Privacy by design, heißt ab Mai die Devise

8 Dinge, die Sie jetzt über die DSGVO wissen müssen

| Autor / Redakteur: Esther Niederhammer / Rainer Graefen

Am 25. Mai 2018 endet die Übergangsfrist für die europäische Datenschutz-Grundverordnung. Betroffen sind alle europäischen Unternehmen.
Am 25. Mai 2018 endet die Übergangsfrist für die europäische Datenschutz-Grundverordnung. Betroffen sind alle europäischen Unternehmen. (Bild: Pixabay / CC0)

Am 25. Mai 2018 endet die Übergangsfrist für die Europäische Datenschutzgrundverordnung (EU-DSGVO). Damit werden die Datenschutzregeln für Unternehmen und Behörden deutlich strenger. Viele bisherige Datenschutzmaßnahmen müssen hinterfragt, aktualisiert oder erweitert werden.

Ohne Daten geht in der modernen Wirtschaft gar nichts: keine Bestellung, keine Produktion, kein Verkauf, kein Kundenservice, keine Werbung von Neukunden und auch keine Mitarbeiterverwaltung. Erhebung und Verarbeitung von personenbezogenen Daten sind also ein „must“. Da diese Daten so wichtig sind, sind sie auch begehrt. In den letzten beiden Jahren ist jedes zweite Unternehmen in Deutschland Opfer von Datenverlust, Datendiebstahl, Wirtschaftskriminalität oder Sabotage geworden (53 %; Quelle: Bitkom). Der entstandene Schaden wird mit 55 Mrd. Euro jährlich beziffert.

Datenmissbrauch passiert täglich und kann jeden treffen. Er entsteht aber nicht nur durch Cyberangriffe oder Wirtschaftsspionage, sondern häufig durch fahrlässigen Umgang mit Daten, zum Beispiel wenn kein oder ein unprofessionelles Datenmanagement betrieben wird.

Unternehmen sind schlecht vorbereitet

Eine im Juni 2017 veröffentlichte Umfrage des IT-Verbands Bitkom unter IT- und Digitalunternehmen zeigt, dass bislang nur jedes dritte Unternehmen mit der Umsetzung der DSGVO begonnen hat. „Zum Teil sind Datenschutzbeauftragte unsicher, wie sie den Aufwand richtig abschätzen können, und zögern deshalb“, sagt Susanne Dehmel, Mitglied der Geschäftsleitung Recht & Sicherheit beim Bitkom. „Zum Teil sind es auch Führungsfehler. Es ist Aufgabe der Geschäftsleitung, dafür zu sorgen, dass jemand im Unternehmen die nötigen Ressourcen hat, um die Vorgaben der EU-DSGVO auch umzusetzen. Jetzt wird die Zeit knapp.“

Julian Totzek-Hallhuber, Solution Architect beim Spezialisten für Anwendungssicherheit Veracode, bestätigt, dass die deutschen Unternehmer nur langsam in Gang kommen und fügt hinzu: „Ich glaube, dass vielfach noch nicht verstanden wurde, worum es geht. Doch die Strafen, die auf Unternehmen zukommen, sind horrend. Wenn ich ein Unternehmen führen müsste, wäre ich extrem alarmiert. Besonders, weil der Begriff der personenbezogenen Daten erheblich erweitert wurde. Einzelne E-Mail-Adressen und Logfiles von Applikationen gehören dazu.“

Jedes europäische Unternehmen ist betroffen

Wer glaubt, die EU-DSGVO ginge ihn nichts an oder nur die IT-Branche sei gefordert, täuscht sich. Die Regelung betrifft alle Unternehmen, die in der EU ansässig sind, unabhängig von der Größe und Branche: Vom Handwerker, der Dienstleistungen anbietet, bis hin zum Unternehmer, der eine Website betreibt, Newsletter verschickt, Produktionsstätten in verschiedenen Ländern hat, mit elektronischen Signaturen arbeitet, mit Daten von internetfähigen Geräten im Bereich Unterhaltungsmedien oder Smart Living zu tun hat, seine Daten in einer Cloud lagert beziehungsweise Cloud-Dienste anbietet.

Im Gegensatz zur Vorgängerregelung gilt die EU-DSGVO nun zusätzlich für Unternehmen, die ihren Firmenhauptsitz außerhalb der EU-Staaten haben, aber ihr Angebot von einer Niederlassung in der EU an Kunden innerhalb der EU richten, also auch US-Unternehmen wie Google, Amazon und Apple.

