Wie implementiert man die Datenschutz-Grundverordnung (DSGVO)

23. Februar 2024

Lesedauer: 10 Minuten

Die Datenschutz-Grundverordnung (DSGVO), das richtungsweisende Datenschutzgesetz der Europäischen Union, trat 2018 in Kraft. Dennoch haben viele Unternehmen immer noch Schwierigkeiten, die Compliance-Anforderungen zu erfüllen, und die EU-Datenschutzbehörden zögern nicht, Strafen zu verhängen.

Selbst die größten Unternehmen der Welt müssen sich mit der DSGVO herumschlagen. Die irischen Aufsichtsbehörden belegten Meta im Jahr 2023 mit einer Geldbuße von 1,2 Milliarden EUR (Link befindet sich außerhalb von ibm.com). Die italienischen Behörden untersuchen OpenAI (Link befindet sich außerhalb von ibm.com) wegen vermuteter Verstöße und gehen sogar so weit, ChatGPT kurzzeitig zu verbieten.

Vielen Unternehmen fällt es schwer, die DSGVO-Anforderungen umzusetzen, weil das Gesetz nicht nur komplex ist, sondern auch viel Ermessensspielraum lässt. Die DSGVO enthält eine Vielzahl von Regeln für den Umgang mit personenbezogenen Daten von EU-Bürgern durch Unternehmen in und außerhalb Europas. Allerdings gibt es Unternehmen einen gewissen Spielraum bei der Umsetzung dieser Regeln.

Die Einzelheiten zu den Plänen eines Unternehmens, die DSGVO vollständig zu erfüllen, hängen von den Daten ab, die das Unternehmen sammelt, und davon, was es mit diesen Daten macht. Dennoch gibt es einige grundlegende Schritte, die alle Unternehmen bei der Umsetzung der DSGVO unternehmen können:

  • Bestandsaufnahme personenbezogener Daten
  • Identifizierung und Schutz von Daten besonderer Kategorien 
  • Prüfung von Datenverarbeitungsaktivitäten
  • Aktualisierung der Einverständniserklärungen der Benutzer
  • Erstellen eines Systems zur Datenaufzeichnung
  • Benennen von Compliance-Leads
  • Entwurf einer Datenschutzrichtlinie
  • Sicherstellen, dass Drittpartner die Vorschriften einhalten
  • Aufbau eines Prozesses für Datenschutz-Folgenabschätzungen
  • Implementieren eines Reaktionsplans für Datenschutzverletzungen
  • Erleichterung für betroffene Personen, ihre Rechte auszuüben
  • Bereitstellung von Sicherheitsmaßnahmen

Muss ich die DSGVO implementieren?

Die DSGVO gilt für alle Organisationen, die personenbezogene Daten von in Europa ansässigen Personen verarbeiten, unabhängig davon, wo diese Organisation ansässig ist. Angesichts der vernetzten und internationalen Natur der digitalen Wirtschaft sind heutzutage viele – vielleicht sogar die meisten – Unternehmen davon betroffen. Auch Unternehmen, die nicht in den Geltungsbereich der DSGVO fallen, können die Anforderungen zur Stärkung des Datenschutzes übernehmen.

Genauer gesagt gilt die DSGVO für alle Datenverantwortlichen und Datenverarbeiter mit Sitz im Europäischen Wirtschaftsraum (EWR). Der EWR umfasst alle 27 EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen. 

Ein Datenverantwortlicher ist jede Art von Organisation, Gruppe oder Person, die personenbezogene Daten erfasst und bestimmt, wie diese verwendet werden. Stellen Sie sich einen Online-Händler vor, der die E-Mail-Adressen seiner Kunden speichert, um Bestellaktualisierungen zu senden.

Ein Datenverarbeiter ist jede Organisation oder Gruppe, die Datenverarbeitungsaktivitäten durchführt. Die DSGVO definiert „Verarbeitung“ im weitesten Sinne als jede Handlung, die an Daten vorgenommen wird: Speichern, Analysieren, Ändern usw. Zu den Datenverarbeitern gehören Dritte, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten, wie z. B. ein Marketingunternehmen, das Benutzerdaten analysiert, um einem Unternehmen dabei zu helfen, wichtige demografische Kundendaten zu verstehen.

