Von der EU-Datenschutzgrundverordnung (EU DS-GVO) wird momentan vielerorts gesprochen, aber nicht jeder hat eine genaue Vorstellung davon, was sie ist und was sie für Kunden und Unternehmen bedeutet. Daher geben wir hier zunächst eine kurze Übersicht über die wesentlichen Eckpunkte.
Ganz allgemein befasst sie die EU DS-GVO mit dem Schutz persönlicher Daten und legt fest, ob und in welcher Weise die Erhebung, Verwendung und Speicherung dieser Daten durch Unternehmen zulässig ist. Die Rechte Betroffener werden hier mit dem Ziel in den Fokus gerückt, Einzelpersonen mehr Kontrolle über die Handhabung ihrer persönlichen Informationen zu ermöglichen. Auch soll die Verarbeitung der Daten transparenter erfolgen als dies bisher oftmals der Fall war – Betroffene müssen künftig genau darüber informiert werden, welche Daten warum erhoben und gespeichert werden. Bestimmte Daten dürfen von Unternehmen weder ohne ausdrückliches Einverständnis der/des Betroffenen erhoben werden, noch nach ihrer Erhebung für andere Zwecke zweitverwertet werden – es sei denn, der Betroffene hat dem ausdrücklich zugestimmt.
EU-weiter Standard
Das „EU“ gibt bereits einen wesentlichen Aspekt der Verordnung wieder: sie ist bereits jetzt EU-weit gültig, unmittelbar anwendbar und obwohl der Begriff „Verordnung“ darin steckt, ist sie tatsächlich ein Gesetz. Ziel dieses Gesetzes ist, Datenschutz EU-weit zu vereinheitlichen und zu vereinfachen. Bisher war die Regelung des Datenschutzes ausschließlich Sache der jeweiligen Staaten, was internationale Rechtsstreitigkeiten sehr komplex gestaltete. So war bisher schon der Begriff „persönliche Daten“ in vielen Ländern rechtlich unterschiedlich definiert. Die EU DS-GVO führt nun eine einheitliche Definition ein, sodass dieser Streitpunkt künftig entfällt.
Unternehmen sind angehalten, geeignete Maßnahmen zum Schutz von Kundendaten zu ergreifen. Die in der jüngsten Vergangenheit immer öfter auftretenden Datenschutzpannen sollen unter eine Meldepflicht fallen. Wenn sich herausstellt, dass eine Datenschutzpanne durch Vorsatz oder Unterlassung verursacht wurde, sollen betroffene Unternehmen empfindlich bestraft werden können; selbst Einzelpersonen können je nach Fall gezielt haftbar gemacht werden. Die bisherige Situation war in dieser Hinsicht vielfach unbefriedigend – die fälligen Strafzahlungen hatten, sofern sie überhaupt verhängt wurden, keine abschreckende Wirkung und standen in keinem Verhältnis zum angerichteten Schaden. Das Bundesdatenschutzgesetz (BDSG) sah hier Geldstrafen zwischen 50.000 und 300.000 Euro vor. In Einzelfällen kann man auch darüber streiten, ob diese Kosten nicht sogar von vorneherein einkalkuliert waren. Die neue Gesetzgebung sieht hier wesentlich härtere Strafen vor – Verstöße können künftig in schweren Fällen mit zweistelligen Millionenbeträgen belegt werden.
Komplexe Umsetzung
Die Umsetzung der EU DS-GVO ist jedoch nicht trivial – in Deutschland müssen in diesem Zuge mehrere Tausend Einzelnormen geändert werden, was natürlich seine Zeit braucht. Aufgrund der Komplexität der Materie hat man Unternehmen auch eine Übergangszeit eingeräumt, um ihnen die Möglichkeit zu geben, ihre internen Prozesse im Sinne der DS-GVO zu überarbeiten. Diese Übergangszeit begann am 25. Mai 2016 - mehr als die Hälfte dieser Zeit ist also bereits verstrichen. Bis zum 25.Mai 2018 haben Unternehmen noch Zeit, sich vorzubereiten.
Was Unternehmen über die Änderungen im Zuge der EU-Datenschutzgrundverordnung wissen müssen und welche konkreten Handlungsmaßnahmen sich daraus ableiten lassen, ist im G DATA Whitepaper „Die neue EU-Datenschutz-Grundverordnung – Was Unternehmen unbedingt wissen müssen“ nachzulesen.
