8MAN und die Datenschutzgrundverordnung (DSGVO) Neuregelung
Wer sich im Unternehmen schon bisher um Datenschutz gemäß dem deutschen Bundesdatenschutzgesetz (BDSG) gekümmert hat, sollte auch künftig trotz höherer Sanktionen nicht viel befürchten. Mit der Neuregelung soll das europäische Datenschutzrecht vereinheitlicht werden. Die DSGVO ist auch eine Initiative zur Modernisierung. Damit regelt die Europäische Kommission die Verarbeitung personenbezogener Daten und verfolgt Verstöße gegen die Regulierung. Allerdings ist die Regelung eher ein Rechtskonstrukt zwischen Richtlinie und Verordnung. Der neue Datenschutz wird deutlich strenger als das bisherige deutsche Recht. Wenn die DSGVO ab 25.05.2018 unmittelbar gilt, wird sie das Bundesdatenschutzgesetz (BDSG) nicht ersetzen. Sie sieht aber vor, dass für eine Reihe von Themen Abweichungen zur Harmonisierung der Regelungen mit nationalem Recht möglich sind.
Checkliste über die essentiellen Veränderungen
- Datenschutzpraxis prüfen, anpassen und weiterentwickeln
- Je nach Geschäftsmodell und Branche, Vorschriften für Daten und Vorgänge ebenso wie für Haftungsregeln in den Vordergrund stellen
- Datenschutzmanagement bis 25. Mai 2018 anpassen So wirkt die EU-DS-GVO
- Soll das europäische Datenschutzrecht vereinheitlichen, eine Vollharmonisierung mit nationalem Recht ist nicht vorgesehen, es gibt aber „Öffnungsklauseln“
- Soll Folgendes erreichen: Schutz personenbezogener Daten, bessere Rahmenbedingungen für den digitalen europäischen Binnenmarkt, Förderung von Innovationen unter Gewährleistung eines hohen Schutzniveaus der Bürger
- Weltweite Geltung: Verarbeiten Unternehmen im Ausland Daten von Personen in der EU, müssen sie den europäischen Datenschutz anwenden
- Bußgelder können bis zu 4 Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahres oder 20.000.000 Euro bei ernsthaften Verstößen betragen und bis zu 2 Prozent oder 10.000.000 Euro bei leichten Versäumnissen wie beispielsweise fehlender Dokumentation von Verarbeitungsvorgängen, Datenschutz-Folgenabschätzung und Verletzung der Meldepflicht an Aufsichtsbehörden bei einer Datenschutzverletzung
- Kontrollpflichten und persönliche Haftung von Vorständen, Geschäftsführern, Managern, Datenschutzbeauftragten, IT-Chefs bei „Nichteinhalten“ sämtlicher Regeln (= ernsthaftes Vergehen)
- Datenschutz-Folgenabschätzung für ggf. risikobehaftete Datenverarbeitungen
- Datenschutzverstöße mit 72 Stunden Meldefrist
- Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen in IT-Systemen
- Unabdinglich: betrieblicher Datenschutzbeauftragter (DSB) für die meisten Unternehmen als Anlaufstelle
So hilft 8MAN auf dem Weg zur DSGVO
8MAN unterstützt Unternehmen und Behörden dabei, die Compliance, also die ordnungsgemäße und rechtskonforme Nutzer- und Rechteverwaltung auf Knopfdruck sicherzustellen und damit den gesetzlichen Anforderungen des Datenschutzes in Deutschland an „Rechtmäßigkeit, Loyalität, Zweckbindung, Datenminimierung, Transparenz, Genauigkeit der Daten, begrenzte Aufbewahrung der Daten und Datensicherheit“ Genüge zu tun. Damit schafft 8MAN im Rahmen eines umfassenden Berechtigungskonzepts alle Voraussetzungen für die Anpassung der Daten- und Informationssicherheit. Die Lösung ist nämlich eine von Grund auf nach Sicherheitskriterien (BSI-IT Grundschutz) entwickelte Anwendung. Mit 8MAN sichern Sie Ihren „Datenschatz“, das Unternehmenswissen, wirkungsvoll ab und ebnen sich den Weg zur Umsetzung der DSGVO.
Zentrale Anforderungen aus der DSGVO
Die DSGVO ist komplex. Die Artikel 5 und 32 repräsentieren die zentralen Neuanforderungen der DSGVO im Vergleich zu vorherigen Datenschutzrichtlinien. Über seine fünf zentralen Disziplinen bietet 8MAN ein klares und schnell zu implementierendes System für Ihr DSGVO-konformes Access Rights Management:
Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten
Mit der 8MAN Disziplin Permission Analysis ist die Anforderung (1) „Datensicherheit und Integrität herstellen“ schnell umsetzbar. Die Praxis der Berechtigungsvergabe wird in der 8MAN Disziplin Documentation & Reporting in strukturierten Reporten für Sie aufbereitet, die sich automatisiert im Unternehmen versenden lassen. Die Anforderung (2) „Dokumentation von Zugriffsrechten“ ist damit automatisch erfüllt. Die wichtige Anforderung (3) „Pflege der Berechtigungssituation“ wird durch die 8MAN Disziplin User Provisioning geregelt, z.B. müssen die Zugriffsrechte auf Ressourcen und personenbezogene Daten bei Austritt eines Mitarbeiters frühzeitig entfernt werden. Die Adhoc-Pflege der Berechtigungssituation ist z.B. auch eine wichtige Anforderung der periodischen Rezertifizierung.
Artikel 32: Sicherheit der Verarbeitung
Mit der Disziplin Role & Process Optimization bietet 8MAN den Rahmen für eine prozessuale Definition der Kontrolle und Pflege von Zugriffsrechten auf personenbezogene Daten. Zentral ist dabei die Konzeption der Dateneigentümer-Rolle, damit kommen Sie der Anforderung (4) „Data Owners einführen“ nach. Mit der fünften 8MAN Disziplin Security Monitoring vertiefen Sie das Sicherheitsniveau und erfassen Aktivitäten auf Verzeichnissen mit personenbezogenen Daten und unkontrollierte Berechtigungsvergaben. Durch die Alerts Funktion werden Manipulationen gemeldet.