Die DSGVO gilt auch für Verantwortliche und Auftragsverarbeiter, die sich außerhalb des EWR befinden, wenn sie mindestens eine der folgenden Bedingungen erfüllen: 

  • Das Unternehmen bietet regelmäßig Waren und Dienstleistungen für im EWR ansässige Personen an, auch wenn kein Geld den Besitzer wechselt.
  • Das Unternehmen überwacht regelmäßig die Aktivitäten der im EWR ansässigen Personen, z. B. durch die Verwendung von Tracking-Cookies. 
  • Das Unternehmen verarbeitet personenbezogene Daten im Auftrag von Verantwortlichen im EWR. 
  • Das Unternehmen beschäftigt Mitarbeiter im EWR.

Es gibt noch ein paar weitere Dinge, die Sie zum Geltungsbereich der DSGVO beachten sollten. Erstens geht es nur um die personenbezogenen Daten natürlicher Personen, die im Sprachgebrauch der DSGVO auch als betroffene Personen bezeichnet werden. Eine natürliche Person ist ein lebender Mensch. Die DSGVO bietet keinen Schutz für die Daten juristischer Personen, wie Unternehmen, oder von Verstorbenen.

Zweitens muss eine Person kein EU-Bürger sein, um den Schutz der DSGVO zu genießen. Sie muss lediglich ihren formellen Wohnsitz im EWR haben.

Schließlich gilt die DSGVO für die Verarbeitung personenbezogener Daten aus nahezu allen Gründen: kommerziell, akademisch, staatlich und anderweitig. Unternehmen, Krankenhäuser, Schulen und Behörden unterliegen alle der DSGVO. Die einzigen Datenverarbeitungsvorgänge, die von der DSGVO ausgenommen sind, umfassen Tätigkeiten im Bereich der nationalen Sicherheit und der Strafverfolgung sowie die rein persönliche Verwendung von Daten.

Schritte zur Implementierung der DSGVO

Es gibt keinen einheitlichen DSGVO-Compliance-Plan, aber es gibt einige grundlegende Praktiken, die Unternehmen bei der Umsetzung der DSGVO leiten können.

Eine Liste der wichtigsten DSGVO-Anforderungen finden Sie in der Checkliste zur DSGVO-Konformität

Bestandsaufnahme personenbezogener Daten

Obwohl die DSGVO nicht ausdrücklich einen Datenbestand vorschreibt, beginnen viele Unternehmen aus zwei Gründen genau damit. Zunächst einmal hilft es dem Unternehmen, seine Verpflichtungen im Bereich der Compliance besser zu verstehen, wenn es weiß, über welche Daten es verfügt und wie diese verarbeitet werden. Zum Beispiel benötigt ein Unternehmen, das Gesundheitsdaten von Benutzern sammelt, stärkere Schutzmaßnahmen als ein Unternehmen, das nur E-Mail-Adressen erfasst.

Zweitens erleichtert eine umfassende Bestandsaufnahme die Erfüllung von Benutzeranfragen zur Weitergabe, Aktualisierung oder Löschung ihrer Daten. 

Bei einer Dateninventarisierung können Details erfasst werden wie:

  • Arten der gesammelten Daten (Benutzernamen, Browserdaten)
  • Datenpopulationen (Kunden, Mitarbeiter, Studenten)
  • Wie Daten gesammelt werden (Event-Registrierungen, Landingpages)
  • Wo Daten gespeichert werden (On-Premises-Server, Cloud-Services)
  • Zweck der Datenerhebung (Marketingkampagnen, Verhaltensanalysen)
  • Wie Daten verarbeitet werden (automatisches Scoring, Aggregation)
  • Wer Zugriff auf die Daten hat (Mitarbeiter, Lieferanten)
  • Vorhandene Sicherheitsvorkehrungen (Verschlüsselung, Multi-Faktor-Authentifizierung

Es kann schwierig sein, personenbezogene Daten aufzuspüren, die über das Netzwerk des Unternehmens in verschiedenen Workflows, Datenbanken, Endpunkten und sogar Schatten-IT-Assets verstreut sind. Um die Verwaltung von Datenbeständen zu erleichtern, können Unternehmen den Einsatz von Datenschutzlösungen in Betracht ziehen, die Daten automatisch erkennen und klassifizieren. 

