EU-DSGVO: Die wichtigsten Fakten im Überblick (Teil I)

„Daten sind das neue Öl“ ist ein Zitat der EU-Politikerin Meglena Kuneva aus dem Jahr 2009, welches kurz und prägnant die Wichtigkeit der privaten und geschäftsbezogenen Daten in der heutigen multimedialen Zeit beschreibt. Dabei geht es den Unternehmen in erster Linie darum, personenbezogene Daten für die unternehmerischen Ziele und Strategien zu sammeln, zu speichern und zu verarbeiten. Dies ist auch der Grund, weshalb die EU am 25. Mai 2016 die DSGVO – Datenschutzgrundverordnung (engl. GDPR) – eingesetzt hat. Diese EU-weit geltende Richtlinie trat schließlich am 25. Mai 2018 in Kraft. Nur wen betrifft das tatsächlich und was sind die Kerninhalte dieser neuen gesetzlichen Regelung? In meiner zweiteiligen Blogreihe werde ich Ihnen dieses Thema näher bringen und zudem auf die Herausforderungen für SAP-Systeme und die damit einhergehenden Lösungen mithilfe unserer unternehmenseigenen Sicherheitssuite – der Xiting Authorizations Management Suite (kurz XAMS) – aufzeigen.

Im nachfolgenden Beitrag werde ich Ihnen zunächst einen Überblick über das Thema EU-DSGVO bzw. GDPR geben.

Inhalte der EU-DSGVO

Die Ziele der EU-DSGVO sind nicht nur der Schutz personenbezogener Daten[1], sondern auch der allgemeine Schutz der Grundrechte und Grundfreiheiten einer jeden natürlichen Person[2]. Dabei wird zukünftig besonders auch der Verkehr von personenbezogenen Daten reguliert[3]. Innerhalb Deutschlands gilt seit 1990 das BDSG[4]. Dieses Gesetz wurde zum Schutz der Verbraucher erlassen und regelt u.a. den Umgang von Daten mit Personenbezug in Deutschland. Die Inhalte des BDSG werden mit der DSGVO erweitert. Da es sich bei DSGVO um eine Verordnung handelt, bedarf sie keiner Umsetzung in die nationalen Gesetze, sondern gilt gleichermaßen für den gesamten europäischen Raum. Diese Tatsache hat auch Einfluss auf den Anwendungsbereich. Demzufolge sind nicht nur die EU-Länder betroffen, sondern auch Unternehmen, die in der EU tätig sind bzw. Daten von EU-Bürgern in irgendeiner Weise für ihr Geschäftsgebaren nutzen. Die Verordnung betrifft somit vor allem auch Länder, die bisher nur minimale Datenschutzanforderungen auferlegt bekamen. Hierbei kommt das Marktortprinzip zum Tragen. Alle Unternehmen, die Waren oder Dienstleistungen in der europäischen Union verarbeiten, sind davon betroffen. Es wird somit nicht der Sitz des Unternehmens beachtet, sondern aus welchem geografischen Raum die Daten bezogen werden. Für den Kreis der Betroffenen heißt das explizit:

  • Datensicherheit – Es muss ein angemessener Schutz der personenbezogenen Daten mit dem aktuellen Stand der Technik und Art und Weise garantiert werden. (Art. 2 DSGVO)
  • Pflicht der Einholung von Einwilligungen – Bevor personenbezogene Daten erhoben werden dürfen, muss vorher die jeweilige Person ihr Einverständnis dafür geben. (Art. 4 DSGVO)
  • Datenminimierung – Es dürfen nur die tatsächlich benötigten Daten gesammelt werden. (Art. 5 DSGVO)
  • Zweckbindung – Die Verarbeitung von Daten ist nur für den Zweck legitim, für den sie auch erhoben wurden. (Art. 5 DSGVO)
  • Datenrichtigkeit – Die erhobenen Daten müssen aktuell und sachlich richtig im Unternehmen gehalten werden. (Art. 5 DSGVO)
  • Rechenschaftspflicht – Datenverantwortliche der Unternehmen müssen bei Aufforderung der zuständigen Stelle die Einhaltung aller Datenschutzprinzipien laut DSGVO nachweisen können. (Art. 5 DSGVO)
  • Verbot mit Erlaubnisvorbehalt – Die Sammlung, Verarbeitung und Nutzung von Daten mit Personenbezug sind grundsätzlich ohne Einwilligung der betroffenen Person bzw. durch Gesetze verboten. (Art. 6 DSGVO)
  • Recht auf Löschung – Jede Person kann ihr Recht geltend machen, die Löschung ihrer eigenen persönlichen Daten bei dem jeweiligen Unternehmen zu verlangen. (Art. 17 DSGVO)
  • Recht auf Datenübertragbarkeit – Die Nutzer, deren Daten erhoben wurden, können einen Datentransfer ihrer Daten zu einer anderen Institution verlangen. (Art. 20 DSGVO)
  • Einsetzung eines Datenschutzbeauftragten – Ein Unternehmen muss nach Sichtung der Auflagen laut DSGVO gegebenenfalls einen unternehmensinternen Datenschutzbeauftragten einsetzen. (Art. 35 DSGVO)

