23-5-2016 Gedruckt am 29-05-2017 aus www.monitor.co.at/index.cfm/storyid/16829

EU-Datenschutz-Grundverordnung tritt in Kraft

Von 0 auf 100

Morgen, am 24. Mai 2016, tritt die EU-Datenschutz-Grundverordnung in Kraft. Damit geht’s ohne Warm-up vom seichten Datenschutz-Niveau auf hohes EU-Level. Das neue Gesetz verbindet Datenschutz mit Datensicherheit und stellt heimische Unternehmen vor gewaltige organisatorische und technische Herausforderungen.

Zwei Jahre haben Unternehmen Zeit ihr Datenschutz-Niveau auf EU-Level anzuheben. Bild: Rainer Sturm / pixelio.de

Markus Robin, General Manager SEC Consult: „Mit der EU-Datenschutz-Grundverordnung muss sich die österreichische Wirtschaft nun innerhalb von gerade einmal zwei Jahren von einem unvollständig umgesetzten Datenschutz-Niveau auf hohes EU-Level begeben – ganz ohne Warm-up. Für Unternehmen bedeutet das: Unbedingt jetzt einen Umsetzungsplan zurechtlegen und mit der Risiko-Analyse starten. Zwei Jahre sind kürzer, als man denkt – und der neue Sanktionsrahmen lässt keinen Platz für Fahrlässigkeit.“         
           
Ziel der EU-Datenschutz-Grundverordnung (EU-DS-GVO) ist die Vereinheitlichung eines hohen Datenschutzniveaus für die gesamte Europäische Union. Betroffen sind alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten – demnach fallen auch internationale Daten-Riesen wie Google, Facebook & Co. unter die neue Regelung. Neben datenschutzrechtlichen Aspekten wie dem „Recht auf Vergessen werden“ kommt der Datensicherheit im neuen Gesetz eine tragende Rolle zu. Ab 25. Mai 2018 müssen betroffene Unternehmen sowie deren Anwendungen organisatorische und technische Schutzmaßnahmen für personenbezogene Daten vorweisen können. Bei Verstößen wird das Strafausmaß anhand der getätigten Vorbereitungen bemessen, kann jedoch bis zu 20 Mio. Euro oder vier Prozent des weltweiten Vorjahresumsatzes betragen.          

Angesichts des kurzen Umsetzungszeitraums von gerade einmal zwei Jahren empfiehlt SEC Consult betroffenen Unternehmen hinsichtlich Daten- bzw. IT-Sicherheit daher: 
  1. Risikoanalyse starten und Umsetzungsplan zurechtlegen
    Unternehmen sollten sich umgehend mit den organisatorischen und technischen Vorgaben der EU-Datenschutz-Grundverordnung befassen, um etwaige finanzielle Aufwände bereits in das kommende Budget einrechnen zu können und genügend Zeit für die Umsetzung zu haben. „An erster Stelle sollte eine umfassende Analyse stehen. Welche personenbezogenen Daten befinden sich im Unternehmen? Wie sind diese zu kategorisieren? Wie sieht die Risikosituation aus? Welche technischen Sicherheitsmaßnahmen habe ich bereits implementiert? Anhand dieser Ergebnisse lassen sich die notwendigen Handlungen ableiten“, so Robin.
  2. Umsetzungspartner suchen       
    „Der neue Sanktionsrahmen entspricht mehreren IT-Jahresbudgets – Fahrlässigkeit lässt sich nicht mehr einfach aus der Portokasse begleichen. Für eine lückenlose Umsetzung der Vorgaben sollten Unternehmen daher unbedingt juristische Partner und Sicherheitsexperten mit ins Boot holen“, rät Robin.
     
Factbox: EU-Datenschutz-Grundverordnung (EU-DS-GVO)
 
  • Ist Teil der EU-Datenschutzreform
  • Tritt mit 24. Mai 2016 in Kraft 
  • Geltung mit 25. Mai 2018 (zwei Jahre Umsetzungszeitraum)
  • Ziel: Vereinheitlichung eines hohen Datenschutzniveaus für die gesamte Europäische Union – „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ 
  • Betroffen sind alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten – somit fallen auch internationale Größen wie Google, Facebook & Co. unter die Regelung 
  • Unternehmen müssen organisatorische und technische Schutzmaßnahmen in den Bereichen Datenschutz und Datensicherheit nachweislich treffen und dokumentieren
  • Unternehmen müssen ein „risiko-angemessenes Schutzniveau“ vorweisen können
  • Massive Verschärfung des Sanktionsrahmens: Je nach Verstoß bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Vorjahresumsatzes; Strafrahmen wird jedoch an den getätigten Vorbereitungen bemessen