Erfahren Sie, wie IBM Guardium® Data Protection automatisch sensible Daten in wichtigen Repositorys wie AWS, DBaaS und lokalen Mainframes erkennt, klassifiziert und schützt.

Identifizierung und Schutz von Daten besonderer Kategorien 

Bei der Inventarisierung von Daten sollten Organisationen alle besonders sensiblen Daten notieren, die zusätzlichen Schutz erfordern. Die DSGVO schreibt insbesondere für drei Arten von Daten zusätzliche Vorsichtsmaßnahmen vor: Daten der besonderen Kategorie, Daten über strafrechtliche Verurteilungen und Daten über Kinder.

  • Zu den Daten der besonderen Kategorie gehören biometrische Informationen, Gesundheitsdaten, Rasse, ethnische Zugehörigkeit und andere sehr persönliche Informationen. Unternehmen benötigen in der Regel die ausdrückliche Zustimmung eines Benutzers, um Daten besonderer Kategorien zu verarbeiten. 
  • Daten über strafrechtliche Verurteilungen können nur von öffentlichen Behörden kontrolliert und auf deren Anweisung verarbeitet werden. 
  • Die Daten über Kinder dürfen nicht ohne Zustimmung der Eltern verarbeitet werden, und Organisationen benötigen Mechanismen, um das Alter der betroffenen Personen und die Identität ihrer Eltern zu überprüfen. Jeder EWR-Staat legt seine eigene Definition von „Kind“ im Rahmen der DSGVO fest. Die Schwellenwerte reichen von unter 13 bis unter 16 Jahren. Unternehmen müssen auf die Einhaltung dieser unterschiedlichen Definitionen vorbereitet sein. 

Prüfung der Datenverarbeitungsaktivitäten 

Während der Dateninventur dokumentieren Unternehmen alle Verarbeitungsvorgänge, die die Daten durchlaufen. Anschließend müssen sie sicherstellen, dass diese Vorgänge den Verarbeitungsregeln der DSGVO entsprechen. Zu den wichtigsten Grundsätzen der DSGVO gehören die folgenden:

  • Jede Verarbeitung muss auf einer festgelegten Rechtsgrundlage erfolgen: Eine Datenverarbeitung ist nur zulässig, wenn eine genehmigte Rechtsgrundlage für diese Verarbeitung vorliegt. Zu den üblichen Rechtsgrundlagen gehören die Einholung der Zustimmung des Benutzers, die Verarbeitung von Daten zur Ausführung eines Vertrags mit dem Benutzer und die Verarbeitung von Daten im öffentlichen Interesse. Unternehmen müssen vor Beginn jedes Verarbeitungsvorgangs die Rechtsgrundlage dokumentieren.

Eine vollständige Liste der genehmigten Rechtsgrundlagen finden Sie auf der Seite zur Einhaltung der DSGVO.

  • Zweckbindung: Daten sollten für einen konkret definierten Zweck erfasst und verwendet werden. 
  • Datenminimierung: Unternehmen sollten die Mindestmenge an Daten erfassen, die für ihren angegebenen Zweck erforderlich ist. 
  • Korrektheit: Unternehmen sollten sicherstellen, dass die von ihnen erhobenen Daten korrekt und aktuell sind. 
  • Speicherbegrenzung: Unternehmen sollten Daten sicher entsorgen, sobald ihr Zweck erfüllt ist. 

Eine vollständige Liste der DSGVO-Verarbeitungsgrundsätze finden Sie in der Checkliste für die Einhaltung der DSGVO-Vorschriften.

Aktualisierung der Einverständniserklärungen der Benutzer

Die Einwilligung des Nutzers ist eine gängige Rechtsgrundlage für die Verarbeitung. Gleichzeitig ist die Einwilligung nach der DSGVO nur gültig, wenn sie informiert, bestätigend und freiwillig erteilt wird. Unternehmen müssen möglicherweise ihre Einwilligungsformulare aktualisieren, um diese Anforderungen zu erfüllen.

