So bereiten Sie Ihr Unternehmen auf die DSGVO vor

Das müssen Sie über die Datenschutzgrundverordnung (DSGVO) wissen

Seit dem 25. Mai 2018 gilt in der Europäischen Union (EU) mit der Datenschutzgrundverordnung (DSGVO) ein wegweisendes Datenschutzgesetz. Wir bei Okta haben uns dem Erfolg unserer Kunden verschrieben. Wir sind für unsere Kunden da, wenn es darum geht, die DSGVO einzuhalten. Deshalb bietet die Okta Identity Cloud umfassenden Datenschutz und Sicherheit. Bitte beachten Sie, dass es sich beim Inhalt dieser Seite (einschließlich der Links) nicht um rechtsverbindliche Auskunft handelt. Vielmehr dient sie ausschließlich Informationszwecken. Für eine ordentliche Rechtsberatung sollten Sie die Juristen in ihrem Unternehmen hinzuziehen.

Oktas Nachtrag zur Datenverarbeitung

Um Kunden bei der Einhaltung der DSGVO zu helfen, hat Okta einen Nachtrag zur Datenverarbeitung veröffentlicht und aktualisiert, der aktualisierte und zusätzliche Bestimmungen enthält. Mit diesem Nachtrag zur Datenverarbeitung werden die bestehenden Vereinbarungen unserer Kunden mit Okta auf den neuesten Stand gebracht. Zudem sind darin die Verpflichtungen von Okta im Rahmen der DSGVO mit Blick auf die Bereitstellung des Okta-Dienstes aufgeführt. Oktas Nachtrag zur Datenverarbeitung – der auf Seite 1 eine Self-Service-Anleitung zur Ausführung des Dokuments enthält – ist auf unserer Website hier einsehbar.

Was ist die DSGVO?

Die Datenschutzgrundverordnung (DSGVO) war im Wesentlichen eine Reaktion auf die rasante technologische Entwicklung, die zunehmende Vernetzung und Globalisierung sowie die immer umfangreichere grenzübergreifende Übermittlung personenbezogener Daten, um die bestehenden, uneinheitlichen und teilweise widersprüchlichen Gesetze und Vorschriften in der EU zu aktualisieren und den Schutz personenbezogener Daten zu verbessern. Die DSGVO löst den früheren Wildwuchs an einzelstaatlichen Datenschutzgesetzen ab und ersetzt sie durch ein einziges, umfassendes Gesetz, das in jedem EU-Mitgliedsland direkt durchsetzbar ist.

Genauer genommen regelt die DSGVO die „Verarbeitung“ von Daten, was die Erhebung, Speicherung, Nutzung oder Übermittlung von personenbezogenen Daten über EU-Bürger umfasst. Jedes Unternehmen (unabhängig davon, ob es in der EU ansässig ist, eine Niederlassung in der EU hat oder keine Niederlassung in der EU hat), das personenbezogene Daten von EU-Bürgern verarbeitet, muss die DSGVO einhalten. Entscheidend dabei ist, dass die EU im Rahmen der DSGVO den Begriff „personenbezogene Daten“ weit fasst, sodass das Gesetz grundsätzlich sämtliche Angaben zu einer identifizierten oder identifizierbaren Person umfasst.

Welche Daten fallen unter die DSGVO?

Die DSGVO regelt die Erfassung, Verarbeitung und Speicherung personenbezogener Daten von EU-Bürgern durch Unternehmen. Personenbezogene Daten sind demnach sämtliche Informationen, die mit bestimmten Bürgern der EU in Verbindung gebracht werden können. Einige der durch die DSGVO geregelten personenbezogenen Daten sind dabei ziemlich offensichtlich, wie z. B. E-Mail-Adressen und Personalausweisnummern von Mitarbeitern. So eindeutig ist es allerdings nicht immer. Die DSGVO regelt auch Informationen, die zu einer bestimmten Person zurückverfolgt werden können, sodass sie unter Umständen auch für Standort- und Verhaltensdaten gilt. Das Gesetz wurde so abgefasst, dass es zukunftssicher ist. Daher gibt es keine abschließende Liste mit personenbezogenen Datenarten. Grundsätzlich gilt, dass alle Daten, die eine lebende Person in der EU identifizieren, als personenbezogene Daten anzusehen sind.

Für wen gilt die DSGVO?

Die DSGVO gilt weltweit für jedes Rechtssubjekt, das personenbezogene Daten von EU-Bürgern erhebt, speichert oder verarbeitet. Sie unterteilt diese Rechtssubjekte in Datenverantwortliche und Datenverarbeiter. Grob gesagt, lassen sich diese Kategorien wie folgt definieren:

Ein Datenverantwortlicher übt die Kontrolle über die Verarbeitung personenbezogener Daten aus und entscheidet, welche Daten erfasst werden.

Ein Datenverarbeiter handelt beim Erfassen, Speichern, Abrufen oder Löschen personenbezogener Daten auf Weisung eines Datenverantwortlichen.

Welche Auswirkungen hat all das auf Sie?

Die potenziell größten negativen Auswirkungen eines Verstoßes gegen die DSGVO sind mögliche Bußgelder und die damit verbundene Schwächung des Ansehens eines Unternehmens in den Augen seiner Mitarbeiter, Geschäftspartner, Kunden und anderer Stellen, deren personenbezogene Daten es verarbeitet.

