Home/Latest Thinking/Lückenlose DSGVO-Compliance mit Camelot

Lückenlose DSGVO-Compliance mit Camelot

Welchen Stellenwert nimmt dieses Thema in Ihrem Unternehmen ein?

Die neue Datenschutz-Grundverordnung der EU (DSGVO) hat weltweit Compliance-Auswirkungen auf alle Unternehmen, die personenbezogene Daten von Personen mit Wohnsitz in der EU verarbeiten. Unternehmen müssen mit drastischen umsatzabhängigen Strafen rechnen, wenn Sie die Vorgaben der DSGVO nicht bis Mai 2018 erfüllen. Die Uhr tickt und gerade einmal 3 % der Unternehmen in Deutschland geben an, bestmöglich auf die DSGVO-Anforderungen vorbereitet zu sein. Es ist also höchste Zeit, entsprechende Anpassungen vorzunehmen.

Welche Unternehmen und Daten sind von der DSGVO betroffen?

Die neue Verordnung gilt für alle natürlichen Personen mit Wohnsitz in der EU und regelt die Verarbeitung ihrer personenbezogenen Daten durch Datenverantwortliche und Datenverarbeiter. Die neuen Regelungen untersagen die Verarbeitung von Daten, aus denen die ethnische Herkunft, Überzeugungen (politischer und religiöser Natur), Gesundheitszustand (biometrische und genetische Daten) sowie sexuelle Orientierung hervorgehen.

Personenbezogene Daten erlauben die Identifizierung einer Person entweder direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, einer Adresse, Bankdaten, einer persönlichen Kennnummer, einer IP-Adresse usw.

Die DSGVO betrifft alle Unternehmen, die Daten von in der EU ansässigen Personen verarbeiten, unabhängig von Standort des Unternehmens. Darüber hinaus umfasst die DSGVO eine Reihe von Anforderungen, die sich sowohl an Datenverantwortliche (die personenbezogene Daten zu kommerziellen Zwecken verarbeiten, so zum Beispiel Suchmaschinen oder Online-Händler) als auch an Datenverarbeiter (die Daten im Auftrag der Datenverantwortlichen verarbeiten, so zum Beispiel Cloud-Anbieter oder Shared-Service-Center) richten.

Was bedeutet die DSGVO für Ihr Unternehmen?

In diesem Abschnitt geben wir Ihnen eine kurze Übersicht über die wichtigsten Änderungen im Zuge der Neuregelung und erläutern Ihre Auswirkungen auf Unternehmen. Die vollständige Version finden Sie im Verordnungstext.

Härtere Strafen
Die Verantwortlichkeit für die Überwachung der DSGVO-Compliance wird bei den nationalen Aufsichtsbehörden liegen. Zu diesem Zwecke sind sie autorisiert, die Daten vor Ort zu prüfen, öffentliche Warnungen auszugeben und vor allem auch finanzielle Sanktionen gegen Unternehmen zu verhängen, die die Gesetzesvorgaben nicht vollständig erfüllen. Dabei können die Geldstrafen bis zu 4 % des Jahresumsatzes der gesamten Unternehmensgruppe bzw. 20 Millionen Euro betragen, je nachdem welche Zahl höher ist. Zudem wird die Geltendmachung von zivilrechtlichen Ansprüchen aus materiellen und immateriellen Schäden vereinfacht.

Neue Verpflichtungen

1. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen:

Unternehmen müssen nachweisen, dass Datensicherheit schon in den frühen Entwicklungsphasen fester Bestandteil ihrer Produkte und Dienstleistungen ist. Die folgenden Sicherheitsmaßnahmen werden als angemessen angeführt: Pseudonymisierung der Daten oder technische Verfahren, die standardmäßig sicherstellen, dass nur die erforderlichen personenbezogenen Daten verarbeitet werden.

2. Kooperation mit den Aufsichtsbehörden:

Eine Datenverletzung muss einer Aufsichtsbehörde innerhalb von 72 Stunden angezeigt werden.

3. Anforderungen zur Aufbewahrung von internen Aufzeichnungen:

Unternehmen müssen Aufzeichnungen über die verarbeiteten personenbezogenen Informationen führen und darüber hinaus u. a. dokumentieren, zu welchem Zweck die Daten verarbeitet wurden.

4. Datenschutzbeauftragter (DSB):

Unternehmen sind zur Benennung eines DSB verpflichtet, wenn deren Kerntätigkeit in der Verarbeitung von Daten besteht, die eine systematische Überwachung von Einzelpersonen im großen Umfang oder die Verarbeitung besonderer Kategorien von Daten erfordert.