  • Um sicherzustellen, dass die Zustimmung informiert ist, sollte das Unternehmen zum Zeitpunkt der Erfassung der Daten klar erklären, welche Daten erfasst werden und wie diese Daten verwendet werden.
  • Um sicherzustellen, dass die Zustimmung positiv ist, sollten Unternehmen einen Opt-in-Ansatz verfolgen, bei dem Benutzer aktiv ein Kästchen ankreuzen oder eine Erklärung unterzeichnen müssen, um ihre Zustimmung zu signalisieren. Zustimmungen können auch nicht gebündelt werden. Benutzer müssen jeder Verarbeitungstätigkeit einzeln zustimmen.
  • Um sicherzustellen, dass die Zustimmung freiwillig ist, können Unternehmen die Zustimmung nur für Datenverarbeitungsaktivitäten verlangen, die für einen Dienst wirklich wesentlich sind. Mit anderen Worten, ein Unternehmen kann die Nutzer nicht zwingen, ihre politischen Meinungen preiszugeben, um ein T-Shirt zu kaufen. Die Nutzer müssen die Zustimmung jederzeit widerrufen können.

Erstellen eines Systems zur Datenaufzeichnung 

Organisationen mit mehr als 250 Mitarbeitern und Unternehmen jeder Größe, die regelmäßig Daten verarbeiten oder mit risikoreichen Daten umgehen, müssen schriftliche elektronische Aufzeichnungen über ihre Verarbeitungsaktivitäten führen. 

Allerdings möchten möglicherweise alle Unternehmen solche Aufzeichnungen führen. Dies hilft nicht nur bei der Nachverfolgung von Datenschutz- und Sicherheitsbemühungen, sondern kann auch die Einhaltung von Vorschriften nachweisen, wenn es zu einer Prüfung oder einem Verstoß kommt. Unternehmen können Strafen abmildern oder vermeiden, wenn sie nachweisen können, dass sie sich nach bestem Wissen und Gewissen um die Einhaltung der Vorschriften bemüht haben.

Datenverantwortliche sollten besonders solide Aufzeichnungen führen, da sie laut DSGVO für die Einhaltung der Vorschriften durch ihre Partner und Lieferanten verantwortlich sind. 

Benennen von Compliance-Leads für die DSGVO

Alle Behörden und Unternehmen, die regelmäßig Daten der besonderen Kategorie verarbeiten oder Personen in großem Umfang überwachen, müssen einen Datenschutzbeauftragten (DSB) ernennen. Ein DSB ist ein unabhängiger Unternehmensbeauftragter, der für die Einhaltung der DSGVO verantwortlich ist. Zu den üblichen Aufgaben gehören die Überwachung von Risikobewertungen, die Schulung von Mitarbeitern in Datenschutzgrundsätzen und die Zusammenarbeit mit Regierungsbehörden.

Obwohl nur einige Unternehmen dazu verpflichtet sind, einen Datenschutzbeauftragten zu ernennen, sollten es alle in Betracht ziehen. Durch die Benennung eines Datenschutzbeauftragten für die DSGVO lässt sich die Umsetzung vereinfachen.

Datenschutzbeauftragte können Mitarbeiter eines Unternehmens oder externe Berater sein, die ihre Dienste auf Vertragsbasis anbieten. Datenschutzbeauftragte berichten direkt an die höchste Führungsebene. Das Unternehmen darf einen Datenschutzbeauftragten nicht dafür bestrafen, dass er seine Pflichten erfüllt. 

Unternehmen außerhalb des EWR müssen einen Vertreter innerhalb des EWR ernennen, wenn sie regelmäßig Daten von EWR-Bürgern verarbeiten oder besonders sensible Daten verarbeiten. Die Hauptaufgabe des EWR-Vertreters besteht darin, sich im Namen des Unternehmens während der Untersuchungen mit den Datenschutzbehörden abzustimmen. Der Vertreter kann ein Mitarbeiter, ein verbundenes Unternehmen oder ein externer Dienstleister sein. 

Der DSB und der EWR-Vertreter sind unterschiedliche Rollen mit unterschiedlichen Zuständigkeiten. Insbesondere handelt der Vertreter auf Anweisung des Unternehmens, während der Datenschutzbeauftragte ein unabhängiger Beauftragter sein muss. Ein Unternehmen kann nicht ein und dieselbe Partei (Link befindet sich außerhalb von ibm.com) sowohl zum Datenschutzbeauftragten als auch zum EWR-Vertreter benennen.

Wenn ein Unternehmen in mehreren EWR-Staaten tätig ist, muss es eine federführende Aufsichtsbehörde benennen. Die federführende Aufsichtsbehörde ist die zentrale Datenschutzbehörde (DSB), die die Einhaltung der DSGVO für dieses Unternehmen in ganz Europa überwacht. 

