Die Allgemeine Datenschutzverordnung (DSGVO), das Wahrzeichen der Europäischen Union Datenschutz Das Gesetz trat 2018 in Kraft. Dennoch haben viele Organisationen immer noch Schwierigkeiten, Compliance-Anforderungen zu erfüllen, und die EU-Datenschutzbehörden zögern nicht, Strafen zu verhängen.

Selbst die größten Unternehmen der Welt sind nicht frei von DSGVO-Problemen. Irische Regulierungsbehörden traf Meta mit einer Geldstrafe von 1.2 Milliarden Euro im Jahr 2023. Italienische Behörden sind Untersuchung von OpenAI bei mutmaßlichen Verstößen und ging sogar so weit, ChatGPT kurzzeitig zu verbieten.

Vielen Unternehmen fällt die Umsetzung der DSGVO-Anforderungen schwer, da das Gesetz nicht nur komplex ist, sondern auch viel Ermessensspielraum lässt. Die DSGVO legt eine Reihe von Regeln fest, wie Organisationen innerhalb und außerhalb Europas mit den personenbezogenen Daten von EU-Bürgern umgehen. Allerdings gibt es den Unternehmen einen gewissen Spielraum bei der Umsetzung dieser Regeln.

Die Einzelheiten des Plans einer Organisation, vollständig DSGVO-konform zu werden, hängen davon ab, welche Daten die Organisation sammelt und was sie mit diesen Daten macht. Dennoch gibt es einige grundlegende Schritte, die alle Unternehmen bei der Umsetzung der DSGVO unternehmen können: 

• Persönliche Daten erfassen
• Identifizieren und schützen Sie Daten besonderer Kategorien 
• Audit-Datenverarbeitungsaktivitäten
• Aktualisieren Sie die Einwilligungsformulare der Benutzer  
• Erstellen Sie ein Aufzeichnungssystem
• Benennen Sie Compliance-Leiter
• Entwerfen Sie eine Datenschutzrichtlinie
• Stellen Sie sicher, dass Drittpartner die Vorschriften einhalten
• Erstellen Sie einen Prozess für Datenschutz-Folgenabschätzungen
• Implementieren Sie einen Reaktionsplan für Datenschutzverletzungen
• Erleichtern Sie betroffenen Personen die Wahrnehmung ihrer Rechte
• Informationen bereitstellen Sicherheitsmaßnahmen

Muss ich die DSGVO umsetzen? 

Die DSGVO gilt für jede Organisation, die die Daten verarbeitet Daten der europäischen Einwohner, unabhängig davon, wo diese Organisation ihren Sitz hat. Angesichts des vernetzten und internationalen Charakters der digitalen Wirtschaft umfasst dies heute viele – vielleicht sogar die meisten – Unternehmen. Selbst Organisationen, die nicht in den Geltungsbereich der DSGVO fallen, können deren Anforderungen übernehmen, um den Datenschutz zu stärken.

Konkret gilt die DSGVO für alle Datenverantwortlichen und Datenverarbeiter mit Sitz im Europäischen Wirtschaftsraum (EWR). Der EWR umfasst alle 27 EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen. 

A Datencontroller ist jede Organisation, Gruppe oder Person, die personenbezogene Daten sammelt und bestimmt, wie diese verwendet werden. Denken Sie an einen Online-Händler, der die E-Mail-Adressen der Kunden speichert, um Bestellaktualisierungen zu versenden.

A Datenprozessor ist jede Organisation oder Gruppe, die Datenverarbeitungsaktivitäten durchführt. Die DSGVO definiert „Verarbeitung“ im weitesten Sinne als jede Aktion, die mit Daten durchgeführt wird: Speicherung, Analyse, Änderung usw. Zu den Auftragsverarbeitern gehören Dritte, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten, beispielsweise ein Marketingunternehmen, das Benutzerdaten analysiert, um einem Unternehmen dabei zu helfen, wichtige demografische Merkmale seiner Kunden zu verstehen.

