Gdpr beginnt heute! Was du wissen musst

Ab dem heutigen Tag, dem 25. Mai 2018, wird das Recht der Europäischen Union (EU) zur allgemeinen Datenschutzverordnung (DSGVO) in Bezug auf die Frage, wie personenbezogene Daten von Unternehmen behandelt werden müssen, globales Recht. Während Sie vielleicht denken, dass ein in Europa ratifiziertes Datenschutzgesetz nur für Europäer gilt, würden Sie sich irren. Das liegt daran, dass die DSGVO alle EU-Bürger schützt, unabhängig davon, wo sie leben und mit wem sie Geschäfte tätigen. Dies bedeutet, dass amerikanische Unternehmen mit EU-Kunden strengen DSGVO-Anforderungen und - schlimmer noch - Strafen unterliegen. Schlimmer noch, denn einem aktuellen Bericht von Crowd Research Partners zufolge sind nur 7 Prozent der Unternehmen auf dem Weg, bis zum heutigen Stichtag GDPR-konform zu sein.

Und während es Schritte gibt, die Sie auch heute noch unternehmen können, um Ihr Unternehmen zumindest einigermaßen GDPR-sicher zu machen, ist das Erreichen der vollständigen Konformität kein leichtes Projekt. Die Prozesse zum Sammeln von Daten müssen relevant sein für die Art und Weise, wie die Daten vom Unternehmen verwendet werden (z. B. Verbrauchereinkaufsdaten, jedoch keine Krankengeschichtsdaten für E-Commerce-Unternehmen). Unternehmen sollten bereit und in der Lage sein, genau zu erklären, welche Daten gesammelt wurden und warum. Sicherheitspraktiken müssen nachweislich in der Lage sein, sich gegen Verlust, Beschädigung und Zerstörung abzusichern, und Daten sollten nicht länger als erforderlich aufbewahrt werden. Jedes Unternehmen, das die Vorschriften nicht einhält, muss einen Verlust von 4 Prozent seines Jahresumsatzes hinnehmen.

"Dies ist kein zahnloses Regelwerk", sagte Ankur Laroia, Strategic Solutions Leader beim Informationsmanagement-Systemanbieter Alfresco. Laroia macht geltend, dass mehrere Probleme in den Satzungen der Verordnung es Unternehmen erschweren, die Vorschriften einzuhalten. Einige Probleme betreffen beispielsweise abstrakt geschriebene Regeln für die Erfassung von Daten, die Übererfüllung der Anforderungen für die Bereinigung von Kundendaten auf Anforderung und die Notwendigkeit, dass einige Unternehmen die Sicherheitsverfahren vollständig überarbeiten, um die Einhaltung sicherzustellen. Trotzdem glaubt Laroia nicht, dass die EU herumspielt.

"Die EU wird Straftäter verfolgen", prognostiziert er. "Wäre dies in Kraft getreten, wäre Equifax in große Schwierigkeiten geraten."

Die DSGVO konzentriert sich zwar hauptsächlich auf EU-Bürger, bietet aber auch ein Alptraumszenario für amerikanische Unternehmer. Wir werden aufschlüsseln, was die Amerikaner wissen müssen, um den Weg zur Einhaltung der DSGVO zu beschreiten.

1. Amerikanische Unternehmen müssen einhalten

Wenn Ihre Tante-Emma-Buchhandlung noch nie ein Paket außerhalb Ihrer Heimatstadt verschickt hat, müssen Sie sich wahrscheinlich nicht um die DSGVO kümmern. Wenn Sie jedoch auch nur einen Kunden in der EU haben, müssen Sie sofort damit beginnen, die GDPR-Konformität herzustellen. Gemäß den Statuten müssen die Daten der EU-Bürger geschützt werden, und Sie müssen den Bürgern diese Daten zur Verfügung stellen, wenn er sie anfordert. Noch wichtiger ist, dass Sie möglicherweise aufgefordert werden, diese Daten aus Ihren Systemen zu löschen, wenn der Bürger die Anfrage stellt. Wenn Sie dies nicht tun und der GDPR-Wachhund es herausfindet, werden Sie 4 Prozent Ihres Jahresumsatzes verlieren.

"Obwohl es sich um eine EU-Richtlinie handelt, betrifft dies jedes Unternehmen auf der ganzen Welt, dessen Kunden in der EU ansässig sind", sagte Pete Lindstrom, Vizepräsident für Sicherheitsforschung bei IDC. "Wenn Sie Adressfelder haben und diese eine europäische Adresse sind, werden sie wahrscheinlich als europäisch angesehen."

Es gibt keinen Unterschied zwischen einem Unternehmen mit Hauptsitz in der EU und einer Stadt wie Skokie, Illinois. Das Gesetz konzentriert sich stattdessen auf personenbezogene Daten (PII) und darauf, wo sich die mit den Daten verbundene Person befindet. Jeder, der PII-Daten zu einem europäischen Kunden hat, muss diese einhalten.

