Da der Datenschutz sowohl für Regierungen als auch für Unternehmen auf der ganzen Welt oberste Priorität hat, sehen wir einen Zustrom von Datenschutzgesetzen, die die dringend benötigten regulatorischen Anforderungen sicherstellen. Eines dieser Gesetze, oder vielleicht sogar eines der allerersten, die die Welt kennt, ist die Allgemeine Datenschutzverordnung (General Data Protection Regulation, GDPR).
Kurz gesagt ist die GDPR eine Gesetzgebung, die den Verbrauchern das Recht gibt, ihre Daten zu kontrollieren, die rechtmäßig von Organisationen oder Dienstleistern gesammelt werden. Die am 25. Mai 2018 in der EU in Kraft getretene Datenschutz-Grundverordnung ist nicht nur für Verbraucher, sondern auch für Unternehmen, die in der Region tätig sind, von größter Bedeutung.
Inhaltsübersicht
Einführung
Erst vor wenigen Tagen bestätigte Europol – die Hüterin von Recht und Ordnung in der Europäischen Union– einen Einbruch in ein Webportal; eine andere Nachricht besagt, dass ein massiver Einbruch in die Daten von Dell etwa 49 Millionen Nutzer betroffen hat. Wir hören von zahlreichen Datenschutzverletzungen auf der ganzen Welt, die Organisationen aller Art betreffen. Und obwohl es praktisch unmöglich ist, solche Verstöße ganz zu verhindern, gibt es durchaus Möglichkeiten, um sicherzustellen, dass die Daten der Benutzer nicht in extremem Maße betroffen sind. Die Gesetze zum Datenschutz und zum Schutz der Privatsphäre gewährleisten genau das. Tatsächlich waren von der Datenpanne im Internet, die Europol getroffen hat, keine betrieblichen Daten betroffen. Auch bei der Datenpanne bei Dell wurden laut einer Erklärung keine Kundendaten wie Finanz- und Zahlungsinformationen, E-Mail-Adressen und Telefonnummern gestohlen. Dank Datenschutzgesetzen wie der General Data Protection Regulation sinkt das Risiko, dass Benutzerdaten gestohlen werden.
Was ist die Allgemeine Datenschutzverordnung?
Die General Data Protection Regulation (GDPR), die als das härteste Datenschutz- und Sicherheitsgesetz der Welt angepriesen wird, umreißt einen Rahmen, der sich darauf konzentriert, wie eine Organisation personenbezogene Daten sammeln, verarbeiten, speichern und übertragen kann. Diese umfassende Datenschutzverordnung trägt zur Kontrolle der Datenschutzgesetze in allen Mitgliedsländern der Europäischen Union bei.
Ein wichtiger Punkt, den Sie beachten sollten – obwohl die Gesetzgebung von der EU entworfen und verabschiedet wurde, erlegt das Gesetz auch Nicht-EU-Organisationen Verpflichtungen auf, wenn sie Daten über Bürger in den Mitgliedsländern der Europäischen Union sammeln. Mit der Umsetzung der Datenschutz-Grundverordnung (GDPR) bekräftigt Europa seine Haltung in Bezug auf die Bedeutung und die Prioritäten des Datenschutzes, insbesondere in einer Zeit, in der das digitale Zeitalter mehr und mehr an Bedeutung gewinnt.
Die Verordnung ist in ihren Einzelheiten ziemlich streng, was die Einhaltung der DSGVO für Organisationen, vor allem für kleine und mittlere Unternehmen, etwas mühsam machen kann. Unternehmen, die die Anforderungen der Datenschutzverordnung nicht erfüllen, müssen mit hohen Geldstrafen und Bußgeldern rechnen, die in den zweistelligen Millionenbereich gehen können.
Insgesamt wurde das GDPR-Gesetz entwickelt, um den Personen, die der Erfassung ihrer persönlichen Daten durch Organisationen zustimmen, einen besseren und umfassenderen Schutz und mehr Rechte zu bieten. Darüber hinaus legt dieses Datenschutzgesetz auch Wert darauf, wie Benutzerdaten gesammelt, sortiert und verwendet werden müssen, sowie auf die erforderlichen Einschränkungen.