Die DSGVO gilt auch für Verantwortliche und Auftragsverarbeiter, die ihren Sitz außerhalb des EWR haben, wenn sie mindestens eine der folgenden Bedingungen erfüllen: 

• Das Unternehmen bietet EWR-Bürgern regelmäßig Waren und Dienstleistungen an, auch wenn kein Geld den Besitzer wechselt.
• Das Unternehmen überwacht regelmäßig die Aktivitäten von EWR-Bürgern, beispielsweise durch den Einsatz von Tracking-Cookies. 
• Das Unternehmen verarbeitet personenbezogene Daten im Auftrag von Verantwortlichen im EWR. 
• Das Unternehmen beschäftigt Mitarbeiter im EWR.

Es gibt noch einige weitere erwähnenswerte Dinge zum Geltungsbereich der DSGVO. Dabei geht es zunächst nur um die personenbezogenen Daten natürlicher Personen, auch „Daten“ genannt betroffene Personen im DSGVO-Sprachgebrauch. A natürliche Person ist ein lebender Mensch. Die DSGVO schützt nicht die Daten juristischer Personen wie Unternehmen oder Verstorbener.

Zweitens muss eine Person kein EU-Bürger sein, um den Schutz der DSGVO zu genießen. Sie müssen lediglich einen formellen Wohnsitz im EWR haben.

Schließlich gilt die DSGVO für die Verarbeitung personenbezogener Daten aus praktisch jedem Grund: kommerziell, wissenschaftlich, behördlich und aus anderen Gründen. Unternehmen, Krankenhäuser, Schulen und Behörden unterliegen der DSGVO. Die einzigen Verarbeitungsvorgänge, die von der DSGVO ausgenommen sind, sind nationale Sicherheits- und Strafverfolgungsmaßnahmen sowie rein persönliche Datennutzungen.

Schritte zur Umsetzung der DSGVO 

Es gibt keinen einheitlichen DSGVO-Compliance-Plan, aber es gibt einige grundlegende Praktiken, die Unternehmen als Leitfaden für ihre Bemühungen zur DSGVO-Umsetzung nutzen können.

Eine Liste der wichtigsten DSGVO-Anforderungen finden Sie im Checkliste zur Einhaltung der DSGVO. 

Persönliche Daten erfassen  

Während die DSGVO nicht explizit eine Dateninventur vorschreibt, setzen viele Organisationen aus zwei Gründen hier an. Erstens hilft das Wissen darüber, über welche Daten das Unternehmen verfügt und wie diese verarbeitet werden, dem Unternehmen, seine Compliance-Belastungen besser zu verstehen. Beispielsweise benötigt ein Unternehmen, das Gesundheitsdaten von Benutzern sammelt, stärkere Schutzmaßnahmen als ein Unternehmen, das nur E-Mail-Adressen sammelt.

Zweitens erleichtert eine umfassende Bestandsaufnahme die Erfüllung von Benutzeranfragen zur Weitergabe, Aktualisierung oder Löschung ihrer Daten. 

Eine Dateninventur kann Details erfassen wie:

• Arten der erfassten Daten (Benutzernamen, Browserdaten)
• Datenpopulationen (Kunden, Mitarbeiter, Studenten)
• Wie Daten erfasst werden (Veranstaltungsanmeldungen, Landingpages)
• Wo Daten gespeichert werden (lokale Server, Cloud-Dienste)
• Zweck der Datenerhebung (Marketingkampagnen, Verhaltensanalyse)
• Wie Daten verarbeitet werden (automatisierte Bewertung, Aggregation)
• Wer hat Zugriff auf die Daten (Mitarbeiter, Lieferanten)?
• Bestehende Schutzmaßnahmen (Verschlüsselung, Multi-Faktor-Authentifizierung) 

Es kann schwierig sein, personenbezogene Daten aufzuspüren, die über das Netzwerk des Unternehmens in verschiedenen Arbeitsabläufen, Datenbanken, Endpunkten usw. verstreut sind Schatten-IT-Assets. Um die Verwaltung von Datenbeständen zu vereinfachen, können Unternehmen den Einsatz von Datenschutzlösungen in Betracht ziehen, die Daten automatisch erkennen und klassifizieren. 

Erfahren Sie, wie IBM Guardium® Data Protection automatisch sensible Daten in wichtigen Repositorys wie AWS, DBaaS und lokalen Mainframes erkennt, klassifiziert und schützt.

