IckeT - Fotolia

Sind Sie bereit für die EU-Datenschutz-Grundverordnung?

Die Einhaltung der Datenschutz-Grundverordnung der EU ist nicht freiwillig. Wenn Sie es noch nicht gemacht haben: seit dem 25. Mai 2018 drohen Bußgelder.

Ab 25. Mai 2018 muss die Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO), Englisch: General Data Protection Regulation (GDPR) umgesetzt werden. Die DSGVO ist keine Kleinigkeit, sondern eine wirklich große Sache. Das zeigen allein die hektischen Pressemeldungen der letzten Wochen von Großkonzernen wie Google und Co.

Die EU-Verordnung zum Schutz personenbezogener Daten und der Privatsphäre der EU-Bürger ist streng angelegt. So streng, dass sie die Art und Weise, wie Daten verarbeitet, gespeichert, geschützt und archiviert werden, grundlegend verändern wird. Die Regularien betreffen dabei nicht nur EU-Bürger, sondern ziemlich sicher auch für das weltweite Internet.

Die Umsetzung der EU-DSGVO-Anforderungen sollte nicht auf die leichte Schulter genommen werden. Die Nichteinhaltung hat schwerwiegende Folgen und kann Unternehmen in den Ruin drängen. Am besten beginnt man damit, die signifikanten Unterschiede zwischen der DSGVO und den bereits bestehenden Gesetzen zu verstehen.

Die neue Verordnung legt die Rollen, Verfahren und Technologien fest, die erforderlich sind, um die personenbezogenen Daten von EU-Bürgern zu schützen, zugänglich zu machen, angemessen zu nutzen und mit Zustimmung zu dokumentieren sowie zu löschen. An die EU-DSGVO/GDPR muss sich jede Organisation halten, die Waren oder Dienstleistungen an Personen liefert, die in der EU ansässig sind oder Daten über EU-Bürger sammelt – unabhängig davon, wo diese Daten verwendet oder gespeichert werden. Die Compliance ist nicht optional.

Auf keinen Fall dürfen Sie den Fehler machen, davon auszugehen, dass Informationssysteme und Prozesse, die den aktuellen Vorschriften entsprechen, bereits DSGVO-konform sind.

Die Herausforderung

Die EU-DSGVO hat 87 Seiten mit detaillierten Anforderungen und 99 Artikel mit Spezifikationen. Die Anforderungen und Verpflichtungen vollumfänglich zu erfüllen, ist schwierig – in einigen Fällen wird das sogar außerordentlich schwierig sein. Während IT-Profis grundsätzlich mit allen Anforderungen vertraut sein sollten, sind einige davon wichtiger, da sie möglicherweise Prozesse und Systeme hinzufügen oder anpassen müssen.

Hier die DSGVO-Artikel, um die sich IT-Profis besonders kümmern sollten:

Artikel 6: Rechtmäßigkeit der Verarbeitung. Alle personenbezogenen Daten müssen auf rechtmäßige Weise verarbeitet werden. Bevor eine Organisation personenbezogene Daten über einen EU-Bürger sammelt, muss der Bürger dieser Datenerhebung zustimmen. Die Einwilligung muss dokumentiert, gespeichert, geschützt und leicht produzierbar sein. Darüber hinaus muss die Erhebung personenbezogener Daten einen definierten Anwendungsfall haben. Die Einwilligungsunterlagen sind den EU-Regulierungsbehörden auf Verlangen vorzulegen.

Artikel 15: Auskunftsrecht. EU-Bürger haben das Recht, auf Nachfrage zu erfahren, welche ihrer persönlichen Daten ein Unternehmen für welche Zwecke nutzt.

Artikel 20: Recht auf Datenübertragbarkeit. Die Bürger der Europäischen Union können auf Verlangen den Transfer ihrer persönlichen Daten veranlassen.

Artikel 25: Datenschutz durch Technikgestaltung und Voreinstellung. Der Datenschutz muss in Prozesse und Tools zur Erfassung personenbezogener Daten integriert werden.

Artikel 25: Datenminimierung. Der Umfang der erhobenen und gespeicherten personenbezogenen Daten sowie die Fristen für die Aufbewahrung dieser Daten müssen minimiert werden. Die Speicherung sollte mit anderen Vorschriften zur Speicherung von Aufzeichnungen – zum Beispiel für Gesundheits- und Strafregister, die längere Aufbewahrungsfristen erfordern – in Einklang gebracht werden.

