Datenschutz und Datensicherheit im Jahr 2017

Zu Jahresbeginn gestatte ich mir einen Ausblick auf bevorstehende Aufgaben für das kommende Jahr. Zwei wichtige EU-weite Gesetze die 2018 in Kraft treten werden, stehen schon im heurigen Jahr im Mittelpunkt des Interesses für IT-Verantwortliche:

  • Die Datenschutzgrundverordnung (DSGVO)
  • Die Richtlinie zur Netz- und Informationssicherheit (NIS)

Datenschutzgrundverordnung (DSGVO)

Die Datenschutzgrundverordnung wird mit 25. Mai 2018 in Kraft treten. Die DSGVO gilt für Unternehmen, welche beispielsweise in der EU ansässig sind oder deren Angebot an Waren oder Dienstleistungen sich an EU-Bürger richtet. Die Datenschutzgrundverordnung gilt somit auch für Unternehmen, die außerhalb Europas ansässig sind. Sie beinhaltet mögliche Strafen von bis zu vier Prozent des jährlichen weltweiten Umsatzes. Bis Mai 2018 haben nationale Gesetzgeber noch Zeit, bestehende gesetzliche Regelungen, wie das DSG 2000, an die DSGVO anzupassen. Während in Deutschland bereits erste Entwürfe des neuen Datenschutzgesetzes vorliegen und auch schon sehr kontrovers diskutiert wurden, ist es in Österreich diesbezüglich noch sehr ruhig geblieben.

Richtlinie zur Netz- und Informationssicherheit (NIS)

Die NIS-Richtlinie muss bis zum 10. Mai 2018 von den EU-Mitgliedstaaten in ihre nationale Gesetzen übernommen und angewandt werden. Die Richtlinie gilt für bestimmte Unternehmen, nämlich für Betreiber von wesentlichen Diensten, wie Unternehmen im Energie-, Verkehrs-, Banken- und Gesundheitsbereich oder bei der Trinkwasserversorgung sowie für digitale Dienstleister, zB Unternehmen, die eine der drei Leistungen erbringen: Cloud-Computing-Services, Online-Marktplätze oder Online-Suchmaschinen.

Entscheidende Vorarbeiten für Compliance bereits 2017

Beide Gesetze fordern von den Unternehmen angemessene Sicherheitsmaßnahmen auf dem Stand der Technik im Hinblick auf ihre Risiken, persönliche Daten sowie den Schutz von Netzen und Informationssystemen.

Angesichts der weitreichenden Auswirkungen der neuen Bestimmungen, werden die erforderlichen Anpassungen bestehender Datenschutz- und Datensicherheitsmaßnahmen einen unternehmensweiten Compliance-Prozess notwendig machen, der sich über viele Monate erstrecken kann. Führungskräfte sollten daher das heurige Jahr dazu nutzen, organisatorische, technische und rechtliche Datenschutz- und Datensicherheit-Standards im Unternehmen zu erfassen und zu prüfen, wie sich die bestehende Praxis bis zum Inkrafttreten der neuen Regelungen mit den zukünftigen Anforderungen in Einklang bringen lässt. Damit geht ein mehr oder weniger großer Zeit- und Ressourcenaufwand einher, je nachdem, wie die bisherige Datenschutz- und Datensicherheitspraxis aussahen.

Links