Identifizieren und schützen Sie Daten besonderer Kategorien 

Bei der Dateninventur sollten Unternehmen alle besonders sensiblen Daten notieren, die besonderen Schutz erfordern. Die DSGVO schreibt insbesondere für drei Arten von Daten zusätzliche Vorsichtsmaßnahmen vor: Daten besonderer Kategorien, Daten über strafrechtliche Verurteilungen und Daten von Kindern.  

• Spezielle Kategoriedaten Dazu gehören biometrische Daten, Gesundheitsakten, Rasse, ethnische Zugehörigkeit und andere sehr persönliche Informationen. Organisationen benötigen in der Regel die ausdrückliche Zustimmung eines Benutzers, um Daten besonderer Kategorien zu verarbeiten. 

• Daten zu strafrechtlichen Verurteilungen können nur von Behörden kontrolliert und auf deren Weisung verarbeitet werden. 

• Daten der Kinder können nicht ohne Zustimmung der Eltern verarbeitet werden, und Organisationen benötigen Mechanismen, um das Alter der betroffenen Personen und die Identität ihrer Eltern zu überprüfen. Jeder EWR-Staat legt im Rahmen der DSGVO seine eigene Definition von „Kind“ fest. Die Grenzwerte reichen von unter 13 bis unter 16 Jahren. Unternehmen müssen auf die Einhaltung dieser unterschiedlichen Definitionen vorbereitet sein. 

Audit-Datenverarbeitungsaktivitäten 

Bei der Dateninventur erfassen Organisationen alle Verarbeitungsvorgänge, denen die Daten unterliegen. Anschließend müssen Unternehmen sicherstellen, dass diese Vorgänge den Verarbeitungsregeln der DSGVO entsprechen. Zu den wichtigsten DSGVO-Grundsätzen gehören die folgenden:

• Für jede Verarbeitung muss eine etablierte Rechtsgrundlage vorliegen: Die Datenverarbeitung ist nur zulässig, wenn die Organisation über eine genehmigte Rechtsgrundlage für diese Verarbeitung verfügt. Zu den gängigen Rechtsgrundlagen gehören die Einholung der Einwilligung des Nutzers, die Datenverarbeitung zur Abwicklung eines Vertrags mit dem Nutzer sowie die Datenverarbeitung im öffentlichen Interesse. Organisationen müssen vor Beginn jedes Verarbeitungsvorgangs die Rechtsgrundlage dokumentieren.

Eine vollständige Liste der genehmigten Rechtsgrundlagen finden Sie im Seite zur Einhaltung der DSGVO.

• Zweckbegrenzung: Die Daten sollen für einen konkret definierten Zweck erhoben und genutzt werden. 

• Datenminimierung: Organisationen sollten die für ihren jeweiligen Zweck erforderliche Mindestmenge an Daten erfassen. 

• Genauigkeit: Organisationen sollten sicherstellen, dass die von ihnen erfassten Daten korrekt und aktuell sind. 

• Speicherbeschränkung: Organisationen sollten Daten sicher entsorgen, sobald ihr Zweck erfüllt ist. 

Eine vollständige Liste der DSGVO-Verarbeitungsgrundsätze finden Sie unter Checkliste zur Einhaltung der DSGVO.

Aktualisieren Sie die Einwilligungsformulare der Benutzer  

Die Einwilligung des Nutzers ist eine gemeinsame Rechtsgrundlage für die Verarbeitung. Allerdings ist eine Einwilligung nach der DSGVO nur dann gültig, wenn sie informiert, bejahend und freiwillig erteilt wird. Organisationen müssen möglicherweise Einwilligungsformulare aktualisieren, um diese Anforderungen zu erfüllen.

• Um sicherzustellen, dass die Einwilligung informiert ist, sollte die Organisation zum Zeitpunkt der Datenerfassung klar erklären, was sie sammelt und wie sie diese Daten verwenden wird.

• Um sicherzustellen, dass die Einwilligung positiv ist, sollten Organisationen einen Opt-in-Ansatz verfolgen, bei dem Benutzer aktiv ein Kästchen ankreuzen oder eine Erklärung unterzeichnen müssen, um ihre Einwilligung zu signalisieren. Auch Einwilligungen können nicht gebündelt werden. Der Nutzer muss jeder Verarbeitungstätigkeit einzeln zustimmen.  