Artikel 25 und 32: Stand der Technik. Unternehmen müssen geeignete technische Maßnahmen treffen, um den Anforderungen der EU-DSGVO zu genügen. Dazu müssen die neuesten Technologien eingesetzt werden, oder es muss begründet werden, warum diese aufgrund von Kosten, Risiko und Kontext nicht eingesetzt wurden. Die Einhaltung muss regelmäßig überprüft werden. Was genau „angemessen“ im Sinne der EU-DSGVO bedeutet, ist in Artikel 32 näher ausgeführt.

Artikel 32: Sicherheit der Verarbeitung. Die Sicherheitsmaßnahmen müssen zum Risiko-Level passen. Sie sollten die Verwendung von Pseudonymen, Aliasen und Verschlüsselung einschließen und die laufende Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit der Verarbeitungssysteme und -dienste gewährleisten. Dies erfordert auch die Fähigkeit, die Verfügbarkeit und den Zugriff auf persönliche Daten zeitnah (wieder)herstellen zu können. Das heißt, nach einem Ausfall müssen die Daten Stunden bis Tage, nicht Wochen bis Monate, wieder verfügbar sein. Dazu ist ein dokumentierter Prozess zur regelmäßigen Überprüfung und Beurteilung der Wirksamkeit der Maßnahmen erforderlich.

Artikel 33 und 34: Meldepflicht. Unternehmen müssen Sicherheitsvorfälle innerhalb von 72 Stunden nach Bekanntwerden an die zuständigen Behörden und auch die betroffenen Personen melden.

Artikel 44 bis 50: Datenübermittlung. Diese Artikel richten sich in erster Linie an die Anbieter von Cloud-Diensten. Sie schreiben vor, dass personenbezogene Daten, die bei Datentransfers erfasst werden, in EU-Ländern oder Ländern wie Kanada, die ähnliche Datenschutz-Richtlinien haben, gespeichert werden müssen. Wenn personenbezogene Daten in Länder wie die USA übertragen oder gespeichert werden, müssen verbindliche Unternehmensregeln gelten, die den DSGVO-Anforderungen entsprechen.

Artikel 17: Das Recht auf Löschung. Allgemein bekannt als das „Recht auf Vergessen“ dürfte diese Anforderung der IT wahrscheinlich die meisten Kopfschmerzen verursachen. Der Artikel fordert, dass Unternehmen auf Verlangen des EU-Bürgers dessen persönliche Daten vollständig löschen müssen. Die Pflicht, Daten zu löschen, betrifft insbesondere folgende Fälle:

  • Der EU-Bürger beantragt die Löschung seiner Daten;
  • der Zweck der Erhebung personenbezogener Daten ist nicht mehr erforderlich; und
  • der EU-Bürger entzieht seine Einwilligung zur Speicherung seiner Daten.

Das Recht auf Löschung verlangt eine rechtzeitige Löschung. Das bedeutet wiederum, dass die Daten innerhalb von Stunden bis spätestens Tagen, nicht aber innerhalb von Wochen oder Monate entfernt werden müssen. Alle Kopien von Daten, einschließlich Backups, Archive, DevOps, Testumgebungen, Mirrors und Snapshots, müssen gelöscht werden.

Artikel 17 wird große technologische und verfahrenstechnische Probleme aufwerfen. Dies betrifft insbesondere IT-Bereiche wie die Speicherung unstrukturierter Daten, Datenbanken, Datenschutzprozesse, Archive, Mobility und Cloud Service Provider. Die Analyse dieser IT-Segmente zeigt, warum das so ist.

Unstrukturierte Daten

Unstrukturierte Daten werden in der Regel in verschiedenen Storage-Silos wie Dateiservern, NAS, Objekt-Storage, Endpoints und Cloud-Storage gespeichert. Aus Sicht des Datenschutzes ist dies insofern ein Problem, als die meisten Unternehmen nur einen begrenzten Einblick in diese unstrukturierten Daten haben. Unter anderem wissen sie beispielsweise nicht, welche Daten in den Silos genau enthalten sind, wann sie erstellt wurden, wer sie erstellt hat, wann sie zuletzt geöffnet wurden oder wer sie wohin kopiert hat.

Auch die Suchmöglichkeiten sind eingeschränkt. Die Metadaten zeigen wahrscheinlich nicht, welche persönlichen Daten in der Datei enthalten sind. Einige Speichersysteme ermöglichen Usern das Hinzufügen von kundenbezogenen Metadaten – was zu einer DSGVO-Anforderung wird, um persönliche Daten in Dateien oder Objekten zu finden. Darüber hinaus muss in jedem Storage-Silo gesucht werden, was ein arbeits- und zeitintensiver Prozess ist.

