Einhaltung der DSGVO

Von: Sue Diltz, CIO/Chief Security & Privacy Officer

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) mit Wirkung zum 25. Mai 2018 erhöht die Sicherheit personenbezogener Daten von Bürgern und Einwohnern der EU-Länder sowie Norwegens, Islands und Liechtensteins. Der vereinheitlichte Standard wird auch britische Staatsbürger und Einwohner nach derBrexit. Es ist schwer vorstellbar, dass ein Unternehmen oder eine Branche in Europa Waren oder Dienstleistungen anbietet, die nicht von diesen detaillierten Anforderungen zum Schutz personenbezogener Daten betroffen sind.

Im Namen von Graebel begrüße ich die neuen Regelungen. Sie sind streng, aber angemessen und entsprechen dem Geist der Sicherheit und Transparenz, mit dem wir in der Vergangenheit nicht nur in Europa, sondern weltweit mit personenbezogenen Daten umgegangen sind.

 

Die Anforderungen

Im Allgemeinen baut die DSGVO auf den früheren Datenschutzstandards der EU auf – der Datenschutzrichtlinie von 1995. Es erweitert und klärt diese Anforderungen in folgenden Bereichen:

• Territorialer Geltungsbereich – Sie gilt für alle Organisationen mit Zugang zu personenbezogenen Daten von Einwohnern dieser Länder, unabhängig davon, wo das Unternehmen ansässig ist
• Strafen – Die neue Bußgeldstruktur ist abgestuft und gedeckelt. Die Höchststrafen sind höher als in der Vergangenheit.
• Zustimmung – Einwilligungsformulare müssen klar und prägnant sein mit minimalem „Legalese“
• Rechte von Einzelpersonen:
  • Verstoßbenachrichtigung – Sie müssen innerhalb von 72 Stunden nach der Entdeckung einer Verletzung ihrer Informationen benachrichtigt werden
  • Recht auf Zugang – Sie können Auskunft über ihre von der Organisation verwalteten personenbezogenen Daten verlangen
  • „Recht auf Vergessenwerden“ – Sie können verlangen, dass die Organisation ihre persönlichen Daten löscht
  • Datenportabilität – Sie können ihre Informationen abrufen und mit einer anderen Entität teilen
• Datenschutz durch Design – Die Sicherheit personenbezogener Daten muss ein Bestandteil des anfänglichen Designs von Systemen sein, die solche Daten verwenden oder speichern.
• Datenschutzbeauftragte – Organisationen müssen einen Datenschutzbeauftragten ernennen, wenn ihre Aktivitäten zur Verarbeitung personenbezogener Daten einen bestimmten Schwellenwert überschreiten.

Wenn Sie mehr zu diesen Themen erfahren möchten, können Sie direkt zur Quelle gehen und das Material der EU überprüfen, einschließlich eines nützlichen Zusammenfassung der Anforderungen.

 

DSGVO und Mobilität

Als Relocation Management Company (RMC) werden uns jeden Tag grundlegende persönliche Kennungsinformationen für Übernehmer und Beauftragte anvertraut. Und im Falle von Einwanderungs- und anderen Funktionen können wir noch sensiblere personenbezogene Daten anfordern und speichern – zum Beispiel in Bezug auf Staatsbürgerschaft, Geschlecht, Familienstand und sogar Geburtsort. Der Schutz dieser Informationen ist von entscheidender Bedeutung.

Und unsere DSGVO-Verpflichtungen erstrecken sich auf jedes der Partnerunternehmen und Dienstleister, mit denen wir diese Informationen teilen, während sie im Auftrag unserer Kunden arbeiten. Das ist einer der Gründe, warum wir unsere globale Servicepartner – die Unternehmen, die spezifische Umzugsdienstleistungen von der Haushaltswarenverwaltung bis zur Einwanderung und steuerlichen Unterstützung übernehmen. Wir müssen nicht nur sicherstellen, dass sie sich hervorragend um unsere Kunden kümmern, wir müssen auch sicherstellen, dass sie über geeignete Systeme zum Schutz vertraulicher personenbezogener Daten verfügen.

Die European Relocation Association (EuRA) hat eine umfassende Überprüfung der Hauptbestimmungen der DSGVO aus Sicht der Mobilitätsbranche.

 

Grübel ist bereit

Nach der Verabschiedung der DSGVO im April 2016 hat Graebel ein funktionsübergreifendes Bewertungsteam gebildet und mit der Aktualisierung unserer Richtlinien und Verfahren begonnen, um die neuen Anforderungen zu integrieren. Seitdem haben wir die folgenden Schritte unternommen, die bis zum 25. Mai abgeschlossen sein werden:

• Behalte einen Dritten (TrustArc) um eine priorisierte Gap-Bewertung durchzuführen, um die Schritte zu identifizieren, die wir ergreifen müssen
• Durchführung einer Dateninventur und Geschäftsprozesskarten zur Erfüllung des DSGVO-Artikels 30
• Identifizierte alle nach außen gerichteten Anwendungen, die Daten sammeln, und erstellte dann entsprechende Datenschutzhinweise
• Dokumentierte unsere Prozesse als Datenverantwortlicher und Datenverarbeiter, um Artikel 30.1 der DSGVO zu adressieren
• Entwickelter benutzerdefinierter Code für unsere Cookie-Hinweise/Zustimmungsverfahren
• Wir haben unsere Richtlinie zur Aufbewahrung von Aufzeichnungen validiert, um sie mit den DSGVO-Artikeln 5/25 in Einklang zu bringen
• Wir haben unseren Incident Response Plan aktualisiert, um sicherzustellen, dass Benachrichtigungsprozesse für Einzelpersonen und Behörden gemäß den Artikeln 32/33 der DSGVO eingerichtet sind
• Entwicklung eines Prozesses und Plans für die Datenschutz-Folgenabschätzungen, um Artikel 6.4 der DSGVO zu adressieren
• Aktualisierte unsere Kunden- und Lieferantenverträge, um Artikel 30 der DSGVO zu berücksichtigen
• Entwicklung von Mitarbeiterschulungen, um Teams auf ihre spezifischen Verantwortlichkeiten im Zusammenhang mit den DSGVO-Anforderungen vorzubereiten
• Erstellung interner Prozesse zur Unterstützung der einzelnen Rechteelemente der DSGVO im Zusammenhang mit den Artikeln 15/17/20
• Entwicklung eines jährlichen Testplans für unser DSGVO-Compliance-Programm, einschließlich Breach Notification

Auch hier gratulieren wir den EU-Ländern zu der durchdachten Art und Weise, wie sie diese neuen Vorschriften ausgearbeitet haben. Ja, die Vorbereitung darauf war für uns und andere RMCs eine Menge Arbeit. Aber unsere Prozesse sind dafür umso besser, da die Anforderungen auf einem sehr vertretbaren Ansatz zum Schutz der Privatsphäre des Einzelnen basieren.

Auf die Zukunft der Welt!