Sind Sie bereit für die neue Datenschutz-Grundverordnung der EU?

Transkript

1 Sind Sie bereit für die neue Datenschutz-Grundverordnung der EU? Finden Sie heraus, wie Sie sich auf die anstehenden Veränderungen vorbereiten können. Verlieren Sie keine Zeit! Das müssen Sie tun» Die neue Datenschutz-Grundverordnung der EU ist die Reaktion der Legislative auf den sich schnell ändernden digitalen Markt. Unternehmen haben jetzt zwei Jahre Zeit um sicherzustellen, dass ihre Datenprozesse den neuen Vorgaben entsprechen. Aufgrund der Komplexität der neuen Anforderungen werden manche Unternehmen dafür jedoch länger brauchen.

2 Was ändert sich? Die neue Datenschutz-Grundverordnung der EU sieht hohe Geldstrafen für Verstöße vor (bis zu 20 Mio. Euro oder 4 % des Umsatzes) und verpflichtet alle Unternehmen dazu, ihre Daten zu schützen. 1 Die neue Verordnung tritt 2018 in Kraft. Alle Unternehmen müssen dann Datenvorfälle innerhalb von 72 Stunden melden und ihre Maßnahmen für Sicherheit und Datenschutz kurzfristig nachweisen können. Komplexer wird es, wenn es darum geht, wie Unternehmen Daten speichern, teilen und nachverfolgen sollen. Die IT- Abteilung und die Datenschutzbeauftragten sind angehalten, die Vorgaben sorgfältig zu lesen. In der zweijährigen Übergangsphase müssen Unternehmen dafür sorgen, dass die neue Verordnung eingehalten wird. Warum die Reform? Mit der neuen Datenschutz-Grundverordnung der EU wird das Datenschutzgesetz erstmals seit 20 Jahren überholt und auf den aktuellen Stand der digitalen Technik gebracht. Verbraucher erhalten mehr Kontrolle über personenbezogene Daten. Die neue Verordnung harmonisiert die Rechtsvorschriften der 28 Mitgliedsstaaten, sodass Unternehmen sich jetzt nur noch an eine Aufsichtsbehörde wenden müssen (Artikel der Datenschutz-Grundverordnung 2 ). Das vereinfacht die Sache rechtlich, schafft einen zentralen digitalen Markt für Verbraucher und erleichtert es Unternehmen aller Größen, EU-weit Geschäfte zu tätigen 3. Wer ist betroffen? Das neue Gesetz gilt für alle Unternehmen in der EU, die mit personenbezogenen Daten von EU-Bürgern arbeiten, und zwar unabhängig vom Firmensitz. Alle Unternehmen sind für den Schutz von personenbezogenen Daten verantwortlich. Unternehmen, die auf externe Serviceanbieter für die Datenspeicherung oder Cloud-Dienste zurückgreifen, tragen nun die Mitverantwortung für die Datenschutzmaßnahmen ihrer Lieferanten. Da es sich um eine Verordnung und nicht um eine Richtlinie handelt, gilt das neue Gesetz für alle Mitgliedsstaaten und lässt nur wenig Interpretationsspielraum. Daher sollten alle Unternehmen die Veränderungen kennen und sich entsprechend vorbereiten.