Um dieses Problem zu lösen, müssen Sie einen globalen Namespace und eine Übersicht über den gesamten unstrukturierten Speicher erstellen. Dazu gehört auch die Möglichkeit, benutzerdefinierte Metadaten für jede Datei und jedes Objekt, das persönliche Daten enthält, zu implementieren. Dateien und Objekte mit persönlichen Daten können markiert, durchsucht, verändert und gelöscht werden.

Alternativ können unstrukturierte Speichersilos in einem einzigen Speichersystem mit einem globalen Namespace konsolidiert werden, der die Einführung benutzerdefinierter Metadaten erlaubt. Diese Ansätze werden allerdings wenig zur Lösung von Endpoint-Problemen beitragen, wie zum Beispiel die Implementierung von Dateisynchronisation und -freigabe in der Cloud.

Datenbanken

Personenbezogene Daten sind häufig Teil einer Datenbank wie zum Beispiel einer CRM- oder E-Commerce-Datenbank. Das Suchen und Löschen von Daten aus einer Datenbank ist in der Regel einfach. Nicht so einfach ist es, wenn personenbezogene Daten über mehrere Datenbanken verteilt sind. Und das kommt nicht selten vor.

Datenbanken werden aus verschiedenen Gründen repliziert. Skalierbarkeit, schreibgeschützte Anwendungen, Partner-Datenbanken, DevOps, Test-Dev, Datensicherung, Disaster Recovery und Business Continuity sind alles Gründe, warum Nutzerdaten in mehreren Datenbanken vorhanden sein können. Damit schafft die DSGVO allerdings ein nicht unerhebliches Problem: Denn bei Verlangen der Datenlöschung muss jede Kopie der personenbezogenen Daten eines EU-Bürgers gelöscht werden. Das bedeutet, dass jede Datenbank einen separaten Bereinigungsprozess durchlaufen muss – was kein trivialer Aufwand ist. Systeme, die seit Jahrzehnten für die bloße Datensicherung gebaut wurden, müssen nun in der Lage sein, diese Daten ausfindig zu machen und zu löschen.

Weiter verschärft wird das Problem durch Datenbank-Backups. Die meisten Datenbanken verfügen über individuelle Methoden zur Datensicherung. Sie müssen in der Regel stillgelegt werden, um sicherzustellen, dass die Datenbank ohne Beschädigung oder verlorene Daten wiederherstellbar ist.

In der Regel wird dabei eine Variante des Image-Backups mit Changed Block Tracking (CBT) verwendet. Dieser Prozess erstellt eine Sicherungsdatei, die nicht direkt gemountet werden kann. Sie muss wiederhergestellt werden, damit die Datenbank die Daten in der Backup-Kopie suchen oder löschen kann. Das Recovery und Restoring von Datenbank-Backups ist zeitaufwendig und dauert je nach Größe der Datenbank und Vollständigkeit des Backups Minuten bis Stunden.

Nach Recovery und Restoring werden die personenbezogenen Daten des EU-Bürgers gelöscht, die Löschung dokumentiert und die Datenbank wird wieder in einen gesicherten Zustand gebracht.

Für viele dürfte sich die Frage stellen, warum dieser Löschvorgang nicht auf dem Master-Backup durchgeführt und auf jede virtuelle Kopie übertragen werden kann. Es gibt zwei Gründe, warum das nicht funktioniert. Der erste Grund: Jedes CBT- oder inkrementelle Backup erstellt ein virtuelles Vollvolumen-Image, das auf früheren Images basiert. Das Löschen von Daten aus dem Master- oder Golden Image würde eine Lücke im virtuellen Image erzeugen, da es auf Daten verweist, die nicht mehr existieren. Dies würde folglich zu einem beschädigten Backup führen.

Der andere Grund ist, dass sich die persönlichen Daten im Laufe der Zeit ändern. Das Löschen der Daten in einem frühen Backup löscht nicht die geänderten Daten in neueren Backups. Beide Situationen erfordern ein Recovery und Restoring jeder Datenbank-Backup-Generierung – und das Löschen von persönlichen Daten aus jeder einzelnen.