Es heißt, dass das Gesetz zur Allgemeinen Datenschutzverordnung die Datenschutzbestimmungen in den Mitgliedsländern der Europäischen Union harmonisiert hat. Abgesehen von den EU- und Nicht-EU-Staaten gilt die Datenschutz-Grundverordnung auch für alle Organisationen, die Dienstleistungen in der EU anbieten, unabhängig von ihrem Standort.
Die Geschichte der Allgemeinen Datenschutzverordnung
Zwar gibt es heute mehr Stimmen, die sich für den Datenschutz in der digitalen Welt einsetzen, aber Tatsache ist, dass das „Recht auf Privatsphäre“ schon immer ein wichtiges Thema in der Welt war. Was die EU betrifft, so ist das „Recht auf Privatsphäre“ Teil der Europäischen Menschenrechtskonvention von 1950, in der es heißt: „Jeder hat das Recht auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs.“
Als wir mit fortschrittlicheren technologischen Erfindungen, der Magie des Internets, in die Welt vordrangen, erkannte die Europäische Union die Notwendigkeit moderner, effizienterer und strengerer Gesetze zum Schutz von Daten und Privatsphäre. Im Jahr 1995 verabschiedete die EU ein Mandat, die Europäische Datenschutzrichtlinie, die Mindeststandards für den Datenschutz und die Datensicherheit festlegt. Im Jahr 1998 trat die Richtlinie in Kraft und damit wurde jeder Mitgliedstaat beauftragt, sein eigenes Gesetz gemäß der Richtlinie umzusetzen.
Doch da stürmte das Internet bereits in die Welt und das Zeitalter der Digitalisierung und des Onlinebetriebs. Daher hat das Europäische Parlament die Bedeutung eines verfeinerten, aber stärkeren und strengeren Datenschutzgesetzes erkannt und 2016 die Allgemeine Datenschutzverordnung eingeführt und verabschiedet. Und am25. Mai 2018 trat die Datenschutz-Grundverordnung in der EU endlich in Kraft.
Die Grundlagen der Allgemeinen Datenschutzverordnung
In diesem Abschnitt sehen wir uns die Grundlagen der DSGVO an, die in drei Abschnitte unterteilt ist – für wen sie gilt, die verschiedenen Strafen und die wichtigsten Definitionen.
Für wen gilt die Datenschutz-Grundverordnung?
Wenn Ihr Unternehmen personenbezogene Daten von EU-Bürgern verarbeitet oder wenn Ihr Unternehmen Waren oder Dienstleistungen für Menschen in der EU anbietet, dann gilt die DSGVO für Sie, auch wenn Ihr Unternehmen nicht in der EU ansässig ist. Der Grund für die Einführung der Allgemeinen Datenschutzverordnung ist der Schutz von Daten, die EU-Bürgern gehören. Daher gilt sie für Unternehmen, die mit diesen Daten umgehen, unabhängig davon, ob sie in der EU ansässig sind oder nicht. Tatsächlich wird das Gesetz, das für Nicht-EU-Organisationen gilt, als „extraterritoriale Wirkung“ bezeichnet.
In Artikel 3 wird der territoriale Geltungsbereich der Datenschutz-Grundverordnung erwähnt. Das müssen Sie wissen –
- Dem Text zufolge gilt die Verordnung für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Organisation, die zu einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter in der Union gehört, unabhängig davon, ob die Verarbeitung innerhalb der EU stattfindet oder nicht.
- Die DSGVO gilt für die Verarbeitung personenbezogener Daten von Personen, die sich in der EU befinden, durch einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter in der Union, wenn die Verarbeitungstätigkeiten im Zusammenhang stehen mit –
- Waren- und Dienstleistungsangebote an die betroffenen Personen in der Union, unabhängig davon, ob eine Zahlung der betroffenen Person erforderlich ist; oder
- Überwachung ihres Verhaltens, soweit es innerhalb der Union stattfindet.
- Gemäß dem Text in Artikel 3 gilt die Allgemeine Datenschutzverordnung für die Verarbeitung personenbezogener Daten durch einen für die Verarbeitung Verantwortlichen außerhalb der EU, aber an einem Ort, an dem das Recht eines Mitgliedstaats aufgrund des Völkerrechts gilt.