Auswirkung auf die Unternehmen

Aus der Zusammenführung aller Regularien ist ersichtlich, dass die Unternehmen genau prüfen müssen, welche Daten, auf welchen ihrer Systeme betroffen sind. Es muss dementsprechend eine granulare Nachvollziehbarkeit und Nachweisbarkeit für die Prüfer gewährleistet werden. Werden die Vorgaben der DSGVO nicht eingehalten, können erhebliche Sanktionen drohen. So wurden in der Vergangenheit bei Verstößen gegen das BDSG Bußgelder in Höhe von 50.000 bis 300.000€[5] veranschlagt. Diese nahmen eine Vielzahl von Unternehmen billigend in Kauf. Nun sieht die Sachlage anders aus:

  • Ein Verstoß gegen die EU-DSGVO kann mit einem Bußgeld von bis zu 20 Mio. € bzw. 2% bis 4% des weltweiten Vorjahresumsatzes geahndet werden.
  • Gravierende Verstöße können sogar zu Freiheitsstrafen von bis zu 2 Jahren führen.

Fazit

Auf Basis dieses ersten Blogs zur Blogreihe „EU-DSGVO“ haben Sie nun einen gesamtheitlichen Überblick zu den Fakten und Auswirkungen, die mit dieser neuen Verordnung nun für jedes Unternehmen bindend sind. Es ist nicht nur ersichtlich, dass das Thema „Datensammlung, -speicherung und -verarbeitung“ einen ganz neuen Stellenwert in der Wirtschaft und Gesellschaft einnimmt, sondern bei unsachgemäßer Behandlung die Auswirkungen auf die Unternehmen tiefgreifend sein können. Nach der Akkumulation der wichtigsten Kerninhalte bleiben jedoch noch zwei wesentliche Fragen offen: „Welchen Einfluss hat diese Entwicklung auf die bestehenden SAP-Systeme und wie kann man sie lösen?“. Diese technische Transferleistung werde ich mit meinem zweiten Blog „EU-DSGVO: Auswirkung auf SAP-Systeme und eine Lösung durch die XAMS“ für Sie übernehmen, der in der kommenden Woche hier erscheinen wird.

Die Xiting AG bietet Ihnen verschiedenste Services rund um das Thema SAP Security und GDPR an. Vor allem unser unternehmenseigenes Sicherheitstool, die Xiting Authorizations Management Suite, kurz XAMS, ermöglicht Ihnen den Bau eines neuen Rollenkonzepts auf Basis Ihrer Nutzungsdaten bis hin zur Generierung eines revisionskonformen Sicherheitskonzeptes per Knopfdruck. Überzeugen Sie sich einfach selbst und schauen Sie bei einem unserer vielen verschiedenen Webinare vorbei.

_____________

Fußnoten:
[1] Def.: Es entsteht ein Personenbezug, wenn Information oder Daten einer Person in irgendeiner Weise zugeordnet werden können.
[2] Vgl. Art. 1 Abs. 2 DSGVO.
[3] Vgl. Art. 1 Abs. 3 DSGVO.
[4] Def.: Das Bundesdatenschutzgesetzt reguliert seit 1990 jeglichen Umgang mit Personen- und Geschäftsdaten durch Vorgaben für die Unternehmen zum Schutz der Grundrechte eines deutschen Staatsbürgers innerhalb Deutschlands.
[5] Vgl. §43 BDSG.

Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 9888 155
[email protected]
+1 855 594 84 64
[email protected]
+44 203 47 33 903
[email protected]
Kontakt
Termin