Das Löschen von persönlichen Daten in einer einzigen Backup-Kopie ist ärgerlich, aber machbar. Leider gibt es viele Sicherungskopien und wahrscheinlich gibt es weit mehr als ein einzelnes Datenbank-Backup, weil Datenbank-Backups mindestens täglich erstellt werden und 30 Tage bis Jahre aufbewahrt werden. Das sind viele Backups, die ein Recovery und Restoring erfordern, um die persönlichen Daten einer einzigen Person zu entfernen. Diesen Vorgang für jede Löschaufforderung zu wiederholen ist eine kaum zu bewältigende Aufgabe.

Die Lösung dieses Problems erfordert Disziplin sowie neue Prozesse und Systeme. Praktisch bedeutet dies wahrscheinlich, dass weniger Generationen von Datenbank-Backups aufbewahrt und ältere Generationen häufiger in ein durchsuchbares, konsolidiertes Archiv überführt werden. Es kann auch bedeuten, persönliche Datenbestände zu konsolidieren, um das Löschen zu vereinfachen. Auch die Implementierung eines Content-Daten-Management-Systems kann hilfreich sein, um Datenbanken mit unstrukturierter Datei- oder Objektspeicherung in Band, Out-of-Band – oder in Kombination – zu verbinden. Content Data Management repliziert kontinuierlich jeden Schreibzugriff und löscht Daten über alle Generationen hinweg.

Schutz der Daten

Image-basierte Datensicherung, wie zum Beispiel Storage-Snapshots, ist die beliebteste Art, Daten zu sichern. Sie eignet sich hervorragend für schnelle Wiederherstellungen, insbesondere für virtuelle Maschinen. Das Problem mit den DSGVO-Anforderungen ist ähnlich wie bei datenbankspezifischen Backups. Jedes inkrementelle Backup oder CBT erstellt ein virtuelles Backup-Image, das auf eindeutige Daten im Master oder Golden Image zeigt. Das Löschen von Daten vom Master kann die Pointer in allen nachfolgenden virtuellen Voll-Backups beschädigen. Daher müssen die persönlichen Daten in jeder Backup-Generation gelöscht werden.

Das Löschen persönlicher Daten erfordert je nach Technologie das Mounten oder Wiederherstellen jeder Backup-Generation. Das Mounten von Backups ist schneller und nicht so mühsam, aber Löschungen sind immer noch mühsam und erhöhen sich mit der Anzahl der vorgehaltenen Backup-Generationen. Die Daten müssen in jedem Mount gefunden, gelöscht und das Backup wieder in den Ruhezustand versetzt werden. Diese mühsame Aufgabe nimmt viel Zeit in Anspruch – besonders dann, wenn es sich um mehrere Löschvorgänge handelt.

Replikationen sind ein weiteres Anliegen von Artikel 17. Es ist üblich, Daten für Disaster Recovery (DR) und Business Continuity (BC) zu replizieren. Das Löschen von der Primary Site entfernt sie jedoch nicht unbedingt von der DR/BC-Site.

Um dieses Problem zu lösen, sollten weniger Generationen aufbewahrt und frühere Backups zu einem durchsuchbaren, konsolidierten Archiv zusammengeführt werden. Einige Backup-Systeme verwenden File-Backup statt Image-Backup. File-Backup ermöglicht es, Dateien und Daten zu finden, einmalig zu löschen und diese dann an alle Generationen weiterzugeben, ohne jede Backup-Generation wiederherstellen zu müssen. Einige Content-Daten-Management-Systeme sind in der Lage, dies zu tun.

Die Verwendung von Bändern ist ein weiteres Datenschutzproblem, weil das Löschen von persönlichen Daten von Bändern viel Zeit in Anspruch nimmt. Die Nutzung von Linear Tape File System (LTFS) Tape Libraries mit einem NAS oder einem Object Storage Frontend kann dieses Problem lösen. Das Frontend fungiert bei diesem Verfahren als Cache, und die aus dem Cache entfernten Daten werden gelöscht, wenn die Bänder komprimiert werden.

Archiv

Archive werden üblicherweise auf kostengünstigeren Speichermedien angelegt wie Objekt-, Scale-Out Software-defined und Cloud-Storage sowie auf Cold Storage wie Bändern und optischen Speichermedien. Gemäß Artikel 17 muss das Speichersystem durchsuchbar sein. Das System muss auch anpassbare Metadaten akzeptieren, damit persönliche Daten markiert und leicht gefunden werden können. Aber viele Archive erlauben keine anpassbaren Metadaten.