• Um sicherzustellen, dass die Einwilligung frei ist, können Organisationen die Einwilligung nur für Datenverarbeitungsaktivitäten verlangen, die tatsächlich Bestandteil einer Dienstleistung sind. Mit anderen Worten: Ein Unternehmen kann Nutzer nicht dazu zwingen, ihre politische Meinung preiszugeben, um ein T-Shirt zu kaufen. Der Nutzer muss die Möglichkeit haben, die Einwilligung jederzeit zu widerrufen.  

Erstellen Sie ein Aufzeichnungssystem 

Organisationen mit mehr als 250 Mitarbeitern und Unternehmen jeder Größe, die regelmäßig Daten verarbeiten oder mit Hochrisikodaten umgehen, müssen schriftliche elektronische Aufzeichnungen über ihre Verarbeitungsaktivitäten führen. 

Allerdings möchten möglicherweise alle Organisationen solche Aufzeichnungen führen. Dies hilft nicht nur dabei, Datenschutz- und Sicherheitsbemühungen zu verfolgen, sondern kann auch die Einhaltung von Vorschriften nachweisen, wenn es zu einer Prüfung oder einem Verstoß kommt. Unternehmen können Strafen mildern oder vermeiden, wenn sie nachweisen können, dass sie sich in gutem Glauben um die Einhaltung bemüht haben.  

Datenverantwortliche möchten möglicherweise besonders robuste Aufzeichnungen führen, da sie gemäß der DSGVO für die Einhaltung der Vorschriften durch ihre Partner und Lieferanten verantwortlich sind. 

Benennen Sie DSGVO-Compliance-Leiter  

Alle Behörden und alle Organisationen, die regelmäßig Daten besonderer Kategorien verarbeiten oder in großem Umfang Sachverhalte überwachen, müssen einen benennen Datenschutzbeauftragter (DSB). Ein DSB ist ein unabhängiger Unternehmensbeauftragter, der für die Einhaltung der DSGVO verantwortlich ist. Zu den allgemeinen Aufgaben gehören die Überwachung von Risikobewertungen, die Schulung von Mitarbeitern zu Datenschutzgrundsätzen und die Zusammenarbeit mit Regierungsbehörden.

Während nur einige Organisationen verpflichtet sind, Datenschutzbeauftragte zu ernennen, sollten alle darüber nachdenken, dies zu tun. Ein ausgewiesener DSGVO-Compliance-Leiter kann dabei helfen, die Umsetzung zu optimieren.

Datenschutzbeauftragte können Mitarbeiter eines Unternehmens oder externe Berater sein, die ihre Dienste im Rahmen eines Vertrags anbieten. Datenschutzbeauftragte müssen direkt der höchsten Führungsebene Bericht erstatten. Das Unternehmen kann keine Vergeltungsmaßnahmen gegen einen Datenschutzbeauftragten ergreifen, wenn dieser seinen Pflichten nachkommt. 

Organisationen außerhalb des EWR müssen einen Vertreter innerhalb des EWR ernennen, wenn sie regelmäßig die Daten von EWR-Bürgern verarbeiten oder hochsensible Daten verarbeiten. Der Vertreter des EWR Die Hauptaufgabe besteht darin, im Namen des Unternehmens bei Untersuchungen mit den Datenschutzbehörden zu koordinieren. Der Vertreter kann ein Mitarbeiter, ein verbundenes Unternehmen oder eine beauftragte Dienstleistung sein. 

Der Datenschutzbeauftragte und der EUA-Vertreter haben unterschiedliche Rollen mit unterschiedlichen Verantwortlichkeiten. Insbesondere handelt der Vertreter auf Anweisung der Organisation, während der Datenschutzbeauftragte ein unabhängiger Beamter sein muss. Eine Organisation kann keine Partei ernennen sowohl als DSB als auch als EWR-Vertreter zu fungieren.

Wenn eine Organisation in mehreren EWR-Staaten tätig ist, muss sie Folgendes identifizieren: federführende Aufsichtsbehörde. Die federführende Aufsichtsbehörde ist die wichtigste Datenschutzbehörde (DPA), die die Einhaltung der DSGVO für dieses Unternehmen in ganz Europa überwacht. 

