Die GDPR, oder offiziell die Allgemeine Datenschutzverordnung 2016/679, tritt am25. Mai 2018 in Kraft.
Das bedeutet, dass Sie weniger als neunzehn Monate Zeit haben, um sich auf die größte Umwälzung des Datenschutzes im letzten Jahrzehnt vorzubereiten. Unternehmen, ihre Mitarbeiter und Dritte haben also weniger als neunzehn Monate Zeit, um sich auf erhebliche Umwälzungen in der Art und Weise vorzubereiten, wie sie personenbezogene Daten speichern, verwalten und verarbeiten.
Wie können Sie als Unternehmen also den Wald vor lauter Bäumen nicht sehen? Worauf sollten Sie sich konzentrieren, und wenn Sie eine Liste mit den fünf wichtigsten Prioritäten aufstellen würden, die Sie als Unternehmen tun sollten, welche wären das?
- Den Geltungsbereich der GDPR verstehen
- Den Geltungsbereich der GDPR verstehen
Der Hauptunterschied zwischen der früheren Datenschutzverordnung und der neuen Datenschutz-Grundverordnung ist, ganz einfach ausgedrückt, das Alter. Wie viele unserer Vorfahren wurde die alte Verordnung in einer früheren Generation geboren, also vor dem Aufkommen des Internets, von Facebook und Google zum Beispiel. Die neue Verordnung hat einen weitreichenden Geltungsbereich, der weitreichend ist.
Erstens: Jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet oder ihr Verhalten überwacht oder Mitarbeiter in der EU beschäftigt, muss die DSGVO einhalten. Die DSGVO hat auch eine zusätzliche territoriale Reichweite. Wenn Sie also eine Organisation außerhalb der EU sind, die nicht einmal eine physische Präsenz in der EU hat, kann die DSGVO dennoch gelten.
- Identifizierung der Auferlegung weiterer Verpflichtungen
Die Datenschutz-Grundverordnung (DSGVO) verlangt Transparenz bei der Information von Personen über die Verarbeitung ihrer personenbezogenen Daten. Es ist von entscheidender Bedeutung, dass Organisationen ihre Datenschutzhinweise und -richtlinien überprüfen, um sicherzustellen, dass alle notwendigen Informationen für Einzelpersonen bereitgestellt werden.
Die Einwilligung bleibt einer der Gründe für die Weiterverarbeitung im Rahmen der neuen Verordnung, allerdings gibt es jetzt eine höhere Schwelle als zuvor. In Anbetracht der höheren Schwelle sollten sich Organisationen darauf konzentrieren, eine klare und ungebundene Zustimmung des Kunden zu erhalten, wenn sie sich auf diesen Rechtfertigungsgrund für die Verarbeitung berufen wollen. Außerdem ist zu beachten, dass der Nachweis dieser Zustimmung von entscheidender Bedeutung ist und die Aufzeichnung und Aufbewahrung von Daten daher einen hohen Standard aufweisen muss.
- Sensibilisierung für die Rechte der betroffenen Personen
Die DSGVO hat einige wichtige neue und erweiterte Rechte für Einzelpersonen in Bezug auf ihre personenbezogenen Daten eingeführt. Betroffene Personen haben das Recht auf Auskunft, Übertragung, Einschränkung und Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten. Betroffene Personen können außerdem verlangen, dass ihre personenbezogenen Daten in einem interoperablen, maschinenlesbaren Format an sie selbst oder direkt an einen neuen Anbieter übertragen werden. Dies gilt, wenn die Daten von der betroffenen Person dem für die Verarbeitung Verantwortlichen zur Verfügung gestellt, automatisch verarbeitet oder aufgrund einer Einwilligung oder zur Erfüllung eines Vertrags verarbeitet wurden. Für jede Organisation ist das Recht auf Übertragung personenbezogener Daten ein Thema, das Planung und Vorbereitung erfordert, damit Ihre Mitarbeiter über alle notwendigen Ressourcen verfügen, um solche Anfragen zu bearbeiten.
- Aufklären, aufklären, aufklären oder gemaßregelt werden
Nach der geltenden Datenschutzrichtlinie gibt es bei den Geldstrafen große Unterschiede zwischen den Mitgliedstaaten. Im Gegensatz dazu werden die Durchsetzungsbefugnisse im Rahmen der neuen Datenschutz-Grundverordnung erheblich ausgeweitet, einschließlich der Geldbußen, die bis zu 20 Mio. EUR oder 4 % des weltweiten Gesamtumsatzes betragen können.
Angesichts der erheblichen Geldstrafen, die verhängt werden können, sollten Unternehmen Zeit und Ressourcen in die Einhaltung der DSGVO investieren. Dazu gehört auch die Schulung aller Beteiligten, von Führungskräften bis hin zu Drittverarbeitern, die Einfluss auf Ihre Fähigkeit haben, die Einhaltung der DSGVO zu erreichen und aufrechtzuerhalten.
- Gehen Sie die GDPR direkt an und handeln Sie mit Dringlichkeit
Um Leonardo da Vinci zu zitieren: "Ich bin beeindruckt von der Dringlichkeit des Handelns. Wissen ist nicht genug. Wir müssen es anwenden". Dies ist die Art von Vordenkerschaft, die Organisationen haben müssen, wenn sie sich mit der Datenschutz-Grundverordnung befassen wollen.
Eine Kultur der Rechtstreue ist entscheidend für den Erfolg Ihrer Organisation, wenn es darum geht, sich mit der DSGVO zu befassen; Mitarbeiterschulungen und klare Richtlinien müssen vorhanden sein. Damit wird auch der Notwendigkeit der Bestimmungen der Datenschutz-Grundverordnung zur Rechenschaftspflicht Rechnung getragen. Die Prozesse für das Management von Datenschutzvorfällen müssen klar und präzise sein, und die entsprechenden internen Richtlinien sollten überarbeitet werden, um sicherzustellen, dass Datenschutzverletzungen unverzüglich und im Rahmen des richtigen Verfahrens behandelt werden.
Sind Sie daran interessiert, Ihren Ansatz zur Einhaltung der DSGVO so früh wie möglich zu planen und die Zustimmung der wichtigsten Interessengruppen in Ihrem Unternehmen zu erhalten?
Wenn Sie Hilfe bei Ihrem GDPR-Projekt benötigen, haben wir mit Fachexperten zusammengearbeitet, um GDPR for Dummies in Zusammenarbeit mit Wiley, der offiziellen Dummies-Marke, zu erstellen. Sie können Ihr kostenloses Exemplar hieranfordern .
MetaCompliance hat eLearning-Kurse entworfen und erstellt, die Ihrem Unternehmen helfen können, das Bewusstsein der Mitarbeiter zu schärfen und gleichzeitig die oberste Führungsebene einzubeziehen, um deren Zustimmung zu gewährleisten. Setzen Sie sich mit MetaCompliance in Verbindung und erfahren Sie, wie die Bibliothek für Cybersicherheit und eLearning sowie die Sensibilisierungsdienste Ihnen dabei helfen können, die Einhaltung der DSGVO in Ihrem Unternehmen unter dem Gesichtspunkt des Datenschutzes und der Informationssicherheit zu gewährleisten.