In der Regel ist die federführende Aufsichtsbehörde die Datenschutzbehörde in dem Mitgliedstaat, in dem das Unternehmen seinen Hauptsitz hat oder seine Kernverarbeitungstätigkeiten durchführt. 

Entwurf einer Datenschutzrichtlinie 

Die DSGVO verlangt, dass Unternehmen die Menschen darüber informieren, wie sie ihre Daten verwenden. Unternehmen können diese Anforderung erfüllen, indem sie Datenschutzrichtlinien erstellen, die ihre Verarbeitungsvorgänge klar beschreiben, einschließlich der vom Unternehmen erfassten Daten, Aufbewahrungs- und Löschrichtlinien, Benutzerrechte und anderer relevanter Details.

Datenschutzrichtlinien sollten in einer einfachen Sprache formuliert sein, die jeder verstehen kann. Das Verstecken wichtiger Informationen hinter Fachjargon kann gegen die DSGVO verstoßen. Organisationen können sicherstellen, dass Benutzer ihre Richtlinien sehen, indem sie Datenschutzhinweise zum Zeitpunkt der Datenerfassung bereitstellen. Unternehmen können ihre Datenschutzrichtlinien auch auf öffentlichen, leicht auffindbaren Seiten ihrer Websites bereitstellen. 

Sicherstellen, dass Drittpartner die Vorschriften einhalten 

Die Datenverantwortlichen sind letztendlich für die von ihnen erfassten personenbezogenen Daten verantwortlich, einschließlich der Art und Weise, wie ihre Datenverarbeiter, Anbieter und andere Dritte diese Daten verwenden. Wenn Partner die Vorschriften nicht einhalten, können die Datenverantwortlichen bestraft werden. 

Unternehmen sollten ihre Verträge mit Dritten, die Zugriff auf ihre Daten haben, überprüfen. Diese Verträge sollten die Rechte und Pflichten aller Parteien in Bezug auf die DSGVO in rechtlich verbindlicher Weise klar darlegen.

Wenn ein Unternehmen mit Auftragsverarbeitern außerhalb des EWR zusammenarbeitet, müssen diese Datenverarbeiter dennoch die Anforderungen der DSGVO erfüllen. Tatsächlich unterliegen Datenübertragungen außerhalb des EWR strengen Standards. Datenverantwortliche im EWR können Daten nur dann an Datenverarbeiter außerhalb des EWR weitergeben, wenn eines der folgenden Kriterien erfüllt ist:

  • Die Europäische Kommission hat die Datenschutzgesetze des Landes als angemessen erachtet
  • Die Europäische Kommission hat festgestellt, dass der Datenverarbeiter über einen ausreichenden Datenschutz verfügt
  • Der Datenverantwortliche hat Maßnahmen ergriffen, um sicherzustellen, dass die Daten geschützt sind

Eine Möglichkeit, um sicherzustellen, dass alle Partnerschaften und Datenübertragungen mit der DSGVO übereinstimmen, ist die Verwendung von Standardvertragsklauseln. Diese vorformulierten Klauseln wurden von der Europäischen Kommission vorab genehmigt und können von jedem Unternehmen frei verwendet werden. Durch die Aufnahme dieser Klauseln in einen Vertrag wird dieser DSGVO-konform, vorausgesetzt, jede Partei hält sich daran. Weitere Informationen zu Standardvertragsklauseln finden Sie auf der Website der Europäischen Kommission (Link befindet sich außerhalb von ibm.com).

Aufbau eines Prozesses für Datenschutz-Folgenabschätzungen

Die DSGVO verpflichtet Unternehmen dazu, vor jeder Verarbeitung mit hohem Risiko eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Die DSGVO nennt zwar einige Beispiele – Nutzung neuer Technologien, groß angelegte Verarbeitung sensibler Daten – führt jedoch nicht alle Aktivitäten mit hohem Risiko erschöpfend auf.

Unternehmen sollten vor jeder neuen Verarbeitung eine Datenschutz-Folgenabschätzung durchführen, um auf der sicheren Seite zu sein. Andere können eine vereinfachte Vorabprüfung durchführen, um festzustellen, ob das Risiko hoch genug ist, um eine Datenschutz-Folgenabschätzung zu rechtfertigen.