Darüber hinaus besagt Artikel 3.1, dass die DSGVO auf Organisationen mit Sitz außerhalb der EU anwendbar ist, unabhängig davon, ob die Daten außerhalb der Region gespeichert oder verwendet werden. Artikel 3.2 geht einen Schritt weiter und wendet das Gesetz auf Organisationen an, die nicht in der EU ansässig sind, wenn die folgenden zwei Bedingungen erfüllt sind
- Die Organisation bietet Waren und Dienstleistungen in der EU an
- Überwacht das Online-Verhalten der Bürger in der EU.
Allerdings deckt Artikel 3.3 noch einige weitere Szenarien ab, wie z.B. die EU-Botschaften; wir werden diese in unseren zukünftigen Artikeln ausführlich besprechen.
Welche Ausnahmen gibt es von dieser Regel?
Fairerweise muss man den Anwendungsbereich der DSGVO verstehen, da sie sowohl für EU-Mitglieder als auch für Nicht-EU-Mitglieder gilt, was die Sache ein wenig schwierig macht. Sie haben zwar bereits gelesen, wo sie gilt, aber lassen Sie uns sehen, welche Ausnahmen von dieser Regel es gibt.
Es gibt zwei wichtige Ausnahmen von dieser Regel, nämlich –
- Die DSGVO gilt nicht für „rein persönliche oder häusliche“ Aktivitäten. Wenn Ihr Unternehmen also beispielsweise eine E-Mail-Adresse gesammelt hat, um einen Tagesausflug mit Ihren Teammitgliedern/Kollegen zu organisieren, ist es nicht notwendig, deren Kontaktdaten zu verschlüsseln, um die Datenschutzbestimmungen einzuhalten. (es ist jedoch immer eine gute Idee, dies zu tun). Allerdings gilt die DSGVO für Organisationen, die „berufliche oder gewerbliche Tätigkeiten“ ausüben. Wenn Sie also zum Beispiel E-Mail-Adressen aus Ihrem Bekanntenkreis sammeln müssen, um Spenden für eine Veranstaltung zu sammeln, kann das GDPR-Gesetz für Sie gelten.
- Die zweite Ausnahme von der Einhaltung der DSGVO gilt für Organisationen, die weniger als 250 Mitarbeiter haben. Denken Sie daran, dass kleine und mittlere Unternehmen nicht vollständig von der DSGVO ausgenommen sind, aber die Verordnung befreit sie in den meisten Fällen von der Pflicht zur Aufbewahrung von Daten.
Sanktionen bei Einhaltung der GDPR
Die Nichteinhaltung der Anforderungen der Allgemeinen Datenschutzverordnung kann zu einer kostspieligen Angelegenheit werden, die ein großes Loch in Ihre Tasche reißt. Gemäß Artikel 83 sind die von der EU verhängten Bußgelder für die Nichteinhaltung der DSGVO flexibel und skalieren mit der Größe des Unternehmens, aber unabhängig von der Unternehmensgröße ist die Haftung sehr hoch.
Die zwei Stufen der GDPR-Bußgelder
Die weniger schwerwiegenden Verstöße können zu einer Geldstrafe von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr führen, je nachdem, welcher Betrag höher ist. Die Geldbußen umfassen alle Verstöße gegen die Artikel, die –
Für die Verarbeitung Verantwortliche und Auftragsverarbeiter: Gemäß den Artikeln 8, 11, 25-39, 42 und 43 müssen Organisationen, die Daten erheben und kontrollieren, d.h. für die Verarbeitung Verantwortliche, und solche, die Daten verarbeiten, d.h. Auftragsverarbeiter, unbedingt die Datenschutzbestimmungen einhalten. Darüber hinaus müssen auch die Vorschriften über die rechtmäßige Verarbeitung von Daten strikt eingehalten werden. Die Nichteinhaltung dieser Vorschriften wird mit hohen Strafen geahndet. Als Organisationen müssen die oben genannten Artikel 8, 11, 25-39, 42 und 43 gelesen werden, um die Einhaltung der Anforderungen der DSGVO zu gewährleisten.
Zertifizierungsstellen: Akkreditierte Stellen, die dafür zuständig sind, Organisationen mit den erforderlichen Zertifizierungen auszustatten, müssen sicherstellen, dass ihre Bewertungen und Beurteilungen fair, transparent und unvoreingenommen durchgeführt werden. Lesen Sie die Artikel 42 und 43 für weitere Informationen dazu.
