Wer nicht rechtzeitig an den Datenschutz denkt, muss zahlen

Die neue Datenschutzgrundverordnung: Wenig bekannt, potenziell teuer
Kommentare

Die neue Datenschutzgrundverordnung der EU wurde im April ratifiziert. Nun haben Unternehmen noch bis zum Mai 2018 Zeit, sich den neuen Regeln im Umgang mit den Daten von EU-Bürgern anzupassen. Untersuchungen aus den letzten Monaten zeigen aber, dass noch nicht alle betroffenen Unternehmen damit begonnen haben, sich auf die bevorstehenden Veränderungen vorzubereiten.

Mit der General Data Protection Regulation (GDPR) kommen bis 2018 einige neue Anforderungen auf alle Unternehmen zu, die Daten von EU-Bürgern speichern und verarbeiten. Der Firmensitz des Unternehmens ist dabei nicht ausschlaggebend: Es zählt der Wohnort des Nutzers, nicht der des Unternehmens. Unternehmen aus aller Welt müssen ihren Umgang mit den Daten von EU-Bürgern also der neuen Verordnung anpassen. Verstößt ein Unternehmen gegen die Datenschutz-Richtlinien, sind bis zu vier Prozent seines Jahresweltumsatzes als Strafe fällig; alternativ muss eine Summe von 20 Millionen Euro gezahlt werden, falls der anteilige Jahresweltumsatz unter diesem Schwellwert bleibt.

Mehr Datenschutz für die Bürger

Zwar können einzelne EU-Länder weiterhin eigene Datenschutz-Gesetze erlassen, grundsätzlich soll die GDPR aber flächendeckend in der EU gelten. Damit wird der datenschutzrechtliche Flickenteppich in Europa gestopft. Allen Bürgern stehen künftig beispielsweise die gleichen Rechte zu, wenn es um Datenabfragen durch die Polizei und Gerichte geht. Dafür wurden Mindeststandards definiert, die künftig von Behörden eingehalten werden müssen.

Außerdem wird es mit der GDPR ein „Recht auf Vergessen“ geben. Unternehmen müssen Usern somit nicht nur Auskunft darüber geben, welche Daten von ihnen gespeichert wurden, sondern diese auf Aufforderung auch aus ihren Datenbanken entfernen. Die Zustimmung zur Datenverarbeitung muss ab 2018 per OptIn-Verfahren gelöst werden: Ein reiner Widerspruch genügt nicht, der Nutzer muss der Verarbeitung aktiv zustimmen.

Unternehmen: Noch nicht gut vorbereitet

Das Privacy-Management-Unternehmen TRUSTe befragte Ende 2015 202 Personen zur GDPR. Die Befragten kannten sich mit Datenschutz aus und waren für Unternehmen mit mindestens 250 Mitarbeitern und mit Sitz in den USA, England, Frankreich oder Deutschland tätig. Immerhin 50 Prozent der Befragten gaben an, dass die neue Datenschutz-Grundverordnung ihrem Unternehmen bereits bekannt sei. 65 Prozent davon hatten schon mit der Vorbereitung auf die GDPR begonnen; ein Budget dafür wurde von 83 Prozent derjenigen zur Verfügung gestellt, die bereits über die Verordnung informiert waren. Die Unsicherheit war im vergangenen Jahr ebenfalls noch groß: 55 Prozent der bereits informierten Gruppe wünschte sich Unterstützung bei der Implementierung der Verordnung.

Wie der Management-Software-Provider Metalogix berichtet, ist die GDPR noch von untergeordneter Bedeutung, wenn es um die cloudbasierte Datenspeicherung geht. Nur 26 Prozent der von Metalogix Befragten machte sich Sorgen darum, dass die Datenschutzgrundverordnung ihnen dabei Probleme bereiten könnte; die Sicherheit der gespeicherten Daten empfanden 79 Prozent als besorgniserregender. Darüber hinaus weist Metalogix daraufhin, dass IT-Profis in Deutschland, Österreich und der Schweiz am besten über die kommenden Änderungen im Datenschutzrecht informiert seien.

Was müssen Unternehmen tun?

Welche Veränderungen kommen nun aber auf Unternehmen zu? Zu den Neuerungen gehört, dass Unternehmen künftig unter bestimmten Voraussetzungen einen Data Protection Officer (DPO) einsetzen müssen, der die Einhaltung der EU-Verordnung überwacht. Dieser ist unter anderem dazu verpflichtet, die Mitarbeiter des Unternehmens in Sachen Datenschutz zu schulen und alle Verstöße gegen die Verordnung an offizielle Stellen zu melden.

Einige große Unternehmen dürften bereits einen Data Protection Officer haben; die Formulierung der neuen Datenschutz-Verordnung macht dies jedoch auch für viele mittelständische Unternehmen notwendig. Vorgeschrieben ist die Einsetzung eines DPO unter folgenden Bedingungen, die von Artikel 37 der GDPR definiert werden:

(a) The processing is carried out by a public authority or body (except courts); or

(b) The controller’s or processor’s “core activities” require “regular and systematic monitoring of data subjects on a large scale” or consist of “processing on a large scale of special categories of data.”

Eine Hochrechnung der International Association of Privacy Professionals besagt, dass innerhalb der EU etwa 28.000 neue Stellen für diese Aufgabe geschaffen werden müssen, 4.000 davon im öffentlichen Bereich.

Umfang der Anpassungen ermitteln

Metalogix empfiehlt außerdem daran zu denken, dass die GDPR alle Mitarbeiter eines Unternehmens betrifft, die mit Kundendaten zu tun haben. Ein persönlicher Fokus könne dabei helfen, Angestellten die Problematik zu verdeutlichen: Was wäre, wenn ihre eigenen Kreditkartendaten gestohlen werden? Dies könne einen motivierenden Ausgangspunkt für die Beschäftigung mit dem Thema darstellen.

Außerdem gibt Metalogix einige Tipps dazu, welche Aspekte der bisherigen Datensicherheitsstrategie überdacht werden müssen. So sollte betrachtet werden, wie Kunden bisher über Vorfälle in Sachen Datensicherheit informiert wurden, um zu überprüfen, ob das System an die neuen Vorgaben angepasst werden kann. Wenn die Datenverarbeitung (anteilig) an externe Dienstleister ausgelagert wurde, muss außerdem überprüft werden, ob diese sich auf die GDPR einstellen.

Privacy Shield?

Während der allgemeine Datenschutz für EU-Bürger nun also in neue Bahnen gelenkt wurde, sind die Verhandlungen um ein neues Abkommen mit den USA noch nicht beendet. Nachdem das Safe-Harbor-Abkommen im vergangenen Jahr gerichtlich für unzulässig erklärt wurde, wird nun bereits seit Monaten über ein Nachfolgeabkommen diskutiert, das die Daten von EU-Bürgern in den USA vor allem vor staatlichen Zugriffen schützen soll. Eine wichtige Grundlage für eine Einigung wurde mit dem Judicial Redress Act inzwischen geschaffen. Durch diese Änderung an der Rechtslage in den USA können EU-Bürger nun gegen Datenschutz-Verstöße in den USA klagen; die Möglichkeiten zum Widerstand gegen staatlichen Zugriff bleiben aber eingeschränkt. Das EU-Parlament hat noch nicht über den derzeitigen Entwurf entschieden.

Aufmacherbild: Gavel and european union flag via Shutterstock / Urheberrecht: Lisa S.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -