Durch soziale Medien und den Einsatz digitaler Technologien ist der Datenverkehr in den vergangenen Jahren rapide angewachsen – ein Trend der sich auch in Zukunft fortsetzen wird. Immer wichtiger wird in diesem Zusammenhang das Thema Datenschutz, also konkrete Regeln zum Erfassen, Verarbeiten und Speichern von Daten. Ein wichtiger Meilenstein ist in diesem Zusammenhang, die neue EU-Datenschutz-Grundverordnung (EU-DS-GVO), die ab 25. Mai auch in Deutschland Anwendung findet. Doch was steckt hinter diesem Begriff und welche konkreten Änderungen kommen auf Unternehmen zu?
Was steckt hinter der EU-Datenschutz-Grundverordnung?
Die Verwendung von Daten war bisher in Deutschland durch die EU-Datenschutzrichtlinie von 1995 das Bundesdatenschutzgesetz (BDSG) einheitlich geregelt. Um die rechtlichen Vorgaben zu aktualisieren und vor allem EU-weit zu vereinheitlichen, hat die EU die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (..) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ – oder kurz: EU-Datenschutz-Grundverordnung (EU-DS-GVO) auf den Weg gebracht. 2016 in Kraft getreten, finden diese Regelungen nun nach der zweijährigen Übergangsphase ab 25. Mai 2018 Anwendung.
Wen betreffen die neuen Regelungen?
Grundsätzlich gilt die neue Datenschutzgrundverordnung für alle Unternehmen, die in der Europäischen Union ansässig sind (oder eine Niederlassung haben) sowie personenbezogene Daten von EU-Bürgern verarbeiten. Personenbezogene Daten sind dabei Daten, die direkte Angaben über eine bestimmte oder bestimmbare Person enthalten. Dazu gehören Angaben wie Namen, Adressen, Kontodaten, E-Mail-Adressen oder Fotos. Da darunter bereits eine einfache Liste mit Kundendaten fällt, sind faktisch alle Unternehmen von den neuen Vorgaben betroffen.
Was ändert sich für Unternehmen?
Eine der wichtigsten Änderungen sind die strengeren Dokumentations- und Auskunftspflichten für Unternehmen. So müssen Unternehmen beispielsweise ein Verzeichnis anlegen, in dem jede Verarbeitung von personenbezogenen Daten eingetragen wird. Dieses Verzeichnis dient vor allem gegenüber Aufsichtsbehörden als Nachweis und gewährleistet eine bessere Nachvollziehbarkeit aller Aktivitäten bei der Verwendung von Daten.
Dieses Verzeichnis ist auch für Anfragen von beispielsweise Kunden unverzichtbar. Denn diese können jederzeit anfragen, welche Daten ein Unternehmen von Ihnen besitzt, deren Nutzung widersprechen oder deren Löschung beantragen. Unternehmen bleibt künftig maximal einen Monat Zeit, um auf solche Anfragen zu antworten. Das „Recht auf informationelle Selbstbestimmung", also die Kontrolle über die eigenen Daten, wird damit erheblich gestärkt.
Ebenfalls verschärft werden auch die Meldepflichten bei Datenpannen: Unternehmen sind verpflichtet, diese innerhalb von 72 Stunden sowohl an die zuständige Aufsichtsbehörde sowie alle potenziell betroffenen Personen zu melden. Zudem sind Betriebe verpflichtet, schon im Vorfeld entsprechende technische Vorkehrungen zu treffen, um Datenlecks zu verhindern.
Was können Unternehmen tun?
Nicht nur die Regelungen, sondern auch die Bußgelder werden durch die EU-DS-GVO erheblich strenger, so drohen Strafen von bis zu 20 Millionen Euro beziehungsweise bis zu vier Prozent des weltweiten Umsatzes einer Unternehmensgruppe. Insofern sollten Unternehmen die kommenden Neuerungen durchaus ernst nehmen und mit der Umsetzung der Verordnungsinhalte schnellstmöglich beginnen, da nur noch bis 25. Mai Zeit dafür bleibt.
Eine zentrale Anlaufstelle zum Thema ist die Website des Landesbeauftragten für Datenschutz- und Informationsfreiheit Baden-Württemberg, die neben allgemeinen Informationen zur EU-DS-GVO auch einen 10-Punkte-Plan mit ersten Schritten bereithält. Auch kostenlose Tests und Checklisten – beispielsweise vom Bayerischen Landesamt für Datenschutzaufsicht – können Unternehmen dabei helfen, sich einen ersten Überblick zu verschaffen. Darüber hinaus bieten viele Industrie- und Handelskammern sowie weitere Institutionen und Verbände spezielle Infoveranstaltungen zum Thema an.