Die federführende Aufsichtsbehörde ist in der Regel die Datenschutzbehörde des Mitgliedstaats, in dem die Organisation ihren Hauptsitz hat oder ihre Kernverarbeitungstätigkeiten ausübt. 

Entwerfen Sie eine Datenschutzrichtlinie 

Die DSGVO verlangt, dass Organisationen die Menschen darüber informieren, wie sie ihre Daten verwenden. Unternehmen können dieser Anforderung nachkommen, indem sie Datenschutzrichtlinien entwerfen, die ihre Verarbeitungsvorgänge klar beschreiben, einschließlich der vom Unternehmen erfassten Daten, Aufbewahrungs- und Löschrichtlinien, Benutzerrechte und anderer relevanter Details.

Datenschutzrichtlinien sollten eine einfache Sprache verwenden, die jeder verstehen kann. Das Verstecken wichtiger Informationen hinter dichtem Fachjargon kann gegen die DSGVO verstoßen. Organisationen können sicherstellen, dass Benutzer ihre Richtlinien sehen, indem sie Datenschutzhinweise zum Zeitpunkt der Datenerfassung weitergeben. Organisationen können ihre Datenschutzrichtlinien auch auf öffentlichen, leicht auffindbaren Seiten ihrer Websites hosten. 

Stellen Sie sicher, dass Drittpartner die Vorschriften einhalten 

Die Verantwortlichen tragen letztendlich die Verantwortung für die von ihnen erfassten personenbezogenen Daten, einschließlich der Art und Weise, wie ihre Auftragsverarbeiter, Anbieter und andere Dritte diese verwenden. Wenn Partner sich nicht an die Vorschriften halten, können Verantwortliche bestraft werden. 

Organisationen sollten ihre Verträge mit allen Dritten überprüfen, die Zugriff auf ihre Daten haben. In diesen Verträgen sollten die Rechte und Pflichten aller Parteien im Hinblick auf die DSGVO klar und rechtsverbindlich dargelegt werden.

Wenn eine Organisation mit Auftragsverarbeitern außerhalb des EWR zusammenarbeitet, müssen diese Auftragsverarbeiter dennoch die DSGVO-Anforderungen erfüllen. Tatsächlich unterliegen Datenübermittlungen außerhalb des EWR strengen Standards. Verantwortliche im EWR können Daten nur dann an Auftragsverarbeiter außerhalb des EWR weitergeben, wenn eines der folgenden Kriterien erfüllt ist:

• Die Europäische Kommission hat die Datenschutzgesetze des Landes als angemessen erachtet
• Die Europäische Kommission hat festgestellt, dass der Auftragsverarbeiter über ausreichende Datenschutzbestimmungen verfügt
• Der Verantwortliche hat Maßnahmen ergriffen, um den Schutz der Daten sicherzustellen

Eine Möglichkeit sicherzustellen, dass alle Partnerschaften und Datenübermittlungen der DSGVO entsprechen, ist die Verwendung von Standardvertragsklauseln. Diese vorgefertigten Klauseln wurden von der Europäischen Kommission vorab genehmigt und stehen jeder Organisation zur Nutzung frei zur Verfügung. Durch die Einfügung dieser Klauseln in einen Vertrag ist dieser DSGVO-konform, vorausgesetzt, dass sich beide Parteien daran halten. Weitere Informationen zu Standardvertragsklauseln finden Sie unter siehe Website der Europäischen Kommission (Link befindet sich außerhalb von ibm.com).

Erstellen Sie einen Prozess für Datenschutz-Folgenabschätzungen

Die DSGVO verpflichtet Unternehmen, vor jeder Verarbeitung mit hohem Risiko Datenschutz-Folgenabschätzungen (DPIAs) durchzuführen. Die DSGVO bietet zwar einige Beispiele – Einsatz neuer Technologien, groß angelegte Verarbeitung sensibler Daten –, listet jedoch nicht alle risikoreichen Aktivitäten vollständig auf.

Um die Sicherheit zu gewährleisten, können Organisationen vor jedem neuen Verarbeitungsvorgang die Durchführung einer DSFA in Betracht ziehen. Andere nutzen möglicherweise eine vereinfachte Vorabprüfung, um festzustellen, ob das Risiko hoch genug ist, um eine DPIA zu rechtfertigen.