5. Datenschutz-Folgenabschätzung:

Vor der Verarbeitung personenbezogener Daten muss eine Abschätzung der Folgen der Datenverarbeitung vorgenommen werden, um hohe Datenschutzrisiken aufgrund der Verarbeitungsvorgänge zu identifizieren.

6. Zertifizierungsverfahren:

Datenschutzsiegel und -zertifikate werden eingeführt, um es Unternehmen zu ermöglichen, ihre Einhaltung der Datenschutz-Grundverordnung bei Bedarf nachzuweisen.

Welche Vorteile ergeben sich für in der EU ansässige Personen?

Die DSGVO gibt in der EU ansässigen Personen mehr Kontrolle über ihre personenbezogenen Daten. Eine Auswahl dieser Rechte stellen wir nun in diesem Abschnitt vor.

Recht auf Berichtigung
Natürliche Personen dürfen die Abänderung nichtzutreffender Daten kostenlos verlangen. Darüber hinaus müssen unvollständige, verbotene oder nicht relevante personenbezogene Daten auf Verlangen des Kunden gelöscht werden.

Recht auf Übertragbarkeit
Einer natürlichen Person steht das Recht zu, die Übertragung der eigenen personenbezogenen Daten von einem Unternehmen auf ein anderes zu verlangen. In der Welt des Datenschutzes hat es bisher keine vergleichbare Bestimmung gegeben.

Recht auf Vergessenwerden
Hat der Verantwortliche keine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten, steht einer natürlichen Person das Recht zu, die Löschung ihrer eigenen Daten zu verlangen.

Einwilligung
Die Einwilligung darf nicht mit anderen Bestimmungen verknüpft sein und kann von der betroffenen Person jederzeit widerrufen werden. Für Kinder unter 16 Jahren ist die Einwilligung der Eltern erforderlich.

Die Rechte der betroffenen Personen haben erhebliche geschäftliche und technische Auswirkungen auf Unternehmen zur Folge. So geht zum Beispiel die Mehrzahl der Unternehmen davon aus, dass die Löschung von Kundendaten eine Herausforderung darstellen wird. Dennoch räumen 60 % der Unternehmen ein, über kein System zur Löschung von personenbezogenen Daten auf Anfrage zu verfügen. Folgerichtig werden erhebliche Investitionen erforderlich sein, um neue Verfahren umzusetzen und bestehende IT-Funktionalität so anzupassen, dass DSGVO-Compliance garantiert werden kann.

Wie kann Camelot Ihr Unternehmen bei der Einhaltung von DSGVO-Vorgaben unterstützen?

Aufbauend auf über 10 Jahren Erfahrung im Informationsmanagement auf Unternehmensebene bietet Camelot professionelle Beratung rund um die Themen Datensicherheit und Datenschutz sowie Risiko und Compliance. Gemeinsam mit Camelot identifizieren und schließen Sie Lücken in Ihrer DSGVO-Compliance, um die Einhaltung der Vorgaben nachhaltig zu sichern. Unser Ansatz besteht dabei aus vier Schritten:

Abschätzung der Folgen der DSGVO für Ihr Unternehmen als Ganzes oder in einzelnen Geschäftsbereichen. Dabei werden zuallererst die Bereiche identifiziert, in denen personenbezogene Daten zum Tragen kommen. Eine Fit-Gap-Analyse untersucht dann, inwieweit diese Bereiche die DSGVO-Vorgaben einhalten. Am Ende steht ein Aktionsplan, der auf Grundlage einer Compliance-Roadmap ausgearbeitet wird.
Entwicklung von geeigneten Maßnahmen und Geschäftsanforderungen in Zusammenarbeit mit Stakeholdern aus den maßgeblichen Unternehmensbereichen, um gefundene Lücken zu schließen. So kann ein DSGVO-Blueprint erarbeitet werden, der alle Erfordernisse aus Organisations-,
Prozess-, Daten- und Technologiesicht berücksichtigt.
Umsetzung der definierten Anforderungen für Prozesse, Organisation und Technologie wie im DSGVO-Blueprint vorgesehen. So wird sichergestellt, dass Ihr Unternehmen schon vor Inkrafttreten der DSGVO umfassend vorbereitet ist.
Die Zukunftsfähigkeit der Compliance wird durch Überwachung und Supportdienstleistungen in Schlüsselbereichen sichergestellt. So wird Ihr Unternehmen in die Lage versetzt, die DSGVO-Bestimmungen auch auf lange Sicht zuverlässig einhalten zu können.

Dank dieses integrierten Ansatzes kann Camelot Prozesse, Organisation, Datenverwaltung und IT-Systeme entsprechend ausrichten und sorgt so für DSGVO-Compliance aus nur einer Hand.

Kontakt

Henrik Baumeier

Partner

Telefon:+49 621 86298-0

E-Mail:hba@camelot-mc.com