Office 365 Governance Software

Die Datenschutzgrundverordnung der EU ist jetzt seit fast einem Jahr in Kraft. Seither konnten wir beobachten, wie sie andere Staaten dazu bewogen hat, ihre lokale/nationale Datenschutzgesetzgebung zu verbessern. In einem unserer früheren Blogbeiträge haben wir uns beispielsweise mit der Einführung einer Verordnung in Australien befasst, die Organisationen eine Verpflichtung auferlegt, „Personen, deren personenbezogene Daten von einer Datenschutzverletzung betroffen sind, die voraussichtlich ernsthafte Schäden nach sich ziehen könnte, zu benachrichtigen.“

Anzahl gemeldeter Datenschutzverletzungen nach der australischen „Notifiable Data Breaches“-Regelung nach Quartal – alle Sektoren. Den Link zum vollständigen Bericht finden Sie hier.

Auch mit dem neuseeländischen Datenschutzgesetz ist die Einführung einer Meldepflicht im Falle einer Datenschutzverletzung vorgesehen. Sollte es in Kraft treten, müssen lokale Organisationen sich auf die Einhaltung der damit verbundenen Anforderungen vorbereiten. Ein Verstoß gegen diese Anforderungen könnte für die betreffende Organisation ein Bußgeld von bis zu 10.000 Dollar nach sich ziehen. Von einer Datenschutzverletzung betroffene Personen können sich zudem auch an den Menschenrechtsgerichtshof wenden und Schadenersatz aufgrund einer Verletzung der Privatsphäre einfordern.

Was wird als Datenschutzverletzung gewertet?

Im Rahmen des Gesetzesentwurfs wird eine „Datenschutzverletzung“ definiert als jedweder unbefugte Zugriff auf personenbezogene Daten sowie deren Offenlegung, Änderung, Verlust oder Zerstörung und sämtliche Handlungen, die zeitweilig oder dauerhaft verhindern, dass die Behörde auf die Daten zugreift.

Wie bereiten Sie sich auf die Anforderungen der neuen Datenschutzverordnung vor?

Um die neuen Anforderungen einzuhalten, bietet es sich an, jetzt die Richtlinien, Verfahrensweisen und Best Practices Ihres Unternehmens zu prüfen und zu aktualisieren. Sie müssen in der Lage sein, folgende Kernfragen zu beantworten:

  • Sammelt Ihre Organisation personenbezogene Daten oder arbeitet mit solchen? Falls zutreffend, können Sie feststellen, um welche Art personenbezogener Daten es sich handelt?
  • Verfügt Ihr Unternehmen über angemessene Sicherheitskontrollen?
  • Wissen Ihre Mitarbeitenden, wie man eine Datenschutzverletzung feststellt?
  • Besitzt Ihr Unternehmen eine Richtlinie sowie ein Verfahren für den Umgang mit Datenschutzverletzungen?
  • Führt Ihr Unternehmen detaillierte Aufzeichnungen darüber, wo Informationen gespeichert werden, wer darauf zugreifen kann, wie lange sie aufbewahrt werden und wie ihre Löschung erfolgt?
  • Prüft Ihr Unternehmen die Datenschutzbedingungen von Drittanbietern oder Datenverarbeitern?

Enterprise Risk Management (ERM) hilft Ihnen bei der Führung eines Inventars sowie eines Risikoregisters für die Datenflüsse innerhalb Ihrer Organisation. Zudem hilft es Ihnen bei der Automatisierung von Datenschutz und Sicherheit (sowohl standardmäßig als auch gezielt) sowie bei der Folgenabschätzung von Risiko- und Datenschutz.

Es ist unerlässlich, dass Sie die Gesetze, Verordnungen und Standards lesen und verstehen. Hier einige wesentliche Tipps, die auf unserer Erfahrung aus der Zusammenarbeit mit Kunden an ihrer DSGVO-Implementierung in den vergangenen 15 Monaten basieren:

Prüfung

Prüfen Sie bestehende Richtlinien, Verfahrensweisen und Weisungen, um sicherzustellen, dass sie der neuen Datenschutzgesetzgebung entsprechen.

Umsetzung

Die gezielte Umsetzung von Datenschutz und Sicherheit kann Ihnen eine Menge Zeit sparen. Dies erfordert allerdings bestimmte Fähigkeiten und Tools.

Asset-Tracking

Stellen Sie sicher, dass Sie Ihre Assets kennen. Behalten Sie die Daten, die Sie sammeln, speichern und verwenden sowie die Stellen, mit denen diese Daten geteilt werden, im Auge. Asset-Verzeichnisse, Datenmapping und Datenströme standen für unsere Kunden, die zur Einhaltung der DSGVO verpflichtet sind, stets im Vordergrund und bieten eine gute Gelegenheit, potenziell mit Datenübertragungen verbundene Risiken zu identifizieren, bevor sie offensichtlich werden.

Einschätzen

Datenschutz, Sicherheit und Risikofolgenabschätzung sind fester Bestandteil aller Sicherheits- und Datenschutzbemühungen. Selbst wenn Ihr jeweiliges Asset oder Ihr neues Projekt nicht direkt mit der Verarbeitung personenbezogener Daten in Verbindung steht, ist die Durchführung einer Folgenabschätzung und Einhaltung der entsprechenden Sorgfaltspflichten nichtsdestotrotz ratsam.

Anpassungsfähig sein

Nicht zuletzt benötigen Sie einen benutzerfreundlichen (und zügigen) Prozess zur Reaktion auf Anfragen zur Erteilung einer Auskunft über personenbezogene Daten bzw. Anfragen im Rahmen des Freedom of Information Act. Im Rahmen der neuen Datenschutzverordnungen haben Personen mehr Rechte und Freiheiten in Bezug darauf, wie Organisationen mit ihren Daten umgehen.

Allerdings kann dies für eine Organisation auch höhere Kosten bedeuten, wenn eine Person Gebrauch von ihrem Recht macht und ein Auskunftsersuchen stellt. Im Falle von James Titcombes Freedom-of-Information-Anfrage an das Nursing and Midwifery Council beliefen sich die geschätzten Kosten auf 239.871,85 £ (etwa 277.500 €).

Nächste Schritte

Die bestmögliche Sicherung Ihrer Daten ist sehr anspruchsvoll, besonders bei größeren Unternehmen. AvePoints Compliance Guardian ist mit leistungsstarken Tools zur Risikoerkennung und -bewertung ausgestattet, die Ihnen dabei helfen, potenziellen Bedrohungen einen Schritt voraus zu sein. Hier erfahren Sie, wie Sie Ihren Einstieg ins Enterprise Risk Management gestalten können.

Weitere Informationen zur DSGVO erhalten Sie in den folgenden Beiträgen:


Möchten Sie weitere aktuelle Neuigkeiten zur DSGVO erhalten? Dann abonnieren Sie unseren Blog!