87 % der Verantwortlichen für Informationssicherheit sind besorgt, dass die aktuellen Richtlinien ihres Unternehmens nicht ausreichen, um die strengen neuen Auflagen der DSGVO zu erfüllen.

– Aus einem Bericht von Egress Software Technologies von 2016

Daten von Drittanbietern

Hierunter fallen unter anderem personenbezogene Daten von EU-Bürgern mit Bezug zu Kunden oder Partnern eines Unternehmens.

Die Daten Ihres eigenen Unternehmens

Hierunter fallen unter anderem personenbezogene Daten von EU-Bürgern mit Bezug zu Ihren Angestellten und Mitarbeitern.

Wie gut sind Sie vorbereitet?

Weil die DSGVO ein so weites Feld ist, haben zuerst die Artikel-29-Datenschutzgruppe und später der Europäische Datenschutzausschuss als Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes wiederholt Leitfäden für Unternehmen bezüglich der Inkraftsetzung und Durchsetzung des Gesetzes herausgegeben. Darüber hinaus gibt es aber immer noch diverse Kernpunkte, die man als Unternehmen berücksichtigen kann, um eine Einhaltung zu gewährleisten.

Die Daten Ihres eigenen Unternehmens

Stellen Sie sicher, dass Sie in der Lage sind, die von Ihrem Unternehmen erfassten, verarbeiteten oder gespeicherten Daten von EU-Bürgern zu finden, zu berichtigen, Kopien davon bereitzustellen und zu löschen. Zum Beispiel haben EU-Bürger im Rahmen der DSGVO umfassendere Möglichkeiten, von Unternehmen, die ihre personenbezogenen Daten speichern, verarbeiten und kontrollieren, die Löschung dieser Daten zu verlangen, falls:

  • Sie nicht mehr für ihren ursprünglichen Zweck benötigt werden
  • Die Betroffenen ihre Zustimmung zurückziehen
  • Die Betroffenen Einspruch gegen die Art und Weise der Verarbeitung ihrer Daten erheben

Personenbezogene Daten auf Wunsch übertragen

Eine weitere wichtige Auflage der DSGVO ist das Recht auf Auskunft und Datenübertragbarkeit.

Ein EU-Bürger muss in der Lage sein, seine personenbezogenen Daten von einem Verarbeitungssystem in ein anderes zu übertragen, ohne dass der Datenverantwortliche eingreift. Der Datenverantwortliche muss diese Daten der Person zudem in einem allgemein verwendeten offenen elektronischen Standardformat zur Verfügung stellen.

Oktas Engagement für DSGVO-Compliance

Wir betrachten die DSGVO sowohl als einen wichtigen Schritt nach vorn bei der Vereinfachung und Vereinheitlichung der Datenschutzauflagen in der gesamten EU als auch als eine Gelegenheit für Okta, unser langjähriges Engagement für Datenschutzgrundsätze und -praktiken zu stärken. 

Okta hält bei der Erbringung seiner Dienste für Kunden die DSGVO ein. Wir haben die Vorgaben der DSGVO genau analysiert und auf der Grundlage unserer Erkenntnisse Verbesserungen an unseren Produkten und Dienstleistungen, unserer Dokumentation und unseren Vertragsunterlagen vorgenommen, um unsere Kunden bei der Erfüllung der Auflagen für eine Einhaltung der DSGVO zu unterstützen.

Zwar kann Okta nicht alle Herausforderungen der DSGVO meistern, aber eine Identitäts- und Zugriffsverwaltung, die ein Produkt wie Okta einsetzt, kann ein starkes Fundament für die Einhaltung der DSGVO sein und Risiken mindern. Sie sollten unbedingt die Rechtsabteilung Ihres Unternehmens hinzuziehen und sich erklären lassen, inwiefern die DSGVO für Ihr Unternehmen gilt.

Im Jahr 2016 nutzten Mitarbeiter im Durchschnitt 36 Cloud-Dienste aktiv. Ein durchschnittliches Unternehmen setzte über 1.400 Cloud-Dienste ein.

– Aus „12 Must-Know Statistics on Cloud Usage in the Enterprise“ (12 wichtige Statistiken zur Cloud-Nutzung in Unternehmen) von Skyhigh

Denken Sie daran, dass jede andere Stelle, die mit den personenbezogenen Daten von EU-Bürgern in Ihrem Unternehmen arbeitet (einschließlich Anbietern, Partnern und Apps) das Gesamtrisikoprofil Ihres Unternehmens erhöhen kann. Okta bietet eine Konsolidierung und einen Einblick in die Verwendung personenbezogener Daten, was dazu beitragen kann, Sicherheits- und Compliance-Anforderungen sowohl für Ihr Unternehmen als auch für Ihre Kunden zu erfüllen.

Unsere Plattform hilft sowohl einzelnen Nutzern als auch großen Unternehmen dabei, die Einhaltung der DSGVO-Auflagen zu gewährleisten:

IAM für Unternehmen

Ganzheitliche Sicherheit und Compliance für Mitarbeiter und andere Partner, mit denen Unternehmen zusammenarbeiten. So stellte zum Beispiel Flex die Plattform von Okta für seine Lieferanten und Mitarbeiter bereit.

IAM für Kunden

Umfassende Sicherheit und Compliance für Identitäten, die Kunden zur Verfügung gestellt werden. So wird zum Beispiel die Kundenplattform von Adobe durch Okta geschützt.