Neue EU-Datenschutzregeln ab 2018: Was Unternehmen jetzt beachten müssen
Die neue EU-Datenschutzverordnung tritt ab Mai 2018 in Kraft. Welche Neuerungen bringt sie und was passiert, wenn sich Firmen nicht daran halten? Wie sich Unternehmen vorbereiten können, erklärt Oliver Lobschat im Gastbeitrag für silicon.de.
Im Jahr 1995 verabschiedete die Europäische Union die Datenschutzrichtlinie (DSR), die bis dato ambitionierteste Datenschutzregelung, die allerdings problematische Lücken aufwies. Denn über die Jahre wurde die DSR durch zahlreiche Aufsichtsbehörden und Gerichtsurteile des Europäischen Gerichtshofes ausgeweitet. So war es den Mitgliedsstaaten der EU möglich, auf Basis der DSR eigene Gesetze auf den Weg zu bringen. Das führte zu ersten Uneinigkeiten bei der Auslegung und praktischen Anwendung der DSR innerhalb der EU und widersprach letztlich der Absicht, eine universale Rechtsnorm zu schaffen.
Ein zusätzliches Problem der DSR ergab sich aus dem stetigen Informationsanstieg. Mit der Expansion des Internets sind Daten mittlerweile auf Milliarden von Geräten gespeichert und abrufbar. Durch die unterschiedliche Auslegung hatte sich jeder Mitgliedsstaat eigene Spielregeln geschaffen, mit denen er darüber bestimmen konnte, was persönliche Daten sind und wie diese geschützt werden können.
Darüber hinaus gab es in der EU nun Länder, die zu begehrten Standorten für IT-Zentren internationaler Konzerne wurden, da hier die Auflagen des Datenschutzes besonders schwach ausfielen. Mit der neuen EU-Datenschutzgrundverordnung (DSGVO), die ab Mai 2018 in Kraft tritt, sollen wieder einheitliche Vorgaben und Definitionen für den Datenschutz in der EU gelten.
Die Neuerungen der EU-DSGVO im Überblick
Um den Uneinigkeiten der vorhergehenden DSV entgegenzuwirken, werden persönliche Daten fortan einheitlich definiert – ein Novum in der Geschichte des europäischen Datenschutzes.
Nutzerrechte sollen gestärkt werden
Bei den persönlichen Daten macht die DSGV klar, dass es sich hierbei um mehr als nur offensichtliche Identifizierungsmerkmale handelt. Auch wenn ein Subjekt direkt oder indirekt durch womöglich verwendete Mittel von irgendwem identifiziert werden kann, handelt es sich um persönliche Daten, sogenannte Quasi-Identifizierungsmerkmale. Beispielsweise dann, wenn Geo-Daten erhoben werden, die in Kombination mit anderen Daten die Darstellung eines Bewegungsmusters erlauben.
Darüber wird das Recht des Nutzers auf Vergessen gestärkt, mit dem es leichter werden soll, einmal über ihn veröffentlichte Informationen vollständig zu löschen.
Datenverarbeitung unterliegt neuen Pflichten
Für Datenverarbeiter einschließlich Cloudanbieter gelten mit der DSGV neue Verpflichtungen. So müssen Cloudanbieter die Sicherheit von Daten wahren, die ihnen durch einen Datenverantwortlichen übertragen wurden. Die Idee dahinter ist, dass Verbraucher einen Datenverarbeiter nun direkt auf Schäden verklagen können.
Mindestalter für die Einwilligung der Datenerhebung
Bei der Festlegung des Mindestalters lässt die DSGV wie die alte DSR erneut Spielräume. Somit können die Mitgliedsstaaten selbst festlegen, ab welchem Alter Kinder und Jugendliche sich rechtswirksam auf Webseiten anmelden können. In einigen EU-Ländern dürfen Kinder beispielsweise erst ab 16 Jahren ohne Einwilligung der Eltern einen Facebook Account eröffnen.
Ab Mai 2018 gilt das Marktortprinzip
Das neu geschaffene Datenschutzrecht gilt verbindlich für alle Unternehmen, die auf dem europäischen Markt tätig sind. Dabei spielt es keine Rolle, ob sich der Firmensitz innerhalb der EU befindet. Zudem ist es auch unerheblich, wo die Datenverarbeitung stattfindet. Denn jede Verarbeitung personenbezogener Daten von Nutzern aus der EU unterliegen dem Anwendungsbereich der DSGV.
