DSGVO

Die allgemeine Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) wirkt sich erheblich auf die Datenschutzverfahren von Unternehmen aus, die personenbezogene Daten von EU-Bürgern verwalten, speichern oder verarbeiten. Die DSGVO gilt seit Mai 2018 und stärkt die Datenschutzrechte der EU-Bürger. Zudem verdeutlicht sie die behördlichen Richtlinien für internationale Unternehmen.

Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU)

Warum wird die DSGVO umgesetzt?

Die DSGVO soll nicht nur die Datenschutzrechte von EU-Bürgern stärken, sondern auch die behördlichen Richtlinien für internationale Unternehmen verdeutlichen. Sie ist dennoch komplex, und viele Unternehmen betrachten ihre Einhaltung als Herausforderung. Die grundlegende Idee hinter der DSGVO jedoch besagt, dass „jeder das Recht auf den Schutz der über ihn vorliegenden personenbezogenen Daten hat“ und sie war insofern schon immer ein entscheidender Faktor der bewährten Methoden in der ITAD-Branche.

Wen betrifft die DSGVO?

Diese Verordnung richtet sich an Unternehmen mit Niederlassungen in der EU. Sie gilt jedoch auch für Niederlassungen außerhalb Europas, wenn diese

  1. in Europa Produkte oder Dienstleistungen anbieten,
  2. personenbezogene Daten aus Europa verarbeiten oder
  3. das Verhalten von Menschen in Europa überwachen.

Von diesen drei Kategorien ist das Verarbeiten personenbezogener Daten die unüberschaubarste. Die Definition personenbezogener Daten wird im Rahmen dieser Anforderungen ebenso erweitert, wie die Rechte der jeweiligen Personen. Die DSGVO definiert personenbezogene Daten als beliebige Form identifizierbarer Informationen. Dies kann grundlegende Details wie z. B. Name, E-Mail-Adresse oder Telefonnummer ebenso umfassen, wie weitere Elemente, darunter Standort, Geschlecht, Alter und IP-Adresse. Selbst wenn Sie über Daten verfügen, die nicht direkt mit einer Identität verknüpft sind, können diese im Rahmen der DSGVO als „personenbezogene Daten“ gelten. Zudem erfordern vertrauliche Kategorien wie z. B. Gesundheitsdaten einen besonderen Umgang.

Wie lauten die möglichen finanziellen Folgen einer Nichteinhaltung der DSGVO?

Die rechtlichen und finanziellen Auswirkungen des Gesetzes sind enorm. Die Konsequenzen einer Nichteinhaltung sind verheerend, denn die Strafen können sich auf bis zu € 20.000.000 oder vier Prozent des globalen Umsatzes belaufen – ganz zu schweigen vom Risiko von Sammelklagen der Opfer von Datenschutzverstößen. Wer gegen die DSGVO verstößt, sieht sich zudem einer Geschäftsunterbrechung und Rufschädigung ausgesetzt.

Welche Rolle spielt der Datenschutzbeauftragte (DSB)?

Unabhängig von der Größe müssen alle Unternehmen einen Datenschutzbeauftragten (DSB) benennen, der die Einhaltung der Bestimmungen überwacht. Bei dieser Person kann es sich um einen Mitarbeiter oder einen Drittanbieter „mit Fachkenntnissen über die Datenschutzgesetze und -verfahren“ handeln (wobei die Mitgliedsstaaten über die Möglichkeit verfügen, strengere Kriterien umzusetzen). Der DSB ist für Mitarbeiterschulungen und interne Prüfungen zuständig. Außerdem muss er die Aufsichtsbehörden ggf. von einem Datenschutzverstoß in Kenntnis setzen. Diese Meldungen müssen unabhängig davon, ob der Verstoß auf einem Versehen oder auf Fahrlässigkeit beruht, „ohne schuldhaftes Verzögern“ und innerhalb von 72 Stunden nach dessen Feststellung erfolgen. In einigen Fällen muss der DSB auch die vom Datenschutzverstoß betroffenen Personen informieren.

Wirkt sich der Brexit auf die DSGVO-Anforderungen in Großbritannien aus?

Seit der „Brexit“-Entscheidung im Juni wurde in Großbritannien viel darüber diskutiert, inwieweit sich die Übernahme der DSGVO auswirken wird. Derzeit plant die Regierung die DSGVO zu übernehmen, da sie in Kraft treten wird, bevor Großbritannien die EU verlässt. Es liegen keine Pläne für Änderungen an der Verordnung vor, wobei dies langfristig nicht ausgeschlossen werden kann.

Was geschieht, wenn mein Unternehmen die DSGVO nicht einhält?

Das größte Risiko für die Nichteinhaltung sind die beträchtlichen Strafen. Die Strafe für Gesetzesverstöße kann bis zu vier Prozent des Jahresgewinns des Unternehmens ausmachen. Zu den weiteren Risiken zählen

  • von den Datenschutzbehörden verhängte verbindliche Anpassungen der Meldepflicht,
  • Rufschädigung und
  • Vertrauensverlust bei Partnern und Kunden.