Eine Datenschutz-Folgenabschätzung muss mindestens die Verarbeitung und ihren Zweck beschreiben, die Notwendigkeit der Verarbeitung bewerten, Risiken für die betroffenen Personen bewerten und Maßnahmen zur Risikominderung aufzeigen. Wenn das Risiko nach der Risikominderung weiterhin hoch ist, muss das Unternehmen eine Datenschutzbehörde konsultieren, bevor es fortfährt. 

Erfahren Sie, wie IBM Guardium® Insights mit vorkonfigurierten Workflows für die DSGVO, den CCPA und andere wichtige Vorschriften dazu beitragen kann, die Compliance-Berichterstattung zu optimieren.

Implementieren eines Reaktionsplans für Datenschutzverletzungen 

Die Unternehmen müssen die meisten Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden an eine Aufsichtsbehörde melden. Wenn die Datenschutzverletzung ein Risiko für die betroffenen Personen darstellt, wie z. B. Identitätsdiebstahl, muss das Unternehmen auch die betroffenen Personen benachrichtigen. Benachrichtigungen müssen direkt an die Opfer gesendet werden, es sei denn, dies ist nicht möglich. In diesem Fall genügt eine öffentliche Bekanntmachung.

Unternehmen benötigen effektive Notfallpläne, mit denen laufende Verstöße schnell identifiziert, Bedrohungen beseitigt und Behörden benachrichtigt werden können. Notfallpläne sollten Tools und Taktiken zur Systemwiederherstellung und Wiederherstellung der Informationssicherheit enthalten. Je schneller ein Unternehmen die Kontrolle wiedererlangt, desto weniger ist es wahrscheinlich, dass es schwerwiegende behördliche Maßnahmen erleidet.

Unternehmen können diese Gelegenheit auch nutzen, um ihre Datensicherheitsmaßnahmen zu verstärken. Wenn ein Verstoß den Benutzern wahrscheinlich keinen Schaden zufügt – zum Beispiel, wenn die gestohlenen Daten so stark verschlüsselt sind, dass Hacker sie nicht nutzen können –, muss das Unternehmen die betroffenen Personen nicht benachrichtigen. Dies kann dazu beitragen, den Ruf- und Umsatzschaden zu vermeiden, der auf eine Datenschutzverletzung folgen kann.

Erleichterung für betroffene Personen, ihre Rechte auszuüben 

Die DSGVO gewährt den betroffenen Personen das Recht, darüber zu entscheiden, wie Unternehmen ihre Daten verwenden. Zum Beispiel ermöglicht das Recht auf Berichtigung den Benutzern, ungenaue oder veraltete Daten zu korrigieren. Das Recht auf Löschung ermöglicht es Benutzern, ihre Daten löschen zu lassen.

Im Allgemeinen müssen Unternehmen den Anfragen betroffener Personen innerhalb von 30 Tagen nachkommen. Um Anfragen besser verwalten zu können, können Unternehmen Selbstbedienungsportale einrichten, über die die Betroffenen auf ihre Daten zugreifen, Änderungen vornehmen und deren Nutzung einschränken können. Die Portale sollten eine Möglichkeit zur Überprüfung der Identität der betroffenen Personen enthalten. Die DSGVO verpflichtet Unternehmen dazu, die Identität von Antragstellern zu überprüfen.

Automatisierte Entscheidungsfindung und Profilerstellung 

Betroffene Personen haben hinsichtlich der automatisierten Verarbeitung besondere Rechte. Insbesondere dürfen Unternehmen die Automatisierung nicht verwenden, um wichtige Entscheidungen ohne die Zustimmung des Benutzers zu treffen. Benutzer haben das Recht, automatisierte Entscheidungen anzufechten und zu verlangen, dass ein Mensch die Entscheidung überprüft. 

Unternehmen können Selbstbedienungsportale nutzen, um betroffenen Personen die Möglichkeit zu geben, automatisierte Entscheidungen anzufechten. Unternehmen müssen auch bereit sein, bei Bedarf menschliche Prüfer einzusetzen. 

Datenübertragbarkeit 

Betroffene Personen haben das Recht, ihre Daten an einen beliebigen Ort zu übertragen, und Unternehmen müssen diese Übertragungen ermöglichen. 

