Die Einhaltung der GDPR in einer komplexen Landschaft
Früher war es für Unternehmen einfacher, die Vorschriften einzuhalten, aber die Einhaltung war noch nie ein einfaches Unterfangen. In der Vergangenheit gab es für Unternehmen nur eine Reihe von Regeln, die sie befolgen mussten, nämlich die lokalen Vorschriften an dem Ort, an dem das Unternehmen tätig ist. Wenn das Unternehmen in neue Teile der Welt expandierte, musste es neue Regeln einhalten, die jedoch nur für diese neuen Gebiete galten.
Die globale Wirtschaft bedeutet das Ende dieses Ansatzes. Unternehmen, die wachsen wollen, können nicht länger in ihren Bundesstaaten, Regionen und Ländern bleiben und müssen sich an Vorschriften jenseits ihrer Grenzen halten. Sei es ein Unternehmen in Indiana, das Remote-Mitarbeiter in Schottland einstellt, oder ein Unternehmen in Dundee, das ein Kontaktzentrum in Indien beauftragt.
Dies gilt insbesondere für die Datenschutzgesetze, da Daten leicht zwischen verschiedenen Regionen verschoben werden können, manchmal ohne dass man es merkt. Mit der Cloud können Unternehmen Server überall auf der Welt haben, aber wenn sie nicht gut aufpassen, können Daten in Teilen der Welt mit unterschiedlichen Vorschriften gespeichert oder übertragen werden, und die Bemühungen um die Einhaltung der Vorschriften können umsonst gewesen sein.
Hinzu kommt, dass die Regulierungsbehörden jedes Landes ihre eigenen Vorstellungen davon haben, wie weit sie beim Schutz ihrer Bürger gehen sollten und was das für Unternehmen bedeutet, die Daten sammeln und verarbeiten. Die Vereinfachung des Geschäftslebens hat Vorrang vor dem Schutz der Privatsphäre - aber das bedeutet, dass Unternehmen sicherstellen müssen, dass sie die Regeln einhalten, wo immer sie Daten speichern, sammeln oder verarbeiten.
Die Kombination aus Cloud-Diensten und einem Flickenteppich sich ändernder Vorschriften bedeutet, dass es unmöglich scheint, mit Daten zu arbeiten und alle Anforderungen an den Datenschutz zu erfüllen. Aber es gibt einen Weg, die Einhaltung der Vorschriften wieder einfacher zu machen - wenn auch nicht einfach.
Durchtrennen Sie den gordischen Knoten der GDPR-Verordnung
Unternehmen müssen bei der Einführung und Einhaltung der DSGVO nicht alles über den Haufen werfen. Überlegen Sie nicht zu viel und übertreiben Sie Projekte nicht, wenn es möglich ist, sie zu vereinfachen und weniger Zeit auf etwas zu verwenden, das alle Anforderungen abdeckt.
Beim Datenschutz ist genau das Gegenteil der Fall. Machen Sie den Datenschutz in diesem Jahr zu einem zentralen Wert für alle Unternehmen, und zwar aus einem wichtigen Grund: Verbraucher und Unternehmen sind sich immer stärker bewusst, wie ihre Daten genutzt und missbraucht werden können, und dies beeinflusst zunehmend ihre Entscheidung, ob sie sie weitergeben oder nicht. Es ist leicht, diese Bedenken abzutun, aber die Verbraucher sind sich dieser Probleme stärker bewusst, als man annehmen könnte.
Wenn sie schon nicht den Ozean zum Kochen bringen, dann sollten die Unternehmen zumindest die Temperatur so weit anheben, dass es überall angenehm ist, schwimmen zu gehen.
GDPR: der höchste Datenschutzstandard
Die Datenschutz-Grundverordnung (GDPR) hat sich zum höchsten Datenschutzstandard der Welt entwickelt, und der Großteil davon wurde in der internationalen Norm ISO 27701 kodifiziert. Die EU nimmt die Einhaltung der GDPR so ernst, dass im Jahr 2020 das Urteil in der Rechtssache Schrems II das Privacy Shield, das internationale Abkommen, das Unternehmen den Export von Daten in die USA ermöglichte, für ungültig erklärte - nach der GDPR sind Datenübertragungen in Länder außerhalb der EU verboten, sofern keine angemessenen Garantien vorgesehen sind.