Überwachungsstellen: Gemäß Artikel 41 müssen die Überwachungsstellen, die über ein angemessenes Maß an Sachkenntnis verfügen, ihre Unabhängigkeit unter Beweis stellen und bei der Bearbeitung von Beschwerden oder gemeldeten Verstößen die festgelegten Verfahren einhalten – unparteiisch und transparent.
Die schwerwiegenderen Verstöße im Rahmen der DSGVO richten sich gegen die Grundsätze des Rechts auf Privatsphäre und des Rechts auf Vergessenwerden. Verstöße gegen diese Grundsätze können zu Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr führen, je nachdem, welcher Betrag höher ist. Dazu gehören alle Verstöße gegen die Artikel, die –
Für die Verarbeitung Verantwortliche und Auftragsverarbeiter: Gemäß den Artikeln 8, 11, 25-39, 42 und 43 müssen Organisationen, die Daten erheben und kontrollieren, d.h. für die Verarbeitung Verantwortliche, und solche, die Daten verarbeiten, d.h. Auftragsverarbeiter, unbedingt die Datenschutzbestimmungen einhalten. Darüber hinaus müssen auch die Vorschriften über die rechtmäßige Verarbeitung von Daten strikt eingehalten werden. Die Nichteinhaltung dieser Vorschriften wird mit hohen Strafen geahndet. Als Organisationen müssen die oben genannten Artikel 8, 11, 25-39, 42 und 43 gelesen werden, um die Einhaltung der Anforderungen der DSGVO zu gewährleisten.
Zertifizierungsstellen: Akkreditierte Stellen, die dafür zuständig sind, Organisationen mit den erforderlichen Zertifizierungen auszustatten, müssen sicherstellen, dass ihre Bewertungen und Beurteilungen fair, transparent und unvoreingenommen durchgeführt werden. Lesen Sie die Artikel 42 und 43 für weitere Informationen dazu.
Überwachungsstellen: Gemäß Artikel 41 müssen die Überwachungsstellen, die über ein angemessenes Maß an Sachkenntnis verfügen, ihre Unabhängigkeit unter Beweis stellen und bei der Bearbeitung von Beschwerden oder gemeldeten Verstößen die festgelegten Verfahren einhalten – unparteiisch und transparent.
2. Unter der DSGVO verstoßen die schwereren Verstöße gegen die Grundsätze des Rechts auf Privatsphäre und des Rechts auf Vergessenwerden. Verstöße gegen diese Grundsätze können zu Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes der Organisation aus dem vorangegangenen Geschäftsjahr führen, je nachdem, welcher Betrag höher ist. Dazu gehören alle Verstöße gegen die Artikel, die –
Die Grundlagen für die Verarbeitung: Gemäß Artikel 5, 6 und 9 müssen Organisationen Daten rechtmäßig, fair und transparent verarbeiten. Die Daten müssen für rechtmäßige Zwecke erhoben und verarbeitet werden und müssen korrekt und auf dem neuesten Stand gehalten werden. Allerdings muss die Datenverarbeitung so erfolgen, dass ihre Sicherheit gewährleistet ist. Organisationen dürfen Daten nur dann verarbeiten, wenn sie eine der sechs in Artikel 6 aufgeführten rechtmäßigen Voraussetzungen erfüllen. Darüber hinaus ist es strengstens untersagt, bestimmte Arten personenbezogener Daten wie die rassische Herkunft, die sexuelle Ausrichtung, politische und religiöse Überzeugungen, die Mitgliedschaft in einer Gewerkschaft sowie gesundheitliche oder biometrische Daten zu erfassen, es sei denn, es liegen besondere Umstände vor. Lesen Sie die oben erwähnten Artikel 6, 6 und 9 für weitere Informationen zu diesem Aspekt.
Die Bedingungen für die Einwilligung: Wann immer die Verarbeitung von Daten durch eine Organisation auf der Grundlage der Zustimmung des Benutzers gerechtfertigt ist, muss diese dokumentiert werden, falls die Organisation dies unter Umständen beweisen muss. Die Einzelheiten hierzu finden Sie unter Artikel 7.
Die Rechte der betroffenen Personen: Gemäß Artikel 12-22 haben Personen das Recht, über die Daten, die die Organisation erhebt, informiert zu werden, und darüber hinaus zu erfahren, wofür diese Daten verwendet werden. Darüber hinaus haben Einzelpersonen auch das Recht, eine Kopie der gesammelten Daten zu erhalten, die Daten im Falle von Ungenauigkeiten zu korrigieren sowie die Daten unter bestimmten Umständen zu löschen. Darüber hinaus haben Einzelpersonen auch das Recht, ihre Daten an andere Organisationen zu übermitteln.
Übermittlung von personenbezogenen Daten: Dies bezieht sich speziell auf die Übermittlung von personenbezogenen Daten an eine internationale Organisation oder einen Empfänger in einem Drittland. In den Artikeln 44-49 heißt es, dass die EU, bevor eine Organisation personenbezogene Daten an ein Drittland oder eine internationale Organisation übermittelt, entscheiden muss, dass das Land oder die Organisation angemessene Schutzmaßnahmen ergreift und gleichzeitig eine gesicherte Übermittlung der Daten gewährleistet.
Die anderen Geldbußen unter GDPR
Abgesehen von den zwei Stufen der GDPR-Sanktionen werden folgende weitere Geldbußen verhängt
Verstoß gegen die Gesetze der Mitgliedsstaaten: Jeder Verstoß gegen die Gesetze der Mitgliedstaaten, die unter Kapitel IX verabschiedet wurden, wird mit Sanktionen geahndet. Kapitel IX räumt den EU-Mitgliedstaaten das Recht ein, zusätzliche Datenschutzgesetze zu erlassen, die jedoch mit der DSGVO im Einklang stehen müssen. Im Falle eines Verstoßes gegen die nationalen Gesetze sind Strafen garantiert.
Nichtbefolgung einer Anordnung einer Aufsichtsbehörde: Wenn eine Organisation einer Anordnung einer Aufsichtsbehörde oder eines Überwachungsgremiums der DSGVO nicht nachkommt, unabhängig davon, was der ursprüngliche Verstoß war, wird eine hohe Strafe folgen.
Es handelt sich lediglich um Bußgelder. Artikel 82 gibt betroffenen Personen (Nutzern) das Recht, von Organisationen, die ihnen aufgrund von Verstößen gegen die DSGVO materielle oder immaterielle Schäden zugefügt haben, Schadenersatz zu verlangen.
Wie werden die GDPR-Bußgelder erhoben?
Gemäß der Allgemeinen Datenschutzverordnung werden die Sanktionen von der Datenschutzbehörde in jedem EU-Land verwaltet. Die Behörde bestimmt, ob gegen ein Gesetz verstoßen wurde und wie hoch das Strafmaß ist. Nachfolgend finden Sie die Kriterien, nach denen der Verstoß und die Höhe der Geldstrafe bestimmt werden –
Die Art und Schwere des Verstoßes: Hier geht es um den allgemeinen Grund des Verstoßes, z. B. was passiert ist, warum es passiert ist, wie viele Menschen betroffen waren, wie hoch der Schaden war und wann er behoben wurde.
Die Absicht des Verstoßes: In dieser Phase prüft die Datenschutzbehörde, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde.
Milderung: Hier wird geprüft, ob die Organisation Maßnahmen ergriffen hat, um den Schaden, den die betroffenen Personen durch den Verstoß erlitten haben, zu mindern.
Vorsorgemassnahmen: Der Umfang der technischen und organisatorischen Vorbereitungen, die von der Organisation zur Einhaltung der DSGVO getroffen wurden.
Die Geschichte des Unternehmens: Alle relevanten Verstöße in der Vergangenheit, einschließlich der Verstöße gemäß der Datenschutzrichtlinie (nicht nur der DSGVO) und der Einhaltung früherer administrativer Korrekturmaßnahmen gemäß der DSGVO.
Zusammenarbeit: Hier wird die Zusammenarbeit der Organisation mit den Aufsichtsbehörden zur Aufdeckung und Behebung von Verstößen überprüft.
Kategorie der Daten: Hier wird die Art der von den Verstößen betroffenen personenbezogenen Daten überprüft.
Benachrichtigung: Ob die Organisation oder der benannte Dritte die Verstöße proaktiv an die Datenschutzbehörde oder die Aufsichtsbehörde gemeldet hat.
Zertifizierung: Ob die Organisation den genehmigten und angemessenen Verhaltenskodex befolgt hat und ob sie zertifiziert ist.
Erschwerende Faktoren: Schließlich alle Aspekte, die sich aus den Umständen des Falles ergeben, einschließlich der finanziellen Vorteile, die durch den Verstoß erzielt wurden, sowie der vermiedenen Verluste.