Unternehmen sollten es den Benutzern nicht nur leicht machen, Übertragungen anzufordern, sondern auch Daten in einem gemeinsam nutzbaren Format speichern. Die Verwendung proprietärer Formate kann die Übertragung erschweren und die Rechte der Benutzer beeinträchtigen. 

Eine vollständige Liste der Rechte der betroffenen Person finden Sie auf der Seite zur Einhaltung der DSGVO.

Bereitstellung von Sicherheitsmaßnahmen

Die DSGVO verlangt, dass Unternehmen angemessene Datenschutzmaßnahmen ergreifen, um Systemschwachstellen zu schließen und unbefugten Zugriff oder illegale Nutzung zu verhindern. Die DSGVO schreibt keine spezifischen Maßnahmen vor, legt aber fest, dass Unternehmen sowohl technische als auch organisatorische Kontrollen benötigen.

Zu den technischen Sicherheitskontrollen gehören Software, Hardware und andere Technologietools, wie SIEMs und Lösungen zur Verhinderung von Datenverlust. Die DSGVO fördert Verschlüsselung und Pseudonymisierung nachdrücklich, daher sollten Unternehmen möglicherweise insbesondere diese Kontrollen implementieren. 

Zu den organisatorischen Maßnahmen gehören Prozesse wie die Schulung der Mitarbeiter in Bezug auf die DSGVO-Vorschriften und die Umsetzung formeller Data-Governance-Richtlinien

Die DSGVO verpflichtet Unternehmen außerdem dazu, den Grundsatz des Datenschutzes durch Design und standardmäßige Voreinstellungen zu übernehmen. Der Begriff „by design“ (von Anfang an) bedeutet, dass Unternehmen den Datenschutz von Anfang an in ihre Systeme und Prozesse integrieren sollten. Der Begriff „by default“ (standardmäßig) bedeutet, dass die Standardeinstellung für jedes System diejenige sein sollte, die die Privatsphäre der Benutzer am besten schützt. 

Erfahren Sie, wie IBM-Lösungen für Datensicherheit und -schutz Daten in Hybrid-Clouds sichern und Compliance-Anforderungen vereinfachen.

Warum DSGVO-Compliance wichtig ist

Jedes Unternehmen, das im Europäischen Wirtschaftsraum (EWR) tätig sein möchte, muss die DSGVO einhalten. Die Nichteinhaltung kann schwerwiegende Folgen haben. Die schwerwiegendsten Verstöße können zu Geldstrafen von bis zu 20.000.000 EUR oder 4 % des weltweiten Umsatzes des Unternehmens im Vorjahr führen, je nachdem, welcher Betrag höher ist.

Bei Daten-Compliance geht es jedoch nicht nur darum, Konsequenzen zu vermeiden. Sie hat auch Vorteile. Abgesehen davon, dass die Einhaltung der DSGVO Unternehmen den Zugang zu einem der größten Märkte der Welt ermöglicht, können die Grundsätze der DSGVO die Maßnahmen zur Datensicherheit erheblich stärken. Unternehmen können mehr Datenschutzverletzungen verhindern, bevor sie passieren, und so durchschnittliche Kosten von 4,45 Millionen USD pro Verstoß vermeiden.

Die Einhaltung der DSGVO kann auch den Ruf eines Unternehmens stärken und das Vertrauen der Verbraucher gewinnen. Im Allgemeinen bevorzugen es Menschen, mit Unternehmen Geschäfte zu machen, die Kundendaten auf angemessene Weise schützen (Link befindet sich außerhalb von ibm.com).

Die DSGVO hat ähnliche Datenschutzgesetze in anderen Regionen inspiriert, darunter der California Consumer Privacy Act und der indische Digital Personal Data Protection Act. Die DSGVO gilt oft als eines der strengsten dieser Gesetze, sodass die Einhaltung dieser Verordnung Unternehmen auch in die Lage versetzen kann, andere Vorschriften einzuhalten.

Wenn ein Unternehmen schließlich gegen die DSGVO verstößt, kann der Nachweis eines gewissen Maßes an Compliance dazu beitragen, die Auswirkungen abzumildern. Aufsichtsbehörden berücksichtigen bei der Festlegung von Strafen Faktoren wie bestehende Cybersicherheitskontrollen und die Zusammenarbeit mit Aufsichtsbehörden.

 

Autor

Matt Kosinski

Writer