Das unternehmensweite Risikomanagement hat das primäre Ziel, sicherzustellen, dass Unternehmen die rechtlichen und regulatorischen Verpflichtungen erfüllen, die zur Geschäftstätigkeit erforderlich sind. Unternehmen, die in der EU geschäftlich tätig sind, müssen ihre Prozesse an die Datenschutz-Grundverordnung (DSGVO) anpassen, die eingeführt wurde, um die veraltete Datenschutzrichtlinie von 1995 zu ersetzen.

Wir sind hier, um Ihnen mit einem kurzen Leitfaden zu helfen, der sicherstellt, dass Ihr Risikomanagementprogramm DSGVO-konform ist.

Was ist die DSGVO?
Die Datenschutz-Grundverordnung ist Europas Datenschutzstandard. Die DSGVO war das vierjährige Ergebnis eines Versuchs, veraltete Datensicherheitsgesetze ins 21. Jahrhundert zu bringen. Die DSGVO besagt, dass „das Ziel der DSGVO darin besteht, alle EU-Bürger vor Datenschutz- und Datenverletzungen in einer zunehmend datengesteuerten Welt zu schützen, die sich stark von der Zeit unterscheidet, in der die Richtlinie von 1995 erlassen wurde.“ Die Menge der gesammelten Daten hat in den letzten zwanzig Jahren erheblich zugenommen, und es war eine Änderung erforderlich, um der aktuellen Nachfrage nach aktualisierten Datenschutzbestimmungen gerecht zu werden.

Die DSGVO gibt Einzelpersonen oder „betroffenen Personen“ erhebliche neue Rechte darüber, wie ihre personenbezogenen Daten von Unternehmen gesammelt und verwendet werden. Risikomanager müssen sich der Tatsache bewusst sein, dass das Unternehmen, wenn es Daten in der EU in irgendeiner Weise, Form oder Gestalt sammelt, die neuen Sicherheitsstandards einhalten muss. Dies würde auch amerikanische Unternehmen einschließen, die personenbezogene Daten von Verbrauchern sammeln, und das Sammeln von Daten erfordert keine finanzielle Transaktion, bevor die Verordnung in Kraft tritt. In einer Welt der wirtschaftlichen Globalisierung wird die DSGVO Unternehmen auf der ganzen Welt betreffen, von China bis Australien. Risikofachleute auf globaler Ebene müssen sicherstellen, dass interne Kontrollen vorhanden sind, um die DSGVO für alle Prozesse, die Datenerfassung betreffen, einzuhalten.

Warum ist die DSGVO wichtig?
Die Einhaltung gesetzlicher und regulatorischer Anforderungen ist für jedes Unternehmen entscheidend, um das Risiko nachteiliger Maßnahmen von staatlichen Stellen (z. B. Bußgelder, Sanktionen usw.) zu senken. Wie oben erwähnt, muss jedes Unternehmen in der EU oder jedes Unternehmen, das innerhalb der EU geschäftlich tätig ist, die DSGVO einhalten. In der heutigen globalisierten Wirtschaft ist diese EU-Verordnung für eine große Anzahl von Unternehmen relevant, die sicherstellen müssen, dass ihre Datenschutzprozesse den Anforderungen entsprechen.

Die DSGVO trat im Mai 2018 in Kraft und legt wichtige Richtlinien für Unternehmen fest, die personenbezogene Daten von EU-Bürgern verarbeiten.

Einige wichtige Bereiche der Compliance umfassen:

  • Die Anforderung der elterlichen Zustimmung vor der Verarbeitung personenbezogener Daten von Minderjährigen (unter sechzehn Jahren).
  • Ein obligatorisch ernannter Datenschutzbeauftragter (DSB) für Unternehmen und öffentliche Behörden, die bestimmte Verarbeitungstätigkeiten durchführen.
  • Ein 72-Stunden-Fenster für Datenverantwortliche, um Cyber-Verletzungen den zuständigen Behörden zu melden.

Unternehmen, die in der EU geschäftlich tätig sind, müssen sich der regulatorischen Auswirkungen der DSGVO auf ihre Datenschutzprozesse bewusst sein. Datenschutzprozesse müssen geprüft werden, um sicherzustellen, dass sie den Anforderungen der DSGVO für ihre 27 Mitgliedstaaten sowie für das Vereinigte Königreich, das seine eigene Version, die UK-DSGVO, übernommen hat, entsprechen. Risikomanagement-Experten müssen sich bewusst sein, wie diese Verordnung die Verfolgung von Geschäftszielen beeinflusst.

Datenverantwortliche, die den Zweck und die Art der Verarbeitung personenbezogener Daten bestimmen, haben spezifische Anforderungen, die erfüllt werden müssen, um hohe Strafen bei Nichteinhaltung zu vermeiden. Diese Strafen werden auf der Grundlage spezifischer Kriterien bewertet, die zur Bestimmung des endgültigen Betrags herangezogen werden, mit dem ein Unternehmen bestraft wird, wie z. B. Art der Verletzung, Kooperation und Datentyp. Strafen werden in untere und obere Stufen unterteilt; Bußgelder können zwischen 2-4 % des weltweiten Vorjahresumsatzes oder bis zu 20 Mio. Euro betragen, je nachdem, welcher Betrag höher ist. Diese Strafen stellen nicht nur ein erhebliches Risiko für Unternehmen dar, sondern können auch schwerwiegende nachteilige Auswirkungen auf Organisationen haben, wenn sie auf die leichte Schulter genommen werden.