Die deutschen Datenschutzregeln waren schon strenger als die vieler EU-Länder. Das darf dennoch nicht dazu verleiten, die Füße hochzulegen nach dem Prinzip: Sollen die andern erst einmal nachziehen. Spätestens mit den Herausforderungen der Arbeitswelt 4.0 werden auch bisher sichere Strukturen verwundbarer. Mit der richtigen Strategie und Führung kann ein vorbildliches Datenschutzmanagement sogar zum Marktvorteil für ein Unternehmen werden. „Im B2B-Bereich gilt das schon jetzt in der Vorbereitung auf die DSGVO“, sagt Totzek-Hallhuber. „Im B2C-Bereich wird das im Laufe des nächsten Jahres kommen oder spätestens, wenn die erste große Datenpanne passiert und erste heftige Bußgelder auch die Endkunden aufhorchen lassen.“

Grundlegendes zur EU-DSGVO

Die DSGVO löst die EU-Richtlinie 95/46/EG aus dem Jahr 1995 ab, die den Rahmen für den Datenschutz der einzelnen Mitgliedsländer bildete und in Deutschland im Bundesdatenschutzgesetz (BDSG) realisiert war. Bisher gab es sehr unterschiedliche Datenschutzstandards in der EU. International agierende Unternehmen konnten mit der gezielten Wahl ihres Firmensitzes in Europa bewusst strengere Datenschutzauflagen umgehen und sich einen Wettbewerbsvorteil verschaffen. Leidtragende waren Kunden und Konkurrenten aus Ländern mit strengeren Auflagen.

Die EU-DSGVO setzt genau hier an. Erstmals werden die Regelungen zum Datenschutz europaweit vereinheitlicht. Die neue Verordnung ist auch für alle Länder verbindlich, es handelt sich jetzt um eine „Verordnung“ statt „Richtlinie“. Damit steht die DSGVO über den nationalen Datenschutzregelungen.

Zwar gibt es durch sogenannte „Öffnungsklauseln“ noch Spielraum für die einzelnen Mitgliedsländer, allerdings nur bei den im Vorfeld verhandelten Punkten und spezifischen, innenpolitischen Fragen (etwa beim Arbeitnehmerdatenschutz oder bei der Videoüberwachung in öffentlichen Räumen).

Die ländereigenen Datenschutzgesetze müssen im Einklang mit der EU-DSGVO stehen, deutsche Unternehmer sind deshalb auch an das neue BDSG gebunden. Auch mit der DSGVO bleibt es dabei, dass die Erhebung und Nutzung von personenbezogenen Daten grundsätzlich erst einmal verboten ist, bis die betroffene Person die Erlaubnis erteilt (Verbot mit Erlaubnisvorbehalt). Das Recht auf informationelle Selbstbestimmung wird als Grundrecht bestätigt. Ausnahmen gibt es nur für Daten, die für ein gesellschaftliches Miteinander oder für Verträge unerlässlich sind. Hier beschränken gesetzliche Vorgaben die absolute Selbstbestimmung des Einzelnen.

Es drohen drastische Strafen

Wer die DSGVO unterläuft oder Daten nicht nachweisbar gegen Missbrauch geschützt hat, riskiert jetzt drastische Strafen. Abhängig von der Schwere des Vorfalls können nach Art. 83 DSGVO Bußgelder bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes verhängt werden (vorher maximal 300.000 Euro pro Verstoß, nach altem BDSG).

Die Aufsichtsbehörden haben sicherzustellen, dass die Maßnahmen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sind. Zudem werden die Aufsichtsbehörden miteinander verzahnt und durch einen Europäischen Datenschutzausschuss ergänzt (Art. 68 DSGVO). Wichtige Neuerung in diesem Zusammenhang: Bürger können sich bei Beschwerden künftig an die Datenschutzbehörde ihres eigenen Mitgliedstaates wenden, auch wenn ihre Rechte in einem anderen Land verletzt wurden.

Unter die EU-DSGVO fällt nun jede Information, die direkt oder indirekt, einzeln oder in Kombination mit anderen Daten Rückschlüsse auf die Identität oder das Verhalten einer Person erlaubt. Im Prinzip ist das auf alle Daten anwendbar wie Namen, Geschlecht, Adressen, Standortinformationen, Fotos, E-Mails, Bankdaten, Posts in sozialen Netzwerken, IP-Adressen, Gerätekennungen, Logfiles von Applikationen, biometrische Daten (Gesichtserkennung, Fingerabdruck, Retina-Scan), Gesundheitsdaten (auch aus Gesundheits- und Sport-Apps). Unkritische Daten? Gibt es damit nicht mehr.

Inhalt des Artikels:

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44906418 / Compliance)