GDPR – Die neue EU-Datenschutz-Grundverordnung (DSGVO)
Zugegeben, GPDR (European Union General Data Protection Regulation) ist nicht gerade das spannendste Thema. Aber bald ist es so weit und es sorgt schon jetzt für reichlich Gesprächsstoff. Zu Recht, denn ab dem Inkrafttreten am 25. Mai 2018 werden Unternehmen, die sich nicht an die neuen Regeln halten, mit beachtlichen Strafen belegt.
Ziel der neuen Regulierung ist es, die seit 1995 geltende Datenschutzrichtlinie zu ersetzen und einen neuen Datenschutzstandard für die gesamte EU aufzustellen, damit für alle EU-Bürger die gleichen Datenschutzregeln gelten.
Die wichtigsten Änderungen im Überblick
- GDPR wird nicht nur Unternehmen in der EU betreffen, sondern sie betrifft alle Organisationen, die Daten von EU-Bürgern nutzen.
- Wer den Artikel 83 verletzt, kann mit Strafen von bis zu 4% des Gesamtumsatzes des Unternehmens belegt werden bzw. können die Strafen bis zu 20 Millionen Euro betragen, je nachdem welcher Betrag höher ist.
- Kunden müssen bei einem Datenleck sofort informiert werden, die Datenschutzbehörde spätestens nach 72 Stunden.
- Ziel der GDPR ist unter anderem, den „Datensubjekten“ (Kunden) mehr Kontrolle darüber zu geben, was mit ihren Daten passiert. Zu diesem Zweck erhalten Kunden das Recht, kostenlos eine Kopie ihrer Daten zu erhalten, ihre Daten zwischen “Controllern“ (Besitzern) zu bewegen, den Verwendungszweck ihrer Daten zu erfahren und insbesondere ihnen nach Artikel 17 das Recht auf „Datenlöschung“ zu geben, dass sogenannte „right to be forgotten“
- Außerdem gilt mit GDPR das „privacy by design“- Prinzip (Schutz der Privatsphäre von Grund auf). Dieses Prinzip besagt, dass „Controller“ sichergehen müssen, dass bereits bei der Entwicklung von Systemen und Prozessen der Datenschutz berücksichtigt wird. Für „Controller“ bedeutet das unter anderem, dass sie Double Opt-in und andere Datensicherheitsmaßnahmen implementieren müssen.
- Der Artikel 23 besagt, dass Daten nicht mehr grundlos gehortet werden dürfen. Stattdessen gilt das Prinzip, nur möglichst wenige Daten zu speichern und nur solche Daten zu speichern die tatsächlich benötigt werden und nur den relevanten Nutzern Zugriff auf diese Daten zu erlauben.
- Unternehmen müssen nun nicht mehr direkt ihre lokale Datenschutzbehörde informieren. Stattdessen müssen sie nach GDPR nur internen Unterlagen führen.
- Werden regelmäßig große Mengen an Daten oder bestimmte Datenkategorien von „Datensubjekten“ verarbeitet, müssen Firmen zusätzlich einen „Data Protection Officer“ (DPO) ernennen. Der DPO kann ein firmeninterner oder auch externer Mitarbeiter sein, der die geeigneten Qualifikationen besitzt. Der DPO ist dem Vorstand unterstellt und ist für die Kommunikation mit der Datenschutzbehörde zuständig und muss deshalb sicherstellen, an keinen Aktivitäten beteiligt zu sein, die zu Interessenskonflikten führen könnten.
Aber was ist mit dem Brexit?
GDPR betrifft jedes Unternehmen, das mit Daten von EU-Bürgern arbeitet. Wie das rechtliche Gegenstück Großbritanniens zu GDPR konkret aussehen wird, ist zwar noch nicht bekannt, aber man erwartet, dass es sich stark an GDPR orientiert. Deshalb lohnt es sich, die Richtlinie selbst dann einzuhalten, wenn Ihre Daten sich ausschließlich auf UK beschränken.
Wann wird man mit einer Strafe belegt?
Unter anderem gibt es Strafen dafür, nicht ausreichend Erlaubnis für die Datenverarbeitung einzuholen, das „Privacy by Design“-Prinzip nicht einzuhalten, keine vollständigen Aufzeichnungen zu führen und bei einem Datenleck die relevanten Behörden und Kunden nicht, oder nicht rechtzeitig zu informieren sowie anschließend keine Wirkungsabschätzung durchzuführen. Das Verhalten und die öffentliche Kommunikation der Firma wird auch beeinflussen, wie hoch die Strafe ausfällt.
Für wen ist das Ganze relevant?
Für Controller (Besitzer) und Processors (Verarbeiter)
Führungspersonal „Controller“
neu ernannte DPOs -„Controller“
Marketingabteilung – „Controller“ „Processors“
Datenmanager und Datenarchitekten – „Controller“
Datennutzer –„Processors“
Was bedeutet das alles?
Eindeutige Zustimmung und Double Opt-in werden besonders wichtig sein. Unklare oder zweideutige Opt-ins und Nutzungsbedingungen werden in Zukunft illegal sein. Datenspeicherung und Verarbeitung muss zweckgebunden und transparent sein; jedes Speichern und Verarbeiten von Daten muss begründbar sein. Datenschutz muss von Beginn an ein wichtiger Teil der Planung sein und nicht nur ein Gedanke. Und wer denkt, dass man mit einer Cloud Strategie über der GDPR Wolke steht, irrt sich, den selbstverständlich gilt das Ganze auch für Cloud-Lösungen.
Wie kann Exasol helfen?
Exasol bietet neben extrem schneller Loading...In-Memory Technologie außerdem:
- Die Möglichkeit, Nutzer und Rollen anhand von Datenbankobjekten zu verwalten und mit Rollen und Hierarchien viele Nutzer zu managen.
- Programmierbare Ansichten mit einem leistungsstarken Datenvirtualisierungs-Framework zu erstellen, welches Ihnen mit spalten- und reihenbasierter Sicherheit äußerst präzise Kontrolle über Ihre Datensicherheit ermöglicht.
- Sie können alle Ihre Datenbankaktivitäten gründlich überprüfen, indem Sie automatisch ein Protokoll führen, mit dem Sie verfolgen können, wer, wo und wann auf welche Daten zugreift.
- Unsere eingebaute Verschlüsselung stellt sicher, dass vorhandene Daten zu allen Zeitpunkten sicher sind.
Falls Sie weitere Fragen haben, oder mehr über Exasol’s leistungsstarke Loading...In-Memory Datenbank erfahren möchten, kontaktieren Sie uns. Für weitere Informationen und einem technischeren Überblick darüber, wie Exasol Ihnen dabei hilft, GDPR zu erfüllen, lesen Sie auch den demnächst erscheinenden Artikel zum Thema GDPR von Jens Graupmann.
Mehr Informationen zum Thema:
https://www.eugdpr.org/eugdpr.rg.html
https://www.sackers.com/publication/gdpr-countdown-to-25-may-2018/