EU-Datenschutz-Grundverordnung: 5 Folgen für die Druckindustrie

Im Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) der EU in Kraft. Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen die neuen Vorgaben bis zu diesem Termin umsetzen oder mit Bußgeldern von bis zu 20 Millionen Euro bzw. vier Prozent ihres weltweiten Jahresumsatzes rechnen.

Was also bedeutet die neue Verordnung für die Druckindustrie? Hier sind fünf wichtige Ansatzpunkte:

1. Unterscheidung zwischen „Verantwortlicher“ und „Auftragsverarbeiter“
Im ersten Schritt müssen sich Unternehmen in der Druckbranche darüber klar werden, ob sie als Verantwortlicher oder Auftragsverarbeiter eingestuft werden. Beiden werden durch die neue Verordnung verschiedene Verpflichtungen auferlegt. Der Verantwortliche legt die Verarbeitungszwecke und -mittel für die Verarbeitung personenbezogener Daten fest (z. B. eine Bank), während der Auftragsverarbeiter den Verarbeitungsvorgang im Auftrag des Verantwortlichen durchführt (z. B. eine Druckerei).

Unabhängig von ihrer Einstufung sind Unternehmen und Organisationen möglicherweise zur Bestellung eines Datenschutzbeauftragten (DSB) verpflichtet. Der Datenschutzbeauftragte arbeitet mit anderen Abteilungen zusammen, um die Einhaltung der DSGVO zu überwachen und Unternehmen und ihre Mitarbeiter über ihre Pflichten zu unterrichten und entsprechend zu beraten. Er fungiert zudem als Anlaufstelle für die Aufsichtsbehörden und für Personen, deren Daten verarbeitet werden.

2. Verzeichnis von Verarbeitungstätigkeiten
Im Rahmen der neuen Verordnung sind sowohl Verantwortliche als auch Auftragsverarbeiter verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen und dieses auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen.

Wie können Auftragsverarbeiter den Datenfluss verfolgen? Eine Möglichkeit wäre ein umfassendes Datenmapping, das eine Übersicht über die erfassten, verarbeiteten und gespeicherten Daten liefert und den Datenfluss zwischen Geschäftseinheiten und Unterauftragnehmern oder Dritten darstellt. Ein derartiges Datenmapping müsste zudem regelmäßig erfolgen, da es zu Änderungen in der Art und Weise der Datenerfassung oder auch bei Systemen, Prozessen und Verfahren im Laufe des Lebenszyklus der Daten kommen kann.

3. Rechte von Personen
Eine genaue Überwachung und Nachverfolgung personenbezogener Daten sind auch entscheidend, um die gestärkten Rechte von Einzelpersonen im Rahmen der Verordnung zu berücksichtigen. Dazu zählen beispielsweise das Recht, unterrichtet zu werden, das Recht auf Datenübertragbarkeit und das Recht auf Löschung (auch „Recht auf Vergessenwerden“ genannt).

Fordert eine Person ein Unternehmen auf, ihre personenbezogenen Daten zu löschen oder ggf. nicht länger zu verarbeiten, ist ein Druckunternehmen als Auftragsverarbeiter eventuell verpflichtet, den Verantwortlichen bei der Erfüllung von Zugriffsanfragen zu unterstützen. Für den Auftragsverarbeiter bedeutet dies, dass er in der Lage sein muss, auf Anfrage des Verantwortlichen oder einer Einzelperson konkrete personenbezogene Daten zu lokalisieren, um diese entfernen oder löschen zu können.

4. Sicherheit und Datenschutz durch Technikgestaltung
Die DSGVO sieht eine neue Frist für die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde innerhalb von 72 Stunden vor – eine Vorgabe, die viel Aufmerksamkeit auf sich gezogen hat. Gemäß der Verordnung ist der Auftragsverarbeiter auch verpflichtet, eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden, wenn ihm diese bekannt wird.