Sobald die Datenschutzaufsichtsbehörden diese Punkte festgelegt haben und das Unternehmen mehrere Verstöße gegen die DSGVO begangen hat, wird es für den schwerwiegendsten Verstoß bestraft, vorausgesetzt, alle Verstöße sind Teil derselben Verarbeitungsvorgänge. Andernfalls drohen der Organisation hohe Strafen.
Wichtige Definitionen
In den letzten Grundlagen der Datenschutzverordnung werden mehrere Rechtsbegriffe ausführlich definiert; die wichtigsten sind jedoch im Folgenden aufgeführt.
Personenbezogene Daten: Personenbezogene Daten sind grundsätzlich alle Informationen, die sich auf eine Person beziehen und die direkt oder indirekt identifiziert werden können. Die offensichtlichsten persönlichen Daten sind Namen und E-Mail-Adressen, aber auch andere Daten wie Standort, ethnische Zugehörigkeit, Geschlecht, religiöse und politische Überzeugungen, Web-Cookies und biometrische Daten. Tatsächlich fallen auch pseudonyme Daten unter die Definition personenbezogener Daten, wenn es auch nur annähernd einfach ist, eine Person zu identifizieren.
Datenverarbeitung: Ob automatisiert oder manuell – jede Aktion, die mit Daten durchgeführt wird, fällt unter die Definition der Datenverarbeitung. Zu den Aktionen gehören das Sammeln, Aufzeichnen, Strukturieren, Speichern, Verwenden, Organisieren oder Löschen von Daten.
Datensubjekt: Datensubjekt ist die Person, deren Daten verarbeitet werden; Kunden, Website-Besucher, Benutzer usw. sind Datensubjekte.
Datenverantwortlicher: Die Behörde, die entscheidet, warum und wie die personenbezogenen Daten einer Person verarbeitet werden müssen. Wenn Sie beispielsweise in Ihrem Unternehmen für den Umgang mit Daten verantwortlich sind, sind Sie der für die Datenverarbeitung Verantwortliche.
Datenverarbeiter: Ein Datenverarbeiter ist ein Dritter, der personenbezogene Daten im Auftrag eines Datenverantwortlichen verarbeitet. Im Rahmen der DSGVO gibt es besondere Regeln für datenverarbeitende Personen und Organisationen. Tatsache ist, dass zu den Datenverarbeitern auch Cloud-Server, E-Mail-Dienstleister und so weiter gehören können.
Anwendung der GDPR auf SAP-Systeme
Persönliche Daten sind überall, von Personalakten bis hin zu Bankdaten und mehr. Außerdem sind sie über mehrere Module in SAP verstreut, z. B. in mehreren Tabellen, Dokumenten, CRMs usw. Diese Daten können auch in Dokumenten wie Gehaltsabrechnungen, E-Mails, Rechnungen usw. enthalten sein. Sie können jedoch nicht einfach in SAP-Systemen gespeichert werden, ohne einen legitimen Zweck zu erfüllen. Daher kann die Anwendung und Sicherstellung der GDPR-Konformität in SAP-Systemen in der jetzigen Form eine schwierige Aufgabe sein. Wenn wir jedoch allgemein sprechen, können die folgenden Schritte befolgt werden –
- Der erste Schritt besteht darin, festzustellen, welche Art von personenbezogenen Daten gespeichert wird und wo sie gespeichert werden.
- Der zweite Schritt besteht darin, Regeln für die Aufbewahrung, Sperrung und Löschung von Daten nach bestimmten Zeiträumen festzulegen. Die Aufbewahrungsfrist richtet sich nach dem Zweck, für den die personenbezogenen Daten erhoben wurden. Zum Beispiel Rechnungsverwaltung, Anwendungsverwaltung, Auftragsverwaltung, usw.
- Danach müssen die personenbezogenen Daten archiviert, gelöscht oder anonymisiert werden.
Denken Sie vor allem daran, dass es keine Einzellösung für die Bearbeitung von GDPR-Anfragen in SAP gibt, sondern dass es sich um eine Kombination von Tools handelt. Die wichtigste Lösung von SAP für GDPR ist das SAP Information Lifecycle Management oder SAP ILM, das SAP-Benutzern hilft, Richtlinien für die Datenaufbewahrung und die Vernichtung am Ende der Aufbewahrungsfristen zu definieren. Mit einigen anderen Tools von SAP-Partnern, wie dem Archiving Sessions Cockpit (ASC) der TJC Group, lässt sich dieser Prozess jedoch auch automatisieren.
