Focus On

Best Practice

DSGVO-Bereitschaft

FOCUS ON: GDPR, Data Protection,

Die Datenschutz-Grundverordnung (DSGVO) wird am 25. Mai 2018 in Kraft treten und alle Organisationen einbeziehen, die persönliche Daten von europäischen Bürgern verarbeiten. Im Falle einer Nichteinhaltung einer solchen Verordnung kann gegen die Unternehmen eine Geldstrafe von bis zu 20 Millionen Euro oder 4 % der weltweiten Umsätze verhängt werden.

Um dieses Risiko zu handhaben und zu minimieren, hat Cluster Reply in Zusammenarbeit mit Microsoft ein bewährtes Verfahren erstellt, das einen strukturierten Ansatz zur Handhabung von Datenschutz und Sicherheit persönlicher Daten gewährleistet. Dieses bewährte Verfahren nennt sich “GDPR Readiness” (DSGVO-Bereitschaft).

Einleitung

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung zum Schutz der Privatsphäre, die als Weiterentwicklung der Datenschutzrichtlinie (DSR) entstand.

Die DSR stammt aus dem Jahr 1995 und verpflichtet EU-Mitgliedsstaaten dazu, Gesetze zu erarbeiten, um strenge Mindeststandards für die Verarbeitung persönlicher Daten einzuhalten, unter Berücksichtigung der Nutzung von Computern und anderen elektronischen Geräten. Allerdings hat diese Verordnung im Laufe der Zeit zu einigen Nachteilen und Inkonsistenzen geführt, wie z.B. der Unmöglichkeit, die Rechte und Privatsphäre Einzelner vor dem ständigen Voranschreiten des technischen Fortschritts zu schützen. Daher und um solche Nachteile zu überwinden, ist die DSGVO entstanden.

Aus Sicht von Unternehmen und Organisationen stellt die DSGVO eine echte Revolution dar, da sie die Bewertung und Neuregelung aller existierenden Organisationsrichtlinien und -verfahren sowie die Einführung von neuen und angemessenen Sicherheitskontrollen mit sich bringt. Diese Maßnahme ist notwendig, da viele neue verbindliche Vorschriften eingeführt wurden, wie:

  • Privacy by design. Unternehmen müssen die Sammlung persönlicher Daten reduzieren, nicht mehr benötigte Daten löschen, den Zugang zu Daten begrenzen und generell Daten über deren gesamte Nutzungsdauer schützen.
  • Anzeigepflicht. Unternehmen müssen die Datenschutzbehörden innerhalb von 72 Stunden benachrichtigen, wenn Sie eine Verletzung persönlicher Daten festgestellt haben. Wenn die Daten ein hohes Risiko für Rechte und Freiheiten Einzelner darstellen, müssen die betroffenen Personen benachrichtigt werden.
  • Geldstrafen. Eine gestaffelte Sanktionsstruktur wurde festgelegt, die empfindliche Strafen für die Täter vorsieht. Tatsächlich können schwerere Verstöße mit einer Geldstrafe in Höhe von bis zu 4% des weltweiten Umsatzes eines Unternehmens geahndet werden. Dies kann Verstöße gegen Grundsätze des Datenschutzes beinhalten. Eine geringere Strafe von bis zu 2% des weltweiten Umsatzes – immer noch gewaltig – kann verhängt werden, wenn Firmenunterlagen nicht in Ordnung sind oder die Aufsichtsbehörde und die betroffenen Personen nach einem Verstoß nicht benachrichtigt wurden.

Dies bedeutet, dass die DSGVO von jeder Organisation berücksichtigt und in einer strukturierten und klar definierten Art und Weise umgesetzt werden muss. Nur so kann sie als Gewinner aus dieser Angelegenheit hervorgehen.

Anwendung

“GDPR Readiness” ist das Sicherheitsverfahren das Cluster Reply und Microsoft entwickelt haben, um Organisationen in ihrem Bestreben um Compliance zu unterstützen. Basierend auf Microsofts hervorragender Technologie und Cluster Replys Erfahrung mit deren Betrieb und Konfiguration hilft das Verfahren Unternehmen, die DSGVO-Herausforderung erfolgreich zu meistern.

Das grundlegende Prinzip dieses Verfahrens besteht in der Gliederung des gesamten Compliance-Prozesses in vier wesentliche Phasen:

  • Feststellen. Organisationen müssen feststellen, welche persönlichen Daten sie haben und wo diese sich befinden. Tatsächlich muss der erste Schritt zur Einhaltung der DSGVO immer in der Bewertung bestehen, ob und in welchem Umfang die DSGVO Anwendung findet.
  • Verwalten. Die persönlichen Daten der jeweiligen Organisation müssen so verwaltet werden, dass genau festgestellt werden kann, wie sie verwendet und zugänglich gemacht werden. Tatsächlich wird die DSGVO einzelnen Personen mehr Kontrolle über die Art und Weise, wie ihre Daten erfasst und verwendet werden, verschaffen. Sie können z.B. verlangen, dass eine Organisation ihre Daten an sie offenlegt, zu anderen Diensten transferiert, vorhandene Fehler korrigiert oder bestimmte Daten von der weiteren Verarbeitung ausschließt. Außerdem muss diesen Aufforderungen unter bestimmten Umständen innerhalb festgelegter Zeiträume nachgekommen werden. Daher ist es für ein Unternehmen von grundlegender Bedeutung, einen Data-Governance-Plan zu definieren und zu entwickeln, um Richtlinien, Rollen, Verantwortlichkeiten sowie die Verfahren für den Zugang zu persönlichen Daten und für deren Verwaltung und Verwendung zu beschreiben und um sicherzustellen, dass die Datenverarbeitungsverfahren mit den DSGVO-Anweisungen übereinstimmen.
  • Schützen. Unternehmen müssen Sicherheitskontrollen einführen, um Datenmissbrauch vorzubeugen, zu erkennen und auf Schwachstellen zu reagieren. Tatsächlich verlangt die DSGVO, dass Organisationen geeignete Maßnahmen ergreifen, um persönliche Daten vor Verlust, unerlaubtem Zugriff oder Offenlegung zu schützen.
  • Melden. Unternehmen müssen auf Anfrage Auskunft über Daten geben, Datenmissbrauch melden und erforderliche Unterlagen aufbewahren. Diesbezüglich setzt die DSGVO neue Maßstäbe hinsichtlich der Transparenz, Rechenschaftspflicht und Protokollierung. Eine Organisation muss transparenter werden, nicht nur in Bezug darauf, wie sie mit persönlichen Daten umgeht, sondern auch, wie sie aktiv eine Dokumentation führt, die Prozesse und Datennutzung definiert. Organisationen, die persönliche Daten verarbeiten, werden Aufzeichnungen führen müssen über den Zweck der Verarbeitung; die Kategorien der verarbeiteten persönlichen Daten; die Identität von Dritten, mit denen die Daten geteilt wurden; ob (und welche) Drittländer persönliche Daten erhalten und die rechtliche Grundlage solcher Transfers; organisatorische und technische Sicherheitsmaßnahmen; und die Aufbewahrungsfristen für verschiedene Datensätze.

Das Feststellen, Verwalten, Schützen und Melden von persönlichen Daten stellt vier vorgeschriebene Maßnahmen dar, um angemessen auf die Anforderungen, die von der DSGVO auferlegt werden, reagieren zu können. Das „GDPR Readiness“-Verfahren geht dieses Thema an und ermöglicht es Organisationen, ihren Compliance-Prozess zu optimieren und darauf vorbereitet zu sein, die Rechte ihrer Kunden und Partner zu schützen.

Vorteil

Wie oben beschrieben, ist das „GDPR Readiness“-Sicherheitsverfahren ein strukturierter Ansatz für das Problem der Umsetzung der DSGVO. Es ermöglicht Unternehmen eine gut organisierte Vorbereitung auf eine so grundlegende Maßnahme.

Doch dies sind nicht die einzigen Merkmale des Verfahrens. So gibt es darüber hinaus zwei weitere wesentliche Elemente: Microsofts Technologie und Cluster Replys Know-how.

Als führendes IT-Unternehmen hat sich Microsoft im Lauf der Zeit eine umfangreiche Expertise zu Datenschutz, Privatsphäre und Einhaltung komplexer Regelungen erworben. Microsofts Produkte wurden mit branchenführenden Sicherheitsmaßnahmen und Datenschutzrichtlinien entwickelt, um die Daten der Kunden zu schützen, und seine Dienste sind so definiert, dass sie Unternehmen bei der Einhaltung der DSGVO-Anforderungen helfen.

Als Microsoft Gold Certified Partner, ist Cluster Reply in der Anwendung und im Betrieb dieser Produkte und Dienste führend. Durch seine mehr als 10-jährige Erfahrung kann Cluster Reply Kunden beim Erreichen ihrer Unternehmensziele unter Nutzung von Microsoft-Technologie optimal unterstützen.

Dieser doppelte Vorteil wird den eigentlichen Ausschlag für den Erfolg der Kunden geben und ihnen letztlich die Angst vor der DSGVO nehmen.

Zusammenfassung

Die Einhaltung der Datenschutz-Grundverordnung erfordert die Umsetzung zahlreicher verschiedener Maßnahmen, die eine sorgfältige Planung und fundierte Kenntnisse erfordern.

Durch die Definition von gut strukturierten Rahmenbedingungen und durch das Know-how zu Microsofts Spitzentechnologie soll Cluster Replys „GDPR Readiness“-Sicherheitsverfahren Organisationen dabei unterstützen, sich dieser Aufforderung zu stellen und als Gewinner hervorzugehen.

Letzten Endes soll dieses Sicherheitsverfahren Kunden dabei helfen, ihre Ziele in Bezug auf Richtlinien, Menschen, Verfahren und Technologie zu erreichen, und ihnen den Weg zur DSGVO erleichtern.