3 1. Höhere Geldstrafen Die neue Datenschutz-Grundverordnung sieht hohe Geldstrafen von bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes von Unternehmen vor, je nachdem, welcher Betrag höher ist. Das ist deutlich mehr als die im Vereinigten Königreich derzeit geltende Maximalstrafe von GBP. Diese Erhöhung soll bewirken, dass Unternehmen die Handhabung ihrer Daten überdenken und Datenschutzgesetze strikter umgesetzt werden. 2. Neue Berichterstattung Unternehmen sind jetzt rechtlich dazu verpflichtet, Datenvorfälle seien sie böswillig oder versehentlich innerhalb von 72 Stunden zu melden. Sowohl die zentralen Behörden als auch alle Personen, deren personenbezogene Daten betroffen sind, müssen laut Artikel 31 2 informiert werden. Die Einhaltung der Verordnung gestaltet sich schwierig, da rein rechtlich nicht eindeutig definiert ist, was genau personenbezogene Daten sind. Hinzu kommt die Kontaktaufnahme mit zahlreichen (Neu-)Kunden, die auch nicht ganz einfach ist. Wichtig ist: Waren die Daten zum Zeitpunkt des Datenvorfalls verschlüsselt, kann davon ausgegangen werden, dass kein Datenverlust stattgefunden hat. Es ist also ratsam, alle Daten zu verschlüsseln, damit diese auch dann geschützt bleiben, wenn sie in falsche Hände geraten. Datenvorfälle in Zahlen 1,46 Mio. GBP 1,46 3,14 Mio. GBP die durchschnittlichen Kosten für ein großes Unternehmen im Falle einer Datenschutzverletzung haben sich von 2014 bis 2015 verdoppelt. 5 90% 3,14 Mio. GBP In 90 % aller großen Unternehmen kam es 2015 zu einer Verletzung der Datensicherheit waren es nur 81 %. 5

4 3. Verantwortlichkeit und Verfahren Unternehmen müssen jetzt eine überzeugende Datenschutzstrategie implementieren, die auditierbare Verfahren beinhaltet, die auch kurzfristig überprüft werden können. Größere Unternehmen benötigen einen Datenschutzbeauftragten (Artikel 35 37) 2. Des Weiteren tragen Unternehmen jetzt gemeinsam mit externen Lieferanten die Verantwortung für die Sicherheit der gehandhabten personenbezogenen Daten. Das heißt, es liegt jetzt an Ihnen sicherzustellen, dass angemessene Sicherheitsmaßnahmen ergriffen werden. Unternehmen sind daher angehalten, nicht nur die Sicherheitsrichtlinien von Dritten sorgfältig zu prüfen, sondern auch alle Daten zu verschlüsseln, bevor diese das Unternehmen verlassen. 4. Verschieben von Daten in die Cloud Speichern Unternehmen vertrauliche Daten in der Cloud, gibt es jetzt besondere Verpflichtungen für die Zusammenarbeit mit Cloud-Serviceanbietern (Artikel 26). Auch hier tragen der Eigentümer der Daten (Kunden) und der Datenverarbeiter (Cloud- Serviceanbieter) die gemeinsame Verantwortung für die Sicherheit aller Daten, die in der Cloud vorgehalten werden. Außerdem schreibt Artikel 30(2) vor, dass beide Parteien u. U. dazu verpflichtet werden können, eine Risikobewertung durchzuführen. 4 Auch dann, wenn Sie wissen, dass ihr Cloud-Serviceanbieter strikte Kontrollen zum Schutz aller Daten in der Cloud implementiert hat, gibt es immer noch eine mögliche Sicherheitslücke nämlich dann, wenn Ihre Daten Ihren Server verlassen und in die Cloud verschoben werden. Somit ist die vollständige Verschlüsselung und Zugriffssicherheit Ihrer Daten genauso wichtig wie das Teilen von Daten mit einem vertrauenswürdigen Partner. Datenvorfälle in Zahlen In 74 % aller kleinen Unternehmen kam es 2015 zu einer Verletzung der Datensicherheit waren es nur 60 %. 7 74% 7 % In 7 % waren Daten in der Cloud betroffen. 5