Eine DSFA muss mindestens die Verarbeitung und ihren Zweck beschreiben, die Notwendigkeit der Verarbeitung beurteilen, Risiken für betroffene Personen bewerten und Abhilfemaßnahmen festlegen. Wenn das Risiko nach der Schadensbegrenzung weiterhin hoch bleibt, muss sich die Organisation mit einer Datenschutzbehörde beraten, bevor sie fortfährt. 

Erfahren Sie, wie IBM Guardium® Insights dazu beitragen kann, die Compliance-Berichterstellung mit vorkonfigurierten Workflows für DSGVO, CCPA und andere wichtige Vorschriften zu optimieren.

Implementieren Sie einen Reaktionsplan für Datenschutzverletzungen 

Organisationen müssen die meisten persönlichen Daten melden Datenverstöße innerhalb von 72 Stunden bei einer Aufsichtsbehörde melden. Stellt der Verstoß ein Risiko für die betroffenen Personen dar, beispielsweise durch Identitätsdiebstahl, muss das Unternehmen die betroffenen Personen ebenfalls benachrichtigen. Benachrichtigungen müssen direkt an die Opfer gesendet werden, es sei denn, dies wäre undurchführbar. In diesem Fall genügt die öffentliche Bekanntmachung.

Organisationen brauchen effektive Vorfallreaktion Pläne, die laufende Verstöße schnell erkennen, Bedrohungen beseitigen und Behörden benachrichtigen. Pläne zur Reaktion auf Vorfälle sollten Tools und Taktiken zur Wiederherstellung und Wiederherstellung von Systemen umfassen Informationssicherheit. Je schneller eine Organisation die Kontrolle zurückerlangt, desto geringer ist die Wahrscheinlichkeit, dass sie schwerwiegende behördliche Maßnahmen erleidet.

Auch Organisationen können diese Gelegenheit zur Stärkung nutzen Datensicherheit Maßnahmen. Wenn es unwahrscheinlich ist, dass ein Verstoß den Benutzern schadet – beispielsweise wenn die gestohlenen Daten so stark verschlüsselt sind, dass Hacker sie nicht nutzen können – muss das Unternehmen die betroffenen Personen nicht benachrichtigen. Dies kann dazu beitragen, Reputations- und Umsatzschäden zu vermeiden, die durch eine Datenschutzverletzung entstehen können.

Erleichtern Sie betroffenen Personen die Wahrnehmung ihrer Rechte 

Die DSGVO gewährt betroffenen Personen Rechte darüber, wie Organisationen ihre Daten verwenden. Das Recht auf Berichtigung ermöglicht es Nutzern beispielsweise, unrichtige oder veraltete Daten zu korrigieren. Das Recht auf Löschung ermöglicht es Nutzern, ihre Daten löschen zu lassen.

Im Allgemeinen müssen Organisationen den Anfragen der betroffenen Personen innerhalb von 30 Tagen nachkommen. Um die Verwaltung von Anfragen zu vereinfachen, können Organisationen Self-Service-Portale erstellen, über die Personen auf ihre Daten zugreifen, Änderungen vornehmen und deren Nutzung einschränken können. Portale sollten eine Möglichkeit bieten, die Identität von Personen zu überprüfen. Die DSGVO erlegt Organisationen die Pflicht auf, zu überprüfen, ob der Antragsteller der ist, für den er sich ausgibt.

Automatisierte Entscheidungen und Profiling 

Betroffenen Personen stehen hinsichtlich der automatisierten Verarbeitung besondere Rechte zu. Insbesondere können Organisationen keine Automatisierung nutzen, um wichtige Entscheidungen ohne die Zustimmung eines Benutzers zu treffen. Benutzer haben das Recht, automatisierte Entscheidungen anzufechten und zu verlangen, dass die Entscheidung von einem Menschen überprüft wird. 

Organisationen können Self-Service-Portale nutzen, um betroffenen Personen die Möglichkeit zu geben, automatisierte Entscheidungen anzufechten. Unternehmen müssen auch bereit sein, bei Bedarf menschliche Gutachter zu ernennen. 

Datenportabilität 

Betroffene Personen haben das Recht, ihre Daten überall hin zu übertragen, und Organisationen müssen diese Übertragungen ermöglichen. 