Selbst wenn Ihr Unternehmen nur wenige Kunden in der EU hat, ist es sehr unwahrscheinlich, dass Ihre lokale Buchhandlung von GDPR-Wachhunden geprüft wird. Aber große Unternehmen wie Facebook und Yahoo werden nicht in der Lage sein, die amerikanische Loyalität als Mittel zur Umgehung der DSGVO zu beanspruchen.

"Wenn Sie eine Tante sind und eine Verletzung haben, sind Sie rechtlich haftbar", sagte Laroia. "Es ist schwer zu sagen, ob sie realistisch hinter Ihnen her sind… jeder EU-Mitgliedstaat wird eine Konformitätsstelle haben. Diese Stelle wird nach dem Konformitätsschema aller fragen. Sie werden ein Verzeichnis der Unternehmen erstellen, die in ihren Regionen Geschäfte tätigen." Sie werden die größeren Leute vor Ort überprüfen und anfangen, Fragen zu stellen."

Amerikanische Unternehmen, die sich nicht daran halten, sollten nicht erwarten, dass die US-Regierung sie abschirmt, wenn die von der GDPR unterstützten EU-Staaten versuchen, die verfallen Einnahmen einzutreiben. "Die US-Regierung muss sicherstellen, dass diese Urteile vollstreckt werden", sagte Laroia. "Ob sie durchgesetzt werden, steht noch nicht fest, aber die Regierung in der EU wird kämpfen müssen."

2. 25. Mai Mittel 25. Mai

Obwohl die Verordnung heute, am 25. Mai 2018, in Kraft tritt, wurde das Gesetz am 14. April 2016 vom EU-Parlament ratifiziert. Für die EU bedeutet dies, dass Unternehmen ausreichend Zeit hatten, GDPR-konforme Praktiken umzusetzen. Wenn Ihr Unternehmen also morgen von einem massiven Cyberangriff heimgesucht wird und die Daten, die Sie über Kunden, Website-Besucher und sogar Partner gesammelt haben, in das schändliche dunkle Internet gelangen, können Sie nicht behaupten, "nicht genügend Zeit" zu haben Entschuldigung für die Weitergabe von EU-Bürgerdaten.

"Die Statuten sind in Kraft getreten", sagte Laroia. "Sie können gebeten werden, Ihren Weg zur Einhaltung der Vorschriften bereits aufzuzeigen. Haben Sie eine Bestandsaufnahme durchgeführt? Wie lautet Ihr Protokoll, damit ein EU-Bürger nach Ihren Daten fragt? Diese Unternehmen können sofort nach diesen Informationen gefragt werden. Sie werden nächstes Jahr mit einer Geldstrafe belegt, wenn Nach Mai können sie keine Compliance mehr nachweisen."

3. Erwarten Sie keine Verlängerung

Im Gegensatz zu den meisten Kämpfen um gesetzliche Regelungen in den USA (z. B. Netzneutralität) trat am 24. Mai 2018 niemand in der EU ein, um die DSGVO herauszufordern und damit die Regelung auf unbestimmte Zeit zu verschieben. Die Europäer wollten das und jetzt haben sie es.

"Das ist das Schöne an der Art und Weise, wie die Vorschriften erlassen wurden", sagte Laroia. "Weil sie den Unternehmen ein Jahr Zeit gaben, um sich richtig zu verhalten, gab es aus der Perspektive der Rechtsstreitigkeiten keine Herausforderungen. Wenn wir das sehen würden, wäre es bereits passiert. Könnte das jemand tun, nachdem sie angeklagt wurden?" Ich bin mir sicher, dass sie es versuchen werden, aber an diesem Punkt wird es für sie schlecht aussehen."

4. Was Sie tun müssen, um die Anforderungen zu erfüllen

Gemäß den gesetzlichen Bestimmungen müssen Sie jemanden mit der Verwaltung des Compliance-Prozesses beauftragen. Diese Person, die das GDPR-Gesetz den "Datenschutzbeauftragten" (Data Protection Officer, DPO) nennt, ist die zuständige Person, die das Aufsichtsteam der GDPR durch die Art und Weise führt, in der Ihr Unternehmen seine Daten gesichert hat. Diese Person ist auch dafür verantwortlich, die unterschiedlichen Geschäftsbereiche in Ihrem Unternehmen zusammenzuführen, um eine Methodik zu entwickeln, mit der die GDPR-Konformität erreicht und aufrechterhalten werden kann.