5 5. Risikobasierter Ansatz Der neue, risikobasierte Ansatz in Artikel 17 schreibt die Implementierung von Sicherheitsmaßnahmen vor, die dem Risiko Ihrer Daten- und Geschäftsaktivitäten entsprechen 4. Sie sollten also die Vorschriften im Detail kennen, um vorhersagen zu können, welche Vorschriften in jedem einzelnen Fall gelten. 5 Einfacher ist es, unabhängig von den durchgeführten Aktivitäten gleich alle Kundendaten zu verschlüsseln bzw. zu schützen. Das senkt das Risiko für Ihr Unternehmen erheblich. 6. Rechtliche Schritte für Bürger Bürger haben jetzt mehr Rechte und können im Falle einer Datenschutzverletzung klagen und Entschädigungsforderungen stellen. Das hat erhebliche Auswirkungen auf Kosten, sorgt für negative Presse und kann eine Rufschädigung nach sich ziehen. Unternehmen müssen jetzt alle derzeit möglichen Maßnahmen ergreifen, um sich und jegliche personenbezogene Daten zuverlässig zu schützen. Datenvorfälle in Zahlen 20 Mio. Euro 4 % des Jahresumsatzes 20 Mio. Euro bzw. 4 % des Jahresumsatzes das sind die möglichen Geldstrafen, die ein Verstoß gegen die neue Datenschutz- Grundverordnung nach sich ziehen kann. 50% 50 % der Datenvorfälle sind auf menschliche Fehler zurückzuführen. 8

6 Obwohl die neue Verordnung einige Aspekte deutlich vereinfacht, ist ihre Komplexität dennoch nicht zu verachten. Die Verschlüsselung als Sicherheitsstrategie kann dazu beitragen, diese Komplexität herabzusetzen, denn sie sorgt dafür, dass Daten auf einfache Weise geschützt werden und auch dann noch sicher sind, wenn sie in falsche Hände geraten. Die Europäische Kommission gibt Unternehmen einen ganz klaren Rat. Die neue Verordnung fördert 76 % der Europäer befürchten, dass ihre Daten in den Händen privater Unternehmen nicht ausreichend geschützt sind. 9 beispielsweise die Anonymisierung (...) Pseudonymisierung (...) und die Verschlüsselung (Codieren von Nachrichten, sodass sie nur von Berechtigten gelesen werden können), um personenbezogene Daten zu schützen. 6 Die Experten von WinMagic erteilen gerne weitere Informationen zu den Vorteilen der Verschlüsselung und empfehlen geeignete Lösungen wie die applikationsorientierte, intelligente Verschlüsselung. 1 Alle Daten und Fakten dieses Berichts stammen, falls nicht anders angegeben, von BBC/Independent. Siehe folgende Artikel: 76 % 2 Europäische Kommission, Brüssel 2012: Vorschlag zur neuen Datenschutz-Grundverordnung Pressemitteilung der Europäischen Kommission, Brüssel, 15. Dezember 2015: Einigung über die EU-Datenschutzreform der Kommission wird digitalen Binnenmarkt voranbringen 6 Factsheet der Europäischen Kommission, Brüssel, 21. Dezember 2015: Fragen und Antworten Datenschutzreform WinMagic wurde 1997 im kanadischen Toronto gegründet und ist heute in 84 Ländern rund um den Globus tätig. WinMagic bietet applikationsorientierte, intelligente Verschlüsselungslösungen sowie leistungsstarke Lösungen für die Datensicherheit an, die einfach zu bedienen und verwalten sind. SecureDoc von WinMagic schützt Daten dort, wo sie gespeichert sind. Datenverschlüsselungsrichtlinien und Richtlinien für die Schlüsselverwaltung werden im gesamten Unternehmen für alle gängigen Betriebssysteme (einschließlich Linux) eingehalten. So lässt sich eine einheitliche Verschlüsselungsstrategie für den Großteil aller Endpunkte sowie für virtualisierte und cloud-basierte IaaS-Umgebungen umsetzen. Tausende Unternehmen und staatliche Organisationen setzen auf SecureDoc, um Geschäftsrisiken zu minimieren, Datenschutzvorschriften einzuhalten und wertvolle Informationen vor unbefugtem Zugriff zu schützen. Telefon: germany@winmagic.com 7 Abteilung Business Innovation & Skills: 2015 Information Security Breaches Survey PWC ALLE WARENZEICHEN SIND EIGENTUM IHRER JEWEILIGEN INHABER.