Die Druckbranche muss die Messlatte beim Datenschutz höher als je zuvor ansetzen, wenn sie die mit einer Datenschutzverletzung verbundenen Geldbußen und eine Schädigung ihres Ansehens vermeiden will. Druckunternehmen sind also aufgefordert, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Mit dem Vormarsch des Internets der Dinge (IoT) und der zunehmenden Verwendung drahtloser Geräte mit Netzwerkzugriff sind neue Online-Bedrohungen entstanden, die sich auch auf die Druckertechnologie auswirken. Moderne Drucker und intelligente Geräte erfordern einen mehrschichtigen Sicherheitsansatz, der die Bereiche Angriffsverhinderung, Geräteerkennung sowie Dokumenten- und Datenschutz abdeckt und Partnerschaften mit externen Anbietern für Datensicherheit beinhaltet. Die Gewährleistung der Sicherheit personenbezogener Daten, wie z. B. über Verschlüsselung, ist dabei entscheidend. Wenn Daten nicht länger benötigt werden, sollten sie zudem entsprechend gelöscht werden.

Darüber hinaus können verschiedene Funktionen helfen, die Sicherheit zu verbessern. Dazu zählen beispielsweise die Zugriffskontrolle (Sicherstellung, dass nur autorisierte Benutzer Zugang zum Drucker haben) oder eine geschützte Ausgabe (Dokumente werden erst dann gedruckt, wenn der Benutzer seine PIN-Nummer am Drucker eingegeben hat).

Angesichts des zunehmenden Aufwands für die Überprüfung der Sicherheitsstandards von Anbietern dürften Unternehmen zunehmend Servicelevel-Vereinbarungen (SLAs) für den Datenschutz in ihre Verträge aufnehmen, die unter anderem die Verpflichtung zur Verschlüsselung von Daten und zur Authentifizierung anhand von zwei Faktoren vorsehen.

5. Netzwerkkonsolidierung
Viele Projekte für den Transaktionsdruck erfordern die Zusammenarbeit mit mehreren Partnern zur Umsetzung komplizierter Direktwerbekampagnen (für Einleger, Schreiben, Zusammenstellung usw.). Damit haben Unternehmen jedoch automatisch weniger Kontrolle über die Inhalte und somit ein höheres Risiko einer Datenschutzverletzung.

Die Anforderungen der Datenschutzverordnung könnten daher neue Chancen für größere OEMs bedeuten. Kunden dürften die Sicherheit eines Komplettanbieters bevorzugen, der die Verantwortung für seine Unterauftragnehmer in sämtlichen Regionen übernimmt und eine geeignete Infrastruktur, Sicherheit und automatisiertes Reporting in einer kontrollierten Umgebung anbietet.

Mit nur noch wenigen Monaten bis zum Inkrafttreten der Datenschutz-Grundverordnung bleibt nur noch wenig Zeit, sich auf die bedeutenden Veränderungen vorzubereiten, die diese für die Branche bereithält. Druckereien müssen wie andere Unternehmen jetzt handeln, um ihre Verfahren bei der Datenverarbeitung zu bewerten, professionelle Beratung einzuholen und einen systematischen Ansatz zu entwickeln.

Kontaktieren Sie uns

Erfahren Sie, wie wir Sie bei der Einhaltung der DSGVO-Vorgaben unterstützen können.

Kontakt ›

Haftungsausschluss

Der Inhalt dieses Artikels dient lediglich der allgemeinen Information und stellt keinen Ersatz für eine individuelle rechtliche Beratung oder Meinung dar. Xerox übernimmt keine Haftung für Handlungen oder Unterlassungen aufgrund des Inhalts dieses Artikels.

Xerox beschäftigt ein funktionsübergreifendes Datenschutzteam, das mit der Aufgabe betraut ist, unsere Betriebsfähigkeit sicherzustellen und gleichzeitig unserer Verantwortung als Weltbürger und Dienstleistungsanbieter nachzukommen. Wir legen daher höchsten Wert auf die Einhaltung unserer Verpflichtungen im Rahmen der Datenschutz-Grundverordnung der EU.