Um die Daten im Archiv zu lesen oder zu ändern, kann es erforderlich sein, sie in das Speichersystem zurückzubringen, von dem sie stammen. Das Verschieben in das Archiv über die hierarchische Speicherverwaltung erfordert das Belassen eines Stubs im Originalspeicher. Das Löschen des Stubs löscht nicht die Daten. Sie existieren immer noch im Archiv, und der Prozess erfüllt nicht die Anforderungen von Artikel 17. Auch hier kann durch Tapes das Problem der Löschung personenbezogener Daten noch verschärft werden.

Diese Probleme können durch die Implementierung eines Archivs mit den oben genannten Such- und Metadatenmerkmalen mittels Stub-freier Archivdatenbewegung gelöst werden. Wenn die Daten auf Band archiviert werden sollen, dann verwenden Sie LTFS-Bandbibliotheken, die entweder mit NAS- oder Objektspeicher ausgestattet sind.

Mobility

Viele mobile Business-Apps sammeln persönliche Daten, zum Beispiel für Versicherungssachbearbeiter, Finanzplaner, Vermarkter und CRM-Anwendungen. Die Apps laden normalerweise Dateien in die Cloud, in Rechenzentren und Archive hoch. Das Löschen von persönlichen Daten in diesen Apps erfordert programmatische Anpassungen der Apps. Diese Anpassungen müssen sicherstellen, dass die Löschung persönlicher Daten auf allen Kopien erfolgt.

Cloud-Dienstleister

Die Nutzung eines Cloud-Service-Providers ändert nichts an den DSGVO-Verantwortlichkeiten und -Verbindlichkeiten eines Unternehmens. Es liegt letztlich in der Verantwortung der Organisation, die personenbezogene Daten von EU-Bürgern sammelt, ob ihre IT nun On-Premises oder in der Cloud liegt.

Diese Verpflichtung kann vertraglich nicht aufgehoben oder geändert werden, man kann sich also nicht durch Verträge mit Kunden oder mit Serviceanbietern von Datenschutzanforderungen „freikaufen“. Das bedeutet, dass der Kunde eines Cloud-Services – also Sie – haftet und sicherstellen muss, dass der Provider alle DSGVO-Anforderungen erfüllt.

Nichteinhaltung der DSGVO

Die Nichteinhaltung der DSGVO hat schwerwiegende finanzielle Folgen. Es gibt zwei Strafstufen: Für kleinere Verstöße ist eine monetäre Strafzahlung von bis zu zehn Millionen Euro zu leisten oder zwei Prozent des weltweiten Umsatzes im vergangenen Geschäftsjahr. Welcher der beiden Fälle relevant ist, hängt davon ab, welcher Betrag höher ist. Ein Beispiel für einen geringfügigen Verstoß ist die Nichteinhaltung der Forderung, die Daten eines EU-Bürgers zu dokumentieren und nachzuweisen, dass sie gelöscht wurden.

Bei schweren Verstößen beträgt die Strafe bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes im abgelaufenen Geschäftsjahr – welcher Modus relevant ist, hängt auch wieder davon ab, welcher Betrag höher ist. Ein Beispiel für einen schweren Verstoß ist das nicht durchgeführte Löschen der Daten eines EU-Bürgers (siehe „DSGVO-Bußgelder und -Strafen“).

Die Geldbußen sind so hoch, dass sie ein Unternehmen leicht in den Ruin treiben können. Eine Nichteinhaltung der DSGVO-Anforderungen ist also keine finanziell vernünftige Option.

DSGVO einhalten oder nicht – es gibt kein Zwischending

Der 25. Mai 2018 ist zum Zeitpunkt, an dem Sie diesen Artikel lesen, schon vorbei. Umso dringlicher müssen Sie jetzt aktiv werden – sollten Sie es noch nicht getan haben. Um es noch einmal mit aller Deutlichkeit zu sagen: Die Erfüllung der DSGVO-Anforderungen ist für Organisationen, die personenbezogene Daten über EU-Bürger sammeln, nicht optional. Die Nichteinhaltung kann finanziell ruinös sein.

Jeder IT-Prozess, der personenbezogene Daten für die DSGVO-Compliance verarbeitet, muss bewertet werden. Wenn ein Prozess nicht konform ist, müssen Sie ihn modifizieren oder ersetzen, um konform zu sein – dies gilt auch für Prozesse, die zwar technisch konform, aber nicht praktisch konform sind. Wenn es zum Beispiel Monate dauert, bis alle Kopien der persönlichen Daten eines EU-Bürgers gelöscht sind, hält die DSGVO dies für nicht konform, weil es nicht rechtzeitig geschieht.

