EU-Datenschutzgrundverordung – Was Unternehmen beachten müssen
Bislang wurden bei Datenschutzverstößen Strafen ausgesprochen, die nicht der Rede wert waren. Doch das ist nicht das einzige, was sich durch die neue EU-Datenschutzdirektive verändert.
Nur etwa zwei Jahre haben Unternehmen Zeit, sich auf die vor wenigen Tagen beschlossene EU-Datenschutz-Direktive, die Datenschutz-Grundverordnung (GDPR –General Data Protection Regulation) vorzubereiten. Für Verbraucher bietet das neue Vertragswerk vor allem mehr Schutz und mehr Rechte.
Für Unternehmen steigen jedoch die Anforderungen durch die neue Direktive. Auch wenn kleinere Unternehmen sich von bestimmten Pflichten entbinden lassen können, wenn digitale Datenverarbeitung nicht zum Kerngeschäft gehört, hält GDPR zahlreiche neue Pflichten bereit.
“Privacy ist ein Mittel, mit dem Unternehmen vertrauenswürdige Beziehungen zu Kunden aufbauen können und auch Loyalität und Bindung steigern können”, kommentiert Forrester-Research-Analyst Enza Iannopollo. “Bis jetzt waren auch Strafen bei Verletzungen des Datenschutzes eher Makulatur. Aber das wird sich bald ändern.” Iannopollo fasst mit einem 10-Punkte-Plan die wichtigsten Neuerungen zusammen.
- Die Strafen werden auf bis zu 4 Prozent des Jahresumsatzes deutlich steigen.
- Unternehmen müssen einen Datenschutz-Verantwortlichen benennen oder einstellen.
- Datenverluste müssen von Unternehmen gemeldet werden.
- Die Verarbeiter und Kontrolleure von Daten sind gleichermaßen haftbar für Verletzungen der Privatsphäre.
- EU-Bürger haben ein Recht darauf, vergessen zu werden.
- Kinder haben ein besonders Recht auf Privatsphäre.
- Zustimmung ist unzweideutig.
- Der Zweck der Datenerhebung muss sehr spezifisch sein.
- Internationaler Daten-Transfer ist nach wie vor ein offenes Thema.
- Die Weitergabe von Daten an Strafverfolgungsbehörden unterliegt speziellen Formalien.
In einer durch den Spezialisten für Content-Management- und Collaboration-Lösungen Intralinks bei Ovum beauftragten Studie zeigt sich, dass sich deutsche Unternehmen durch die Verordnung herausgefordert sehen. 58 Prozent der deutschen Unternehmen glauben, dass sie nicht in der Lage sind, die neuen Anforderungen der EU zu erfüllen und fast 60 Prozent halten die neuen Regelungen für eine Überreaktion der Datenschützer. 79 Prozent der Unternehmen befürchten einen dramatischen Anstieg der Kosten für Unternehmen in Europa. Bei der Befragung von 366 IT-Entscheidern in Europa, Nord- und Südamerika, Australien und Asien danach zu befragen, zeigt sich, dass Unternehmen doch erheblichen Einfluss durch die neue Verordnung sehen.
“Neue Regulierungen wie die europäische Datenschutz-Grundverordnung bereiten globalen Unternehmen ernsthafte Sorgen. Unterschiedliche Rechtsprechungen sind oft inkonsistent und haben widersprüchliche Anforderungen daran, wie persönliche Daten gespeichert, verarbeitet und geteilt werden”, kommentiert Alan Rodger, Senior Analyst bei Ovum. “Das allein sorgt schon für Verwirrung und Unsicherheit. Und lässt grundlegende Fragen offen, wie zum Beispiel die Interpretation der Anforderungen für den Standort von Daten. Unternehmen brauchen Technologien, mit denen sie umgehend auf ein sich rasch veränderndes regulatorisches Umfeld reagieren können.” Daher würden auch etwa 62 Prozent der deutschen Unternehmen davon ausgehen, durch die neue Verordnung Geldstrafen aufgebrummt zu bekommen.
63 Prozent der US-Unternehmen glauben, dass amerikanische Unternehmen es schwerer haben auf dem europäischen Markt zu bestehen werden und 70 Prozent denken sogar, dass die neuen Vorschriften Unternehmen mit Sitz in Europa begünstigen.
Darüber hinaus wird erwartet, dass mit den neuen Datenschutzbestimmungen erhebliche Kosten auf die Unternehmen zukommen. 79 Prozent der deutschen Befragten rechnen mit einem Anstieg der Ausgaben, um die Anforderungen erfüllen zu können – über 30 Prozent gehen sogar von einem Anstieg von mehr als zehn Prozent in den nächsten beiden Jahren aus.
38 Prozent der Unternehmen, die in den nächsten drei Jahren ihre Datenschutz-Strategie anpassen, wollen Experten zu Rate ziehen – 27 Prozent erwägen, einen Chief Privacy Officer einzustellen. 55 Prozent der Unternehmen planen Schulungen zu den neuen Datenschutzgesetzen für Angestellte. 51 Prozent der Unternehmen wollen Datenschutzbestimmungen anpassen und 53 Prozent wollen dafür auch neue Technologien verwenden.
Trotz des allgemeinen Pessimismus gegenüber GDPR und den anstehenden Datenschutzbestimmungen wollen die Befragten bis 2018 für die Speicherung von regulierten und sensiblen Daten Technologien wie IoT-Implementierungen (66 Prozent), mobile Anwendungen (70 Prozent), Infrastructure as a Service (73 Prozent), Platform as a Service (70 Prozent) und Software as a Service (78 Prozent) verwenden. Dies deutet darauf hin, dass globale Unternehmen unabhängig von Regulierungen in eine Cloud-basierte Umgebung migrieren. Allerdings werden viele global agierende Unternehmen ihr Europageschäft aufgrund der mit den Verordnungen verbundenen Kosten neu bewerten müssen. Auch die Aufkündigung des Safe-Harbor-Abkommens trägt dazu bei.
Ein weiterer interessanter Aspekt der Studie ist, dass die USA in Sachen Datenschutz das am wenigsten vertrauenswürdige Land weltweit sind. Auf Rang zwei landet China, gefolgt von Russland, wo seit diesem Jahr ebenfalls neue Datenschutzbestimmungen gelten.
Fatemeh Khatibloo, Privacy-Experte bei Forrester betont, dass diese neuen Regulierungen jedes Unternehmen betrifft, das mit den Daten europäischer Bürger umgeht. “Und wir haben auch schon Gerüchte gehört, dass Kalifornien ähnliche Regulierungen plant. Diese Kombination würde die Art wie Unternehmen Daten verarbeiten, vollständig verändern.” Khatibloo sieht sogar die Gefahr von Marktaustritten durch die neuen Regulierungen, auch bei größeren Unternehmen.