Durch die Annahme der GDPR-Standards wissen strategische Unternehmen, dass sie einen sehr hohen Standard einhalten und sich damit rühmen können, diese Standards einzuhalten, während ihre Konkurrenten dies nicht tun können, unabhängig davon, wo ein Unternehmen Daten speichert oder verarbeitet. Und da die GDPR als Vorlage für andere Länder dient, die Datenschutzgesetze einführen, wird es einfacher zu prüfen, wie sich diese neuen Gesetze unterscheiden, und sie entsprechend zu ändern. Meistens sind nur minimale oder gar keine Änderungen erforderlich.
GDPR-Compliance: ein universeller Ansatz
Wie sieht diese Strategie zur Einhaltung der GDPR aus? Betrachten Sie die GDPR als weltweiten Standard und setzen Sie ihn intern durch, für jede Unternehmensgruppe, jedes Land und jeden anwendbaren Prozess. Die Einhaltung dieses höheren Standards bedeutet, dass alle neu aufkommenden Standards problemlos erfüllt werden können - und es bedeutet auch mehr Effizienz und weniger Fehler, dank eines universellen Ansatzes und Prozesses.
Die DSGVO ist nicht für alle Situationen geeignet, und es kann sein, dass Unternehmen auf einen Anbieter zurückgreifen müssen, der die Anforderungen nicht erfüllt. Ein Beispiel: Ein Anbieter in den USA verarbeitet nur personenbezogene Daten aus den USA. Technisch gesehen besteht hier kein Bedarf an GDPR-Standards, aber sie nicht durchzusetzen bedeutet, dass man es verpasst, das Vertrauen von Kunden und Verbrauchern aufzubauen. Ausnahmen zu machen bedeutet, einen neuen Prozess zu erlernen und kann vermitteln, dass der Datenschutz keine Priorität hat. Wenn es jedoch absolut notwendig ist, einen nicht GDPR-konformen Anbieter zu verwenden, sollten Sie alles dokumentieren. Erstellen Sie eine zusätzliche Maßnahmenbewertung, führen Sie eine vollständige Datenschutz- und Sicherheitsüberprüfung des Anbieters durch, setzen Sie Pläne in Gang, um den Anbieter durch einen konformen Anbieter zu ersetzen, und lassen Sie sich eine schriftliche Risikoausnahmegenehmigung von der Geschäftsführung geben. Betrachten Sie diesen letzten Teil als wichtigen Dokumentationspfad, der beweist, dass ein Unternehmen das Risiko anerkennt und akzeptiert, weil die Nutzung des Anbieters kritischer ist als eine Datenschutzverletzung.
Sobald ein Unternehmen einen Ansatz zur Einhaltung der Datenschutzgrundverordnung eingeführt hat, sollte es damit nicht aufhören. Es ist wichtig, die Trends im Auge zu behalten. Gibt es neue gesetzliche Anforderungen in Ländern, in denen das Unternehmen noch nicht tätig ist? Entscheiden Sie sich für Opt-in! Indem sie mit den Vorschriften nicht nur auf dem Laufenden bleiben, sondern ihnen einen Schritt voraus sind, können Unternehmen die Einhaltung der Datenschutzbestimmungen nicht nur zur Einhaltung der Vorschriften, sondern auch zu einem Unterscheidungsmerkmal machen, mit dem sie sich rühmen können.
GDPR überall: Upsun's Verpflichtung zum Datenschutz
Upsun verfolgt diesen "GDPR everywhere"-Ansatz, um sicherzustellen, dass unsere Datenschutzpraktiken für alle unsere Kunden auf der ganzen Welt konsistent und einheitlich sind. Besuchen Sie unsere Funktionsseite für weitere Details zu Upsun PaaS Sicherheit und Compliance.
Dieser Artikel wurde ursprünglich von Joey Stanford auf SC Media veröffentlicht.
Nützliche Links:
Ihr größtes Werk
steht vor der Tür