SAP Information Lifecycle Management für die Einhaltung der GDPR
Mit Vorschriften wie der GDPR werden Organisationen einige Verpflichtungen zur Verarbeitung personenbezogener Daten auferlegt. Für Unternehmen, insbesondere für solche, die in der EU tätig sind oder dort Dienstleistungen anbieten, ist die beste Vorgehensweise zur Gewährleistung der Einhaltung der Datenschutzgrundverordnung (GDPR) bzw. der gesetzlichen Bestimmungen die Definition von Regeln für die Datenaufbewahrung mit einer Lösung, die von SAP kostenlos zur Verfügung gestellt wird, wenn sie zur Einhaltung der Datenschutzgesetze eingesetzt wird. SAP ILM geht über Ihre Standard-Datenarchivierung hinaus und versucht, ein ausgewogenes Verhältnis zwischen Gesamtbetriebskosten (TCO), Risiko und rechtlicher Compliance zu erreichen. Sie umfasst eine Reihe von Richtlinien, Prozessen, Praktiken und Tools, die erforderlich sind, um den geschäftlichen Wert der Informationen mit der am besten geeigneten und kostengünstigsten Infrastruktur in Einklang zu bringen.
Die Anwendung von SAP ILM in Ihren Abläufen zur Sicherstellung der GDPR-Compliance kann eine knifflige Angelegenheit sein. Mit der TJC Group können Sie sich jedoch von diesen Herausforderungen verabschieden. Wir sind Experten für Datenmanagement und mit unserem bewährten SAP ILM-Prozess können sich Unternehmen entspannt zurücklehnen. Wir können den Aufsichtsbehörden einen klaren Projektumfang und eine bewährte Methodik nachweisen, und das auch noch vollständig automatisiert.
Sehen Sie sich die Fallstudie der Dürr Group an, einem weltweit führenden Maschinen- und Anlagenbauer, der sich an uns gewandt hat, um einen Plan zur Löschung persönlicher Daten auf Projektebene zu erstellen.
Setzen Sie sich mit uns in Verbindung, um SAP ILM zu erlernen und zu implementieren und die Einhaltung des GDPR-Gesetzes in der EU sicherzustellen!
Häufig gestellte Fragen
Ist das GDPR-Gesetz auf Organisationen in den Vereinigten Staaten anwendbar?
Antwort: Die DSGVO ist im Kern ein EU-Gesetz. Sie gilt jedoch für jedes Unternehmen, das seine Website oder Dienste EU-Bürgern zur Verfügung stellt, also auch für Organisationen in den USA. Grundsätzlich muss jede Organisation, die ihre Dienstleistungen und Waren an EU-Bürger und ihre Mitgliedsstaaten anbietet, die Datenschutzgrundverordnung einhalten, unabhängig davon, in welchem Land sie ansässig ist.
Was ist eine GDPR-Einwilligung für Organisationen?
Antwort: Um sicherzustellen, dass der Einzelne mehr Kontrolle über seine persönlichen Daten hat, schreibt die DSGVO vor, dass Organisationen die Zustimmung des Einzelnen einholen müssen, bevor sie seine persönlichen Daten erfassen oder verarbeiten. Dieses Szenario ist jedoch nur unter bestimmten Umständen plausibel, nicht immer.
Was gilt als personenbezogene Daten im Sinne der EU-DSGVO?
Antwort: Tatsache ist, dass die DSGVO hauptsächlich für personenbezogene Daten gilt. Wenn Sie also wissen, welche Daten unter personenbezogene Daten fallen, die der DSGVO unterliegen, können Sie sich mühelos auf den Schutz Ihrer Daten konzentrieren. Gemäß der EU-DSGVO sind die häufigsten personenbezogenen Daten Namen und E-Mail-Adressen. Darüber hinaus sind auch Standort, ethnische Zugehörigkeit, Geschlecht, religiöse und politische Überzeugungen, Web-Cookies und biometrische Daten persönliche Daten. Darüber hinaus fallen auch pseudonyme Daten unter die Definition personenbezogener Daten, wenn es auch nur annähernd einfach ist, eine Person zu identifizieren.