Datenschutzrecht: Neue EU-Regelung für Unternehmen

Bis zum 25. Mai 2018 müssen alle Unternehmen, die in der EU personenbezogene Daten sammeln oder verarbeiten, die Datenschutz-Grundverordnung (DSGVO) umgesetzt haben. Mit „personenbezogenen Daten“ sind in der Verordnung alle Informationen gemeint, die direkt oder indirekt einer Person zugeordnet werden können.

© Flickr Black woman in law library Jerry Bunkers CC BY 2.0 Bestimmte Rechte vorbehalten

Löschen und nachweisen: Inhalte der neuen Verordnung

Durch die DSGVO ergibt sich für Unternehmen die Pflicht, durch ein „Verzeichnis von Verarbeitungstätigkeiten“ nachzuweisen, dass sie nutzerfreundlich mit den gespeicherten Daten umgehen und die Vorschriften einhalten. Das Gesetz regelt unter anderem das „Recht auf Vergessenwerden“, also die Löschung personenbezogener Daten, wenn beispielweise die Einwilligung widerrufen wird. Außerdem haben Nutzer das Recht, ihre Daten zu einem anderen Anbieter oder einer anderen Plattform „mitzunehmen“.

Zudem müssen Unternehmen bei einem Datenverlust nun sowohl die zuständigen Datenschutzbehörden als auch ihre Kunden informieren. Wenn Unternehmen einen Cloud-Anbieter wie zum Beispiel das deutsche Unternehmen ProfitBricks mit der Verwaltung personenbezogener Daten beauftragen, müssen sie sicherstellen, dass dieser die deutschen Datenschutzgesetze einhält. Zudem müssen sowohl Cloud-Anbieter als auch andere Unternehmen, die Daten speichern, eine ausführliche Datenschutzerklärung abgeben, wie das bei ProfitBricks der Fall ist. Der Kunde erhält die Erklärung hier als Teil eines ganzen Datenschutzpaketes. Alle Kunden, also diejenigen Unternehmen, die eine Cloud nutzen, müssen sich wiederum darüber informieren, welche personenbezogenen Daten in der Cloud gespeichert werden und welche durch Dienstleister wie beispielsweise Agenturen gesammelt werden.

Sicherheit: Den aktuellen Stand der Technik beachten

Darüber hinaus müssen Unternehmen sicherstellen, dass ihre Schutzeinrichtungen dem aktuellen Stand der Technik entsprechen. Noch ist nicht klar, was genau damit gemeint ist. Die Formulierung lässt dies offen, damit das Gesetz aktuell bleibt, auch wenn sich die technischen Möglichkeiten zum Datenschutz weiterentwickeln. Dabei geht es zum Beispiel um Verschlüsselungsmethoden, Firewalls und die Verwendung aktueller und gültiger Zertifikate.

Um den erforderlichen Sicherheitsstandard zu erreichen, müssen die IT-Abteilungen vielfältige, sich ergänzende Strategien und Technologien einsetzen. „Wer dies nicht tut, wird die Vorgaben der DSGVO nicht erfüllen können“, gibt Business Consultant Richard Werner im Gespräch mit der Seite All About Security zu denken. Wenn die Vorgaben nicht erfüllt sind, kann der Geschäftsführer persönlich für Datenschäden der Unternehmenskunden haftbar gemacht werden.

Nach der Einschätzung von Profis wird es für Unternehmen knapp, die noch nicht mit der Umsetzung der Verordnung begonnen haben. Kleinere mittelständische Unternehmen bräuchten etwa ein Jahr, größere Unternehmen vermutlich länger, um alle Prozesse umzustellen. Im September hatte sich jedes dritte Unternehmen allerdings noch gar nicht mit der Umsetzung beschäftigt, ergab eine Umfrage vom Branchenverband Bitkom. Dabei sind die Bußgelder erheblich, wenn ein Unternehmen das Gesetz nicht einhält. Es sollen Strafen von bis zu 20 Millionen Euro drohen, die auch der Abschreckung dienen. Die Höhe der Strafe wird vom jeweils zuständigen Gericht bestimmt.