Der europäische Datenschutz ist schon vor Monaten in trockene Tücher gebracht worden. Bei der praktischen Umsetzung in den Unternehmen hat sich allerdings bislang noch nicht allzu viel getan. Die Frist läuft noch 20 Monate.
Viele Unternehmen in Deutschland sind nur unzureichend auf die neue europäische Datenschutz-Grundverordnung vorbereitet. Die Datenschutzverordnung sei für fast die Hälfte aller Firmen in der Bundesrepublik (44 Prozent) aktuell noch kein Thema, ergab eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom unter 509 Datenschutzverantwortlichen in Unternehmen ab 20 Mitarbeitern. 32 Prozent kennen demnach die Reform zwar, haben sich aber noch nicht damit beschäftigt, weitere 12 Prozent haben davon noch nicht einmal gehört.
Die Datenschutz-Grundverordnung war am 25. Mai 2016 offiziell in Kraft getreten. Die Frist für die Umsetzung in den EU-Mitgliedstaaten beträgt zwei Jahre, Stichtag ist der 25. Mai 2018.
EU-Datenschutzreform 2016: Die wichtigsten Änderungen
Ein Gesetz für alle EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen" Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out" Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16 Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Aggressiver Datenschutz bei Apple
Paul Nemitz, der als Direktor bei der EU-Kommission mit für das Thema Grundrechte und Datenschutz zuständig ist, wies am Rande der internationalen Privacy Conference des Bitkom in Berlin auf die ökonomischen Chancen hin, die sich bei der Umsetzung eines hohen Datenschutzniveaus ergäben. Weltweit würden gerade die gut gebildeten und wohlhabenden Kunden stark darauf achten. Daher sei es auch kein Zufall, dass Apple als wertvollstes Unternehmen der Welt aggressiv die Daten seiner Kunden schütze. Da in Deutschland traditionell bereits ein sehr hohes Schutzniveau umgesetzt worden sei, profitierten deutsche Firmen ganz besonders von strengeren Datenschutzbestimmungen in der Europäischen Union, sagte Nemitz.
Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit, forderte die Unternehmen auf, frühzeitig mit der Umsetzung der Verordnung zu beginnen. Mit der Reform beschäftigten sich der Umfrage zufolge bereits 47 Prozent der Unternehmen. Allerdings hätten lediglich acht Prozent bereits erste Maßnahmen eingeleitet. "Nach dem Ende der Übergangsfrist im Mai 2018 drohen empfindliche Strafen, wenn sich die Unternehmen nicht an die Bestimmungen halten." Eine Buße könne bis zu vier Prozent des weltweiten Umsatzes eines Unternehmens erreichen.
Flächendeckend angekommen in den deutschen Unternehmen ist die EU-Datenschutzreform noch nicht. Foto: Maksim Kabakou - shutterstock.com
Unternehmen in der Pflicht
Mit der Verordnung werden zahlreiche neue Informations- und Dokumentationspflichten eingeführt, die von den Unternehmen umgesetzt werden müssen. Völlig neu sind gesetzliche Vorgaben wie die Berücksichtigung des Datenschutzes bei der Produktentwicklung (Privacy by Design) oder die Durchführung einer Datenschutz-Folgenabschätzung.
Neben der Grundverordnung ist auch eine Richtlinie für den Datenschutz in Polizei und Justiz in Kraft getreten. Diese gibt lediglich einen Rahmen vor, den die nationalen Gesetzgeber ausfüllen müssen. Die Datenschutz-Grundverordnung gilt dagegen unmittelbar in allen Nationalstaaten. Die bestehenden Landesgesetze etwa zu Gesundheits-, Sozial- oder Meldewesen müssen allerdings nun auf die darin enthaltenen Datenschutzregelungen überprüft werden. (dpa/sh)