Logo: MR Datentechnik
MR Datentechnik Logo
Schließen
Schließen
Support

DSGVO (Datenschutz-Grundverordnung)

DSGVO (Datenschutz-Grundverordnung)

Die Datenschutz-Grundverordnung (DSGVO, international als GDPR bekannt) ist eine Verordnung der Europäischen Union, die die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen europaweit einheitlich regelt. Seit ihrem verbindlichen Inkrafttreten am 25. Mai 2018 verfolgt sie das Ziel, die Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere deren Recht auf Schutz personenbezogener Daten – zu gewährleisten und gleichzeitig den freien Datenverkehr innerhalb des Europäischen Binnenmarktes sicherzustellen.

Zentrale Grundsätze der Datenverarbeitung 

Jede Verarbeitung von personenbezogenen Daten (wie Namen, E-Mail-Adressen, IP-Adressen oder Kontodaten) hat gemäß Art. 5 DSGVO die dort definierten Grundsätze einzuhalten. Dies umfasst auch die Verpflichtung zur umfassenden Dokumentation und Nachweisführung, insbesondere durch die Führung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO, die Bereitstellung von Nachweisen der implementierten technischen und organisatorischen Maßnahmen (TOMs) sowie die Festlegung und Umsetzung geeigneter Löschkonzepte.

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Daten dürfen nur mit einer gültigen Rechtsgrundlage (z. B. einer Einwilligung oder zur Vertragserfüllung) und für den Betroffenen nachvollziehbar verarbeitet werden.
  • Zweckbindung und Datenminimierung: Daten dürfen nur für festgelegte, eindeutige Zwecke erhoben werden und der Umfang muss auf das für diese Zwecke notwendige Maß beschränkt sein („Datensparsamkeit“).
  • Richtigkeit und Speicherbegrenzung: Daten müssen sachlich richtig sein und dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist.
  • Integrität und Vertraulichkeit: Die Daten müssen durch angemessene Sicherheit vor unbefugter Verarbeitung, Verlust oder Zerstörung geschützt werden.
  • Rechenschaftspflicht (Accountability): Unternehmen stehen in der Beweispflicht. Sie müssen die Einhaltung aller DSGVO-Grundsätze jederzeit lückenlos dokumentieren und nachweisen können.

Die Brücke zur IT: Technische und organisatorische Maßnahmen (TOMs) 

Aus IT-Perspektive ist insbesondere Artikel 32 der DSGVO von zentraler Relevanz. Dieser fordert von Unternehmen die Implementierung von dem Risiko angemessenen Technischen und Organisatorischen Maßnahmen (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Dazu zählen bewährte IT-Sicherheitsverfahren wie die Pseudonymisierung und Verschlüsselung von Daten, die Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit der Systeme sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit dieser Maßnahmen.  Ergänzend hierzu sind zentrale Sicherheitsmechanismen wie Zugriffskontrollen (Identity and Access Management, IAM), Backup- und Recovery-Verfahren zur Sicherstellung der Datenverfügbarkeit, Protokollierung (Logging) zur Nachvollziehbarkeit von Verarbeitungsvorgängen und ein strukturiertes Incident-Management zur Erkennung und Behandlung von Sicherheitsvorfällen umzusetzen.

Flankiert wird dies durch die Prinzipien Privacy by Design (Datenschutz durch Technikgestaltung, z. B. datenschutzfreundliche Softwarearchitekturen) und Privacy by Default (datenschutzfreundliche Voreinstellungen bei Geräten und Anwendungen).

Unternehmerische Relevanz und Risikomanagement 

Die Nichteinhaltung der DSGVO-Vorgaben birgt für Unternehmen massive Risiken. Neben spürbaren Reputationsschäden und Schadenersatzforderungen von Betroffenen sieht die Verordnung drakonische Bußgelder vor, die sich auf bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs belaufen können. Zudem führt die Verletzung des Schutzes personenbezogener Daten (Data Breaches) zu strengen, zeitnahen Meldepflichten gegenüber den Aufsichtsbehörden,  insbesondere zur Meldung innerhalb von 72 Stunden gemäß Art. 33 DSGVO, sofern kein Risiko für die Rechte und Freiheiten der betroffenen Personen ausgeschlossen werden kann.

Eine professionell umgesetzte DSGVO-Compliance schützt Unternehmen jedoch nicht nur vor Sanktionen, sondern fungiert zunehmend als Qualitätsmerkmal und Vertrauensbeweis im B2B-Umfeld. Da die Anforderungen der DSGVO eng mit international anerkannten Sicherheitsstandards für Informationssicherheits-Managementsysteme (wie der ISO/IEC 27001) verzahnt sind, lässt sich der Datenschutz nachhaltigin bestehende Sicherheits- und Managementsysteme sowie IT-Prozesse integrieren – ein ganzheitlicher Ansatz, der auch in Sicherheitskonzepten und Beratungsleistungen der MR Datentechnik eine zentrale Rolle findet.