Kurz gesagt, die Aufgaben des Datenschutzbeauftragten werden in vier Hauptkategorien unterteilt:

• Erstens müssen sie mit den GDPR-Details vertraut genug sein, um nicht nur als Ansprechpartner für den anfänglichen Compliance-Prozess, sondern auch für alle künftigen Fragen zum Umgang mit GDPR-Daten zu fungieren, und mit Sicherheit genug, um Fragen von beiden leitenden Mitarbeitern beantworten zu können Führungskräfte und Datenverarbeiter IT-Mitarbeiter vor Ort.
• Zweitens müssen sie in der Lage sein, alle laufenden Datenverarbeitungsprozesse in Ihrer Organisation zu überwachen und ihre Wirksamkeit in Bezug auf die Sicherheit personenbezogener Daten zu bewerten.
• Drittens müssen sie über Prüfungs- und Überwachungsfunktionen für jeden Bereich Ihres Unternehmens verfügen, auf den sich die DSGVO auswirken kann, und diese regelmäßig auf ihre Einhaltung überprüfen.
• Und zuletzt müssen sie mit den GDPR-Behörden Ihrer Branche in Kontakt stehen, mit ihnen zusammenarbeiten und als Ansprechpartner für alle Anfragen fungieren, die von dieser Behörde eingehen.

All dies läuft darauf hinaus, dass eine Person die Datenflüsse und Datenschutzmaßnahmen und -technologien sowie das Wissen über Details der GDPR-Gesetzgebung, aber auch über verwandte und relevante EU-Gesetze wie die E-Privacy-Richtlinie versteht. Der wahrscheinliche Mangel an diesen Fähigkeiten hat für Unternehmens- und IT-Berater zu einer Art grünen Wiese geführt. Wenn Sie dieses Talent jedoch intern entwickeln möchten, ist die Suche nach englischsprachigen, europäischen Online-Lernressourcen eine gute Wahl. Viele von ihnen haben für diesen Zweck GDPR DPO-Kursunterlagen entwickelt. Darüber hinaus gibt es multinationale Branchenorganisationen wie die International Association of Privacy Professionals (IAPP), die GDPR-Schulungsunterlagen und -Zertifizierungen anbieten.

Um die Konformität zu gewährleisten, müssen Sie mindestens eine Verschlüsselungsmethode für physische Server, NAS (Network Attached Storage), Festplatten und Laufwerke sowie den Netzwerkzugriff anwenden. Beim Zugriff auf PII und für Transaktionen, die PII-Daten enthalten, müssen Sie die Identität der Mitarbeiter überprüfen und eine Multifactor Authentication (MFA) einrichten. Sie müssen alle Praktiken unterbinden, die auf Daten für nicht autorisierte Zwecke zugreifen oder diese verarbeiten, Daten ständig überwachen und überprüfen, um ihre Relevanz sicherzustellen, und Kundendaten vollständig und irreversibel bereinigen, wenn Sie dazu aufgefordert werden. Unternehmen müssen umfassende Risikobewertungen durchführen und mit Partnern zusammenarbeiten, insbesondere mit Partnern, die über APIs (Application Programming Interfaces) verbunden sind, um die fortlaufende Einhaltung sicherzustellen.

Wenn die Daten Ihrer Organisation verletzt werden, müssen Sie Ihren zuständigen Datenschutzbeauftragten unverzüglich benachrichtigen, um den Verstoß und die Folgen vollständig zu beschreiben. Und Sie müssen den betroffenen Kunden die Folgen des Verstoßes mitteilen.

5. US-Kunden

Laroia sagte, es sei letztendlich ein guter Geschäftssinn, Kundeninformationen zu schützen und gut zu verwalten. "Das muss man vom Standpunkt des Endkunden aus betrachten", sagte Laroia. "Sie sind der Grund, warum diese Unternehmen im Geschäft sind. Ja, obwohl es für das Geschäft schmerzhaft ist, haben Unternehmen nicht in Technologie investiert oder mit dem Innovationstempo Schritt gehalten."

Leider stehen ähnliche US-Vorschriften nicht in den Büchern. Unternehmen, die in New York Geschäfte im Rahmen der Cyber-Sicherheitsanforderungen des New Yorker Finanzministeriums tätigen, sind in gewissem Umfang abgesichert. Nach dieser Vorschrift müssen Unternehmen mit Sitz in New York eine oder mehrere schriftliche Richtlinien einführen und aufrechterhalten, die von einem leitenden Angestellten oder dem Verwaltungsrat des abgedeckten Unternehmens (oder einem entsprechenden Ausschuss davon) oder einem gleichwertigen Leitungsgremium genehmigt wurden. Hierin sind die Richtlinien und Verfahren des abgedeckten Rechtssubjekts zum Schutz seiner auf diesen Informationssystemen gespeicherten Informationssysteme und nicht öffentlichen Informationen gemäß den gesetzlichen Bestimmungen festgelegt.

Andere Staaten, wie Colorado, haben die Umsetzung ähnlicher Vorschriften erörtert. Es gibt jedoch kein umfassendes US-Bundesgesetz. Aber Laroia ist optimistisch, dass die USA als nächstes kommen werden. "Amerikaner haben keine solchen Rechte", sagte er. "Aber gib es fünf Jahre."