DSGVO-Bußgelder und -Strafen

Die EU-Datenschutz-Grundverordnung ist eine Verordnung, die wahrscheinlich noch mehr oder weniger große Veränderungen erfahren wird. Schließlich zeigt erst die praktische Umsetzung, was in der realen Welt funktionieren wird und was nicht. Der bürokratische Regulierungswechsel geht jedoch nur langsam voran. In der Zwischenzeit können bei Nichteinhaltung der DSGVO trotzdem bereits hohe Bußgelder fällig sein.

Bestimmung

Die EU-Regulierungsbehörden planen, die folgenden zehn Benchmarks zur Bestimmung der Höhe der Geldbuße bei Nichteinhaltung der DSGVO zu verwenden:

  1. Art der Zuwiderhandlung. Dazu gehören die Anzahl der betroffenen Personen, der erlittene Schaden, die Verletzungsdauer und der Bearbeitungszweck.
  2. Absicht. Dabei wird festgestellt, ob eine Verletzung vorsätzlich oder fahrlässig erfolgt.
  3. Milderung. Dabei handelt es sich um Maßnahmen zur Schadensbegrenzung für die betroffenen Personen.
  4. Vorbeugende Maßnahmen. Dabei wird untersucht, wie viele technische und organisatorische Vorbereitungsmaßnahmen bisher ausgeführt wurden, um Verstöße zu vermeiden.
  5. Geschichte. Dabei werden relevante Verstöße in der Vergangenheit untersucht, die so interpretiert werden können, dass sie Verstöße gegen die Vorgängerrichtlinie der DSGVO, die Data Protection Directive, einschließen, sowie frühere administrative Korrekturmaßnahmen im Rahmen der DSGVO – von Verwarnungen bis hin zu Verarbeitungsverboten und Geldbußen.
  6. Zusammenarbeit. Hier wird festgestellt, wie kooperativ die Organisation bei der Zusammenarbeit mit der Aufsichtsbehörde war, um den Verstoß zu beheben. Das Ergebnis wirkt sich auf die Geldbuße aus.
  7. Welche Arten von Daten von dem Verstoß betroffen sind, wird sich ebenfalls auf die Geldbuße auswirken.
  8. Benachrichtigung. Wurde der Verstoß proaktiv von der Organisation selbst oder von einem Dritten an die Aufsichtsbehörde gemeldet?
  9. Zertifizierung. Dabei wird berücksichtigt, ob sich die Organisation nach genehmigten Zertifizierungen qualifiziert hat oder ob sie sich an genehmigte Verhaltenskodizes gehalten hat.
  10. Andere. Andere erschwerende oder mildernde Faktoren können die finanziellen Auswirkungen des Verstoßes auf die Organisation beinhalten.

Geldbuße

Verstößt eine Organisation gegen mehrere DSGVO-Bestimmungen, wird sie nach dem schwersten Verstoß bestraft, anstatt für jede Bestimmung separat bestraft zu werden. In Anbetracht der möglichen Bußgelder dürfte dies jedoch keine große Erleichterung bringen.

Niedrigere Geldbußen

Organisationen müssen bei Verstößen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres bezahlen, je nachdem, welcher Betrag höher ist. Dies gilt für Verstöße gegen die folgenden Bestimmungen:

  • Controller und Prozessoren gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;
  • Zertifizierungsstelle nach den Artikeln 42 und 43; und
  • Überwachungsstelle gemäß Artikel 41 Absatz 4.

Höhere Geldbußen

Organisationen müssen bei Verstößen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres bezahlen, je nachdem, welcher Betrag höher ist. Dies gilt für Verstöße gegen die folgenden Bestimmungen:

  • die Grundprinzipien für die Verarbeitung, einschließlich der Bedingungen für die Zustimmung, gemäß den Artikeln 5, 6, 7 und 9;
  • die Rechte der betroffenen Personen nach den Artikeln 12 bis 22;
  • die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation gemäß den Artikeln 44 bis 49;
  • etwaige Verpflichtungen nach dem nach Kapitel IX erlassenen Recht der Mitgliedstaaten und
  • jede Nichteinhaltung einer Anordnung einer Aufsichtsbehörde.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

DSGVO: Unternehmen müssen mit zahlreichen Anfragen rechnen.

DSGVO: Welche Risiken Datenschützer bei Cloud Storage sehen.

DSGVO/GDPR: Umsetzung in IT-Management und IT-Sicherheit.

Erfahren Sie mehr über Datenschutz und Compliance