Die General Data Protection Regulation (GDPR) - hierzulande auch als EU-Datenschutzgrundverordnung (DSGVO) bekannt - wird den Umgang von Unternehmen mit den Daten von EU-Bürgern maßgeblich verändern. Wenn die GDPR in Kraft tritt, müssen sich Unternehmen, die Geschäfte in EU-Ländern abwickeln, auf einiges gefasst machen. Die DSGVO regelt ab diesem Zeitpunkt nicht nur, wie die persönlichen Daten von Bürgern bei EU-internen Transaktionen gespeichert und geschützt werden müssen, sondern auch den Export solcher Daten in Länder außerhalb der Europäischen Union. Unternehmen, die persönliche Daten von EU-Bürgern speichern oder verarbeiten, müssen diesen Richtlinien ab dem 25. Mai 2018 genügen.
Die Vorschriften gelten gleichermaßen für alle 28 EU-Mitgliedsstaaten. Allerdings ist dieser EU-weite Standard auch ziemlich hoch angesetzt und wird dafür sorgen, dass die meisten Unternehmen größere Investitionen tätigen müssen. Die DSGVO besteht aus 99 Artikeln, die die Rechte von EU-Bürgern und die Anforderungen an Unternehmen, sowie die Strafen bei Nichteinhaltung definieren. Wir haben die für Unternehmen wichtigsten Anforderungen der Datenschutzgrundverordnung zusammengefasst. Den vollständigen Gesetzestext finden Sie hier.
DSGVO: Umgang mit persönlichen Daten
Artikel 5, Verarbeitung personenbezogener Daten: Alle personenbezogenen Daten müssen auf rechtmäßige und nachvollziehbare Weise verarbeitet und nur für festgelegte Zwecke erhoben werden. Die Daten dürfen dabei in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Die Daten müssen dabei in