Eine Datenschutz-Grundverordnung für alle EU-Länder

Datenschutz in Europa ist aktuell noch Sache der Länder. Das wird sich jedoch ab dem 25. Mai 2018 ändern. Dann tritt die EU-Datenschutz-Grundverordnung, kurz EU-DSGVO, in Kraft. Sie gilt für alle 28 Mitgliedsstaaten der Europäischen Union sowie sämtliche dort ansässigen Unternehmen. Neues, zentrales Element der vereinheitlichten Regelung ist der strengere Umgang mit den personenbezogenen Daten der Verbraucher. Die Handhabung der persönlichen Daten ist zwar in weiten Teilen an deutsches Recht angelehnt, bringt aber dennoch für hiesige Betriebe gravierende Neuerungen mit sich. Deshalb sollten sich Entscheider schon jetzt mit dem Thema vertraut machen.

EU-DSGVO: Darum geht's

Die Verbraucher sollen von den neuen Datenschutzgesetzen am stärksten profitieren. Die EU-DSGVO wird die Grundrechte und Grundfreiheiten natürlicher Personen stärker und einheitlicher als bisher schützen. In Artikel 5 der EU-DSGVO etwa geht es um die Verarbeitung ihrer personenbezogenen Daten.

Darin heißt es zum Beispiel, personenbezogene Daten müssen ...

 

  • ... "auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden."
  • ... ausschließlich "für festgelegte, eindeutige und legitime Zwecke erhoben werden".
  • ... "dem Zweck angemessen sein" und so sparsam wie möglich verwendet werden.
  • ... "sachlich richtig" sein. Fehlerhafte oder veraltete Daten sind zu löschen.
  • ... nur insoweit eine Identifizierung ermöglichen, wie es für ihre Verarbeitung unbedingt erforderlich ist. Das gilt auch für die Speicherdauer.
  • ... angemessen vor Verlust und unbefugtem Zugriff geschützt sein.

Schriftliche Erlaubnis erforderlich

Mit diesen Grundsätzen ist eine größere Offenheit gegenüber den Verbrauchern unumgänglich. Unternehmen müssen Erwachsene und Kinder ab dem vollendeten 13. Lebensjahr (Art. 8 EU-DSGVO) viel detaillierter als bisher über den Umgang mit den verwendeten Daten informieren. Außerdem müssen sie dafür die freiwillige und schriftliche Erlaubnis der jeweiligen Personen einholen ­ – und zwar laut der neuen Verordnung „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ (Art. 12 EU-DSGVO). Der Verbraucher kann seine Einwilligung für die Verarbeitung der personenbezogenen Daten jederzeit zurückziehen.

"In gut einem Jahr gilt die Datenschutz-Grundverordnung der EU. Sie ändert einige Spielregeln für Unternehmen. (© 2017 Shutterstock / spacezerocom)

Mehr Pflichten für Unternehmen

Auf Unternehmen kommen mit der neuen EU-DSGVO umfangreichere Melde- und Nachweispflichten zu. Sie müssen noch verantwortlicher mit personenbezogenen Daten und deren Verarbeitung umgehen. Zum Beispiel müssen Beschäftigte belegen, dass sie sich an die Datenschutzgrundsätze in Art. 5 Abs. 1 EU-DSGVO (siehe oben) gehalten haben. Alle Nachweispflichten sind in Artikel 12 EU-DSGVO festgehalten.

Wurden Datenschutzrechte verletzt, ist das laut Art. 33 EU-DSGVO innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde anzuzeigen. Außerdem sind nach Art. 34 EU-DSGVO auch die davon betroffenen Personen so rasch wie möglich zu benachrichtigen. Sie müssen auch über die Art der Verletzung ihrer Datenschutzrechte informiert werden. Diese Meldepflicht erlischt allerdings, wenn nur eine geringe beziehungsweise unwahrscheinliche Gefahr für die jeweiligen Verbraucher besteht.

EU-DSGVO: Schutz vor Datenmissbrauch

Ein neuer und integraler Bestandteil der neuen Verordnung ist die Datenschutz-Folgenabschätzung (Art. 35 EU-DSGVO). Sie greift, wenn während der beabsichtigten Datenverarbeitung die Interessen der betroffenen Verbraucher stark bedroht sind. Dabei spielen sowohl die Wahrscheinlichkeit als auch das zu erwartende Risiko einer möglichen Rechteverletzung eine Rolle. In schweren Fällen ist das Unternehmen dazu verpflichtet, die zuständige Aufsichtsbehörde zu konsultieren. Damit soll verhindert werden, dass weiterer Schaden durch die Verarbeitung und Verteilung der Daten, etwa durch moderne Technologien, für die betroffenen Personen entsteht.

Strategische Maßnahmen einleiten

Für einen reibungslosen und vor allem gesetzeskonformen Ablauf der Datenverarbeitung sollten Unternehmen frühzeitig strategische Maßnahmen einleiten. Zu empfehlen sind technische Vorkehrungen (Data Protection by Design) oder auch datenschutzsichere Voreinstellungen von Hardware wie etwa Internet-Router.

Entscheider und ihre Teams sollten sich bereits jetzt Strategien für die DSGVO zurechtlegen. (© 2017 Shutterstock / Rawpixel.com)

Grundsätzlich gilt: Unternehmen sollten insgesamt möglichst wenig personenbezogene Daten verarbeiten. Die Daten der Kunden sollten weitgehend anonymisiert sein und die notwendigen Abläufe transparent nach außen vermittelt sowie intern genau überwacht werden.  Auch der Einsatz von Datenschutzbeauftragten kann Hilfestellung innerhalb des Unternehmens bieten.

Höhere Geldbußen, verschärfte Haftung

Zuwiderhandlungen gegen die Datenschutz-Grundverordnung sind kostspielig. Für Unternehmen können bei Pflichtverletzungen Bußgelder in Höhe von bis zu vier Prozent ihres weltweiten Umsatzes ausgesprochen werden. An solchen Delikten beteiligte natürliche Personen müssen mit Geldbußen von bis zu 20 Millionen Euro rechnen. Das ist in Art. 83 EU-DSGVO geregelt.

Auch die zivilrechtliche Haftung von Verantwortlichen wird in der neuen Verordnung verschärft. Gemäß Art. 82 Abs. 1 EU-DSGVO müssen sie ab Mai 2018 dann sowohl für materielle als auch für immaterielle Schäden aufkommen, die durch Verstöße gegen die neuen Statuten entstehen.

Gleiche Regeln für US-Unternehmen

An die neue Datenschutz-Grundverordnung werden sich in Zukunft auch US-Konzerne halten müssen. Denn künftig gilt das Marktortprinzip. Das heißt, US-Konzerne wie etwa Google oder Facebook müssen die Datenschutzregeln in dem EU-Land befolgen, in dem sie ihre – wenn auch kostenlosen – Dienste anbieten.