Was passiert, wenn sich Unternehmen nicht daran halten?
Mit der DSGV etabliert die EU ein abgestuftes Sanktionssystem, das den Gewinn eines Unternehmens bei einer Pflichtverletzung schrumpfen lässt. So kann eine Firma mit einem Bußgeld von bis zu vier Prozent des globalen Umsatzes im vorausgegangenen Geschäftsjahr belegt werden, sollte sie gegen die Richtlinien der DSGV verstoßen. Die maximale Geldbuße beträgt 20 Millionen Euro. Die schwere des Verstoßes ist nach Bemessungskriterien eingeteilt und in Artikel 83 unter anderen definiert nach:
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
- Art und Schwere sowie Dauer des Verstoßes
- Berücksichtigung früherer Verstöße
- Kategorien personenbezogener Daten
Nach Artikel 55 kann jede Aufsichtsbehörde im Hoheitsgebiet des eigenen Mitgliedsstaates ein Bußgeld bei nachgewiesenen Verstößen verhängen. Diese wiederum können einerseits durch die Überwachungstätigkeiten von Behörden, durch Kunden als auch durch Mitarbeiter, die sich bei der Aufsichtsbehörde beschweren, aufgedeckt werden.
Wie sich Unternehmen auf die Änderungen vorbereiten können
In erster Linie sollten Unternehmen keine vorschnellen Handlungen vollziehen, sondern besonnen und ruhig an die Vorbereitungen herangehen. Auch wenn die EU-DSGV erst 2018 in Kraft tritt, sollte die Umstellung zeitnah erfolgen. Denn der Aufwand ist nicht zu unterschätzen. Da jedes Unternehmen unterschiedlich ist, wäre die Anwendung eines allgemeinen Maßnahmenkatalogs kaum möglich. Dennoch gibt es vier zentrale Eckpunkte, an denen sich Unternehmen orientieren können.
Dabei ist die Bildung einer Projektgruppe empfehlenswert, die sich mit den Konsequenzen der DSGV für das eigene Unternehmen befasst. Hierbei geht es darum, Anpassungsmaßnahmen herzuleiten und diese Schritt für Schritt auf den Weg zu bringen, sodass diese noch vor Mai 2018 abgeschlossen sind.
Corporate Governance: Die Governance beinhaltet Richtlinien, nach denen im Unternehmen klar definiert ist, welche Personen auf persönliche Daten im Dateisystem zugreifen dürfen und welche nicht. Dabei geht es vor allem darum, nur die Mitarbeiter zu benennen, die tatsächlich mit persönlichen Daten arbeiten müssen. Zudem sind regelmäßige Zugriffskontrollen zu empfehlen, insbesondere bei Stellenwechseln.
Datenklassifizierung: Unternehmen müssen künftig wissen, wo in ihrem System persönliche Daten gespeichert werden. Dabei geht es auch um unstrukturierte Formate wie Präsentationen oder Tabellen. Denn nur welches Unternehmen weiß, wo die Daten gespeichert sind, kann künftig Löschungsanträgen von persönlichen Daten ausführen.
Speicherfristen:Aufgrund der Beschränkung von Datenaufbewahrungsfristen müssen Unternehmen wissen, wo, wann und zu welchem Zweck Daten erfasst wurden. Persönliche Daten sind regelmäßig zu kontrollieren und zu prüfen, um über deren weitere Speicherung entscheiden zu können.
IT-Überwachung: Unternehmen sind nach der EU-DSGV künftig verpflichtet, Verstöße unverzüglich zu melden. Daher sollte eine stete Überwachung von Daten ohne Unterlass zum Credo eines jeden Unternehmens werden. Unternehmen müssen in der Lage sein, unerlaubte Zugriffe oder gar den Export von Daten schnell zu erkennen, ansonsten drohen empfindliche Bußgelder.
Fazit: Eine sorgfältige Vorbereitung ist wichtig
Die EU-Datenschutzverordnung gilt ab Mai 2018. Somit bleiben Unternehmen weniger als zwei Jahre Zeit, sich intensiv mit den Auswirkungen zu beschäftigen. Eine genaue Analyse zum IST-Stand der internen Datenverarbeitung sollte daher die Grundlage sein, um den Fahrplan bis 2018 festzuglegen.