten der Datenschutzgrundverordnung besitzt einen Dominoeffekt, da Unternehmen dieselben Prinzipien auf alle Vereinbarungen – auch die mit Drittanbietern und Subunternehmern – anwenden müssen."

Der Hauptzweck der DSGVO besteht darin, unnötige personenbezogene Datenerfassungen zu minimieren. Dazu gehören Schritte, die das Speichern nicht notwendig zu speichernder Daten verhindern sollen sowie eine Sicherung des gesamten Weges der persönlichen Daten innerhalb eines Unternehmens. Die größten Herausforderungen für Unternehmen liegen jedoch in den Anforderungen aus Privacy by Design, Privacy by Default, dem Recht auf Löschen sowie dem Recht des Vergessenwerdens und der Meldepflicht bei einem Datenschutz-Vorfall.

Globale Computer-Sicherheitsunternehmen nutzen die Gelegenheit und bieten Lösungen an, um die mit der DSGVO einhergehenden Risiken zu minimieren. Sie verkaufen beispielsweise Verschlüsselungsprogramme, Zwei-Faktor-Authentifizierung und anderes, damit Cyberkriminellen der Weg zu persönlichen Daten verwehrt bleibt. Die Datenschutzgrundverordnung sorgt per Gesetzt dafür, dass persönliche Informationen also nun noch sicherer aufbewahrt werden.

Das ist aber noch nicht alles. Obwohl Unternehmen die Cybersicherheitslösungen erfolgreich implementieren, um sicherzustellen, dass personenbezogene Daten im Unternehmen ordnungsgemäß verarbeitet und geschützt werden, müssen sie auch noch andere rechtliche Verpflichtungen einhalten. Eine ist zum Beispiel das Verfassen einer einfachen und verständlichen Erklärung, wie personenbezogene Daten im Unternehmen erhoben, gespeichert und weiterverarbeitet werden. Auf diese Weise sollen Unternehmen ihre Kunden ganz transparent über ihre neuen Rechte aus der Datenschutzgrundverordnung aufklären.

"Unternehmen müssen sicherstellen, dass sie für alle ihre Endverbraucher eine Einwilligung, einen Vertrag oder eine andere Rechtsgrundlage für die Verarbeitung aller durch die Verordnung geschützten personenbezogenen Daten haben. Mittelständige Unternehmen könnten allerdings Stunden damit verbringen, Kunden und Stakeholder rückwirkend zu kontaktieren, wenn die Datenerhebung nicht DSGVO-konform ist.", ergänzt Mičo.

Einzelpersonen haben das Recht, eine detaillierte Auflistung all ihrer personenbezogenen, verarbeiteten Daten zu verlangen. EU-Kunden können das auch von Unternehmen anfordern, deren Hauptsitz nicht in der EU liegt. Das stellt besonders alle E-Commerce-Unternehmen und Cloud-Dienste vor eine große Herausforderung. Aus diesem Grund verschickten viele Unternehmen in den letzten Wochen Newsletter über die Aktualisierung ihrer Datenschutzrichtlinie.

Nun müssen Unternehmen personenbezogene Daten für den Eigentümer jederzeit abrufbar halten – natürlich verschlüsselt, damit alles DSGVO-konform ist. "Auf diese Weise bleiben die persönlichen Daten auch dann geschützt, wenn dem Unternehmen Daten verloren gehen oder es gehackt wird", sagt Mičo. Ein weiteres Problem sieht der ESET-Datenschutzbeauftragte in der Meldepflicht, die Unternehmen dazu zwingt, Prozesse einzurichten, die sicherstellen, dass die Informationen über eine Datenschutzverletzung innerhalb von 72 Stunden nach der Entdeckung der zuständigen Datenschutzbehörde vorliegen.

Verstöße werden mit Strafzahlungen in Höhe von 2% bis 4% des Jahresumsatzes vom Unternehmen (bis 20 Mio. Euro) geahndet. Eine Umfrage der IDC ergab, dass die Regulierungsbehörden zu Beginn allerdings noch Milde walten lassen, und sich eher darauf konzentrieren, die Unternehmen bei Nichteinhaltung in die richtige Richtung zu lenken – anstatt die "DSGVO-Nicht-Konformität“ zu ahnden.

Die Zeit wird zeigen, welche Macht die Datenschutzgrundverordnung auf die EU-Gemeinschaft haben wird – oder ob man sich zukünftig im "DSGVO-Mordor" wiedersieht.

Weiterführende Informationen stellt ESET auf einer speziellen Webseite zur Datenschutzgrundverordnung bereit. Alle WeLiveSecurity-Artikel zum Thema DSGVO finden sich hier.