Die Risiken sind erheblich. Daher wird dieser neuen Verordnung so viel Beachtung geschenkt. Die beste Möglichkeit, sich gegen Verstöße zu wappnen, besteht selbst bei Nichteinhaltung darin, nachzuweisen, dass Sie über ein Verfahren verfügen und vorbeugende Maßnahmen treffen. In Bezug auf ITAD können Sie die entsprechende Richtlinie aktualisieren (oder erstellen), um diese Maßnahmen zu integrieren und zu dokumentieren, dass Sie über Verfahren verfügen.

IT ASSET DISPOSITION PARTNER BEREITEN SICH AUF DIE ALLGEMEINE DATENSCHUTZRECHTLICHE REGELUNG VOR.

Wie bewerte ich meinen ITAD-Anbieter?

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) ist verständlicherweise ein Thema, das von ITAD-Fachleuten heftig diskutiert und geprüft wird. Die Verordnung gilt seit Mai 2018 für alle Organisationen – öffentlich und privat, überall auf der Welt –, die personenbezogenen Daten von EU-Bürgern verwalten, speichern oder verarbeiten.

Der breite Geltungsbereich der DSGVO wirkt einschüchternd, jedoch bietet diese sich verändernde Landschaft ITAD-Anbietern auch eine Wachstumschance. Angesichts der technologischen Anforderungen und der beim Löschen von Daten entstehenden Risiken werden viele Unternehmen und Behörden diese Aufgabe sehr wahrscheinlich zu einem Anbieter auslagern, der bereits über einen zugelassenen Betrieb verfügt. So verunsichernd die Geldstrafen für große Unternehmen auch sein mögen, können sie insbesondere für kleinere Firmen katastrophale Folgen haben. Da die ITAD-Branche hervorragend dafür gerüstet ist, den Schutz personenbezogener Daten in ganz Europa zu gewährleisten, sind wir bestens dafür aufgestellt, die DSGVO einzuhalten – und sogar ein Wachstum zu generieren.

Um die DSGVO vollständig einzuhalten, müssen ITAD-Anbieter sowohl technische als auch organisatorische Maßnahmen ergreifen, um zu gewährleisten, dass die personenbezogenen Daten von EU-Bürgern vollständig geschützt sind. Branchenzulassungen können als Versicherung dienen, dass personenbezogene und Unternehmensdaten sicher verwaltet werden. ISO 27001 bestätigt, dass ein Unternehmen innerhalb eines für das Verwalten von Datenschutzrisiken geeigneten Rahmen agiert und seine Verfahren regelmäßig prüft und verbessert. Zertifizierungen wie diese sind daher ein hilfreicher Indikator dafür, dass ein ITAD-Anbieter die entscheidenden Elemente der DSGVO beachtet.

ITAD-Anbieter müssen sicherstellen, dass ihre internen Organisationssysteme dieselben unanfechtbaren Standards wie die technischen erfüllen. Mithilfe dieser Organisationsanforderungen kann das Risiko von Datenschutzverstößen verringert werden, sodass der ITAD-Anbieter die DSGVO einhält. Glücklicherweise sind einige dieser Maßnahmen recht unkompliziert.

Auch müssen die ITAD-Anbieter sorgfältig auf die versicherungstechnische Abdeckung ihrer Cyber-Haftung achten. Die Anbieter sollten über einen geeigneten Schutz und eine Versicherung verfügen, die von einem spezialisierten Drittanbieter mit einem Supportdienst für die Vorfall- und Schadensbegrenzung gedeckt ist. Dies ist herkömmlichen und möglicherweise langwierigen vertraglich geregelten Wiedergutmachungen vorzuziehen.

Was sollten alle Unternehmen (global) im Zusammenhang mit ITAD beachten?

Unabhängig vom Standort Ihres Unternehmens sollten Sie im Rahmen Ihres ITAD-Programms Folgendes in Erwägung ziehen:

  • Durchführen einer Risikobewertung für alle gespeicherten Daten – Prüfen Sie Ihr aktuelles Entsorgungsprogramm, und ermitteln Sie, ob potenzielle Sicherheitslücken vorliegen.
  • Dokumentieren des Verfahrens – Schließen Sie das ITAD-Verfahren in Ihre Bewertung der Datenschutzauswirkungen ein.
  • Prüfen Ihres ITAD-Anbieters – Stellen Sie sicher, dass Ihr Anbieter über Verfahren verfügt, die Sicherheit für den gesamten Entsorgungsprozess ebenso gewährleistet, wie Ihre Einhaltung der DSGVO in Bezug auf ITAD.

Wenn bei Ihnen auch nur die Möglichkeit besteht, personenbezogene Daten von EU-Bürgern zu speichern oder zu verwalten, sollten Sie umgehend handeln. Das Verwalten von auf veralteten IT-Anlagen gespeicherten Daten ist nur ein Teil der DSGVO, und Statistiken belegen, dass drei von vier Unternehmen derzeit noch nicht vorbereitet sind. Die Kenntnisnahme ist ein Beginn. Nun heißt es jedoch, entsprechende Schritte einzuleiten.

Wenden Sie sich an Ihren Berater für Unternehmenslösungen

Sprechen Sie noch heute mit ARBITRAGE RECYCLING SOLUTION darüber, wie wir Ihr Unternehmen mit Datenschutz- und konformen Diensten unterstützen können.