Unternehmen sollten es Benutzern nicht nur erleichtern, Übertragungen anzufordern, sondern auch Daten in einem gemeinsam nutzbaren Format speichern. Die Verwendung proprietärer Formate kann die Übertragung erschweren und die Rechte der Benutzer beeinträchtigen. 

Eine vollständige Liste der Rechte der betroffenen Person finden Sie unter Weitere Informationen finden Sie auf der Seite zur Einhaltung der DSGVO.

Setzen Sie Informationssicherheitsmaßnahmen um

Die DSGVO verlangt, dass Organisationen angemessene Datenschutzmaßnahmen ergreifen, um Systemschwachstellen zu schließen und unbefugten Zugriff oder illegale Nutzung zu verhindern. Die DSGVO schreibt keine konkreten Maßnahmen vor, legt aber fest, dass Organisationen sowohl technische als auch organisatorische Kontrollen benötigen.

Zu den technischen Sicherheitskontrollen gehören Software, Hardware und andere Technologietools SIEMs und Lösungen zur Verhinderung von Datenverlust. Die DSGVO fördert stark die Verschlüsselung und Pseudonymisierung, weshalb Unternehmen möglicherweise insbesondere diese Kontrollen implementieren möchten. 

Zu den organisatorischen Maßnahmen gehören Prozesse wie die Schulung der Mitarbeiter zu den DSGVO-Regeln und die Umsetzung formeller Maßnahmen Data Governance Politik. 

Die DSGVO fordert Unternehmen außerdem dazu auf, den Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen zu übernehmen. „By Design“ bedeutet, dass Unternehmen den Datenschutz von Anfang an in Systeme und Prozesse integrieren sollten. „Standardmäßig“ bedeutet, dass die Standardeinstellung für jedes System diejenige sein sollte, die den größtmöglichen Schutz der Privatsphäre des Benutzers gewährleistet. 

Erfahren Sie, wie IBM Datensicherheits- und -schutzlösungen Daten in Hybrid Clouds sichern und Compliance-Anforderungen vereinfachen.

Warum die Einhaltung der DSGVO wichtig ist 

Jede Organisation, die im Europäischen Wirtschaftsraum (EWR) tätig sein möchte, muss die DSGVO einhalten. Eine Nichteinhaltung kann schwerwiegende Folgen haben. Die schwerwiegendsten Verstöße können zu Geldstrafen von bis zu 20,000,000 EUR oder 4 % des weltweiten Umsatzes der Organisation im Vorjahr führen, je nachdem, welcher Betrag höher ist.

Jedoch müssen auch Datenkonformität Es geht nicht nur darum, Konsequenzen zu vermeiden. Es hat auch Vorteile. Abgesehen von der Tatsache, dass die Einhaltung der DSGVO Unternehmen den Zugang zu einem der größten Märkte der Welt ermöglicht, können die Grundsätze der DSGVO die Datensicherheitsmaßnahmen erheblich stärken. Unternehmen können mehr Datenschutzverletzungen stoppen, bevor sie passieren, und so durchschnittliche Kosten vermeiden 4.45 Millionen US-Dollar pro Verstoß.

Die Einhaltung der DSGVO kann auch den Ruf eines Unternehmens stärken und das Vertrauen der Verbraucher stärken. Menschen ziehen es im Allgemeinen vor, mit Organisationen Geschäfte zu machen, die dies tun Kundendaten sinnvoll schützen.

Die DSGVO hat ähnliche Datenschutzgesetze in anderen Regionen inspiriert, darunter auch in der Gesetz zum Schutz der Verbrauchergesetze in Kalifornien und Indiens Gesetz zum Schutz digitaler personenbezogener Daten. Die DSGVO gilt oft als eines der strengsten dieser Gesetze, sodass ihre Einhaltung Unternehmen dazu veranlassen kann, auch andere Vorschriften einzuhalten.

Wenn schließlich ein Unternehmen gegen die DSGVO verstößt, kann der Nachweis eines gewissen Maßes an Compliance dazu beitragen, die Auswirkungen abzumildern. Regulierungsbehörden wägen Faktoren wie bestehende ab Cybersicherheitskontrollen und Zusammenarbeit mit Aufsichtsbehörden bei der Festlegung von Strafen.

Entdecken Sie IBM Guardium Data Protection