Eine weitere DSGVO-Anforderung, die das Risikomanagementprogramm eines Unternehmens erheblich beeinflusst, ist das 72-Stunden-Fenster für die Meldung von Datenverletzungen durch den Datenverantwortlichen. Kommt es zu einer Cyber-Verletzung durch externe Entitäten, hat ein Unternehmen ein sehr kleines Zeitfenster, um einen Krisenkommunikationsplan umzusetzen, um den Reputationsschaden einer Cyber-Verletzung zu bewältigen. Risikomanagement-Experten müssen daran arbeiten, effektive, transparente Kommunikationsstrategien für den Fall einer Cyber-Verletzung bereitzuhalten, die täglich häufiger werden. Solche Probleme gehen über den Bereich der DSGVO als bloßes IT-Compliance-Problem hinaus, sondern betreffen die gesamte Organisation und erfordern die Aufmerksamkeit von Praktikern des unternehmensweiten Risikomanagements.

Schritte im Risikomanagement zur Vorbereitung auf die DSGVO

  1. Regeln kennen
    Beginnen Sie mit der Lektüre des EU-DSGVO: Ein Taschenhandbuch, das die 261 Seiten juristischen Fachjargons in einen leicht verständlichen Leitfaden zusammenfasst, der Ihnen hilft, den richtigen Weg zur Compliance zu finden. Dieser Leitfaden kann ein Lebensretter sein, um alle Compliance-Grundlagen in kurzer Zeit abzudecken.
  1. Scannen Sie Ihre interne Umgebung
    Führen Sie Recherchen durch und dokumentieren Sie die Ergebnisse zur Bewertung interner Prozesse im Zusammenhang mit dem Datenschutz. Alle Daten müssen gründlich geprüft werden, um Lücken in der Compliance-Abdeckung zu vermeiden, die zu verpassten Gelegenheiten zum Schutz von Verbraucherdaten führen können. Da sich Geschäftsprozesse entwickeln, sollten interne Datenumgebungen regelmäßig gescannt werden, um eine konstante Compliance zu gewährleisten. Hohe Strafen sollten ein guter Motivator sein, die Risikotoleranz der Führungsebene in Bezug auf Datensicherheit zu aktualisieren.
  1. Regulierte Daten identifizieren
    Gesammelte Daten sollten geprüft werden, um Bereiche zu identifizieren, in denen interne Prozesse überarbeitet oder neu erstellt werden müssen. Daten ohne erforderliche Compliance können bestehende Prozesse nutzen, da kein Strafenrisiko besteht. Daten, die den Vorschriften entsprechen müssen, müssen jedoch zur weiteren Bewertung beiseitegelegt werden.
  1. Kritische Daten und Prozesse bewerten und priorisieren
    Kritische Daten, die für den Geschäftsbetrieb erforderlich sind, sollten zuerst bewertet werden. Eine Risikobewertung aller privaten Daten sollte durchgeführt werden, wobei Richtlinien und Verfahren überprüft werden, um die Einhaltung der DSGVO-Anforderungen sicherzustellen. Kritische Datenressourcen sollten Priorität haben, dann können Backups und andere Datenrepositorys später behandelt werden. Sicherheitsmaßnahmen müssen für alle kritischen Datenprozesse aktualisiert werden; dies wird zu einer robusteren IT-Risikomanagementumgebung innerhalb der Organisation führen.
  1. Datenschutzleistung überwachen
    Datensicherheitsmaßnahmen, die zur Einhaltung der DSGVO aktualisiert wurden, sollten fortlaufend überwacht werden. Diese Praxis ist entscheidend, um sicherzustellen, dass es kaum oder gar keine Exposition gegenüber Compliance-Risiken gibt, die zu schwerwiegenden finanziellen Strafen führen könnten. Ein zusätzlicher Vorteil der kontinuierlichen Überwachung der Datenschutzleistung ist eine erhöhte Risikosicherheit innerhalb und außerhalb der Organisation. Verbraucher sind eher bereit, Geschäfte mit einem Unternehmen zu machen, das stolz darauf ist, die Datenschutzrechte der Kunden im Geschäftsverlauf zu schützen.

Fazit
Risikomanagement-Experten müssen klare Prozesse dafür festlegen, wie die Daten der Verbraucher geschützt werden. Unabhängig von der Organisation wird die Führungsebene sicherstellen wollen, dass Verbraucherdaten im Einklang mit der DSGVO geschützt werden, um die hohen Strafen bei Nichteinhaltung zu vermeiden. Dies ist keine Aufgabe, die sich nur auf die IT bezieht; die nachteiligen Auswirkungen der Nichteinhaltung reichen viel weiter und betreffen jede Ebene der Organisation. Mit den oben beschriebenen Schritten kann jedoch jedes Unternehmen sicherstellen, dass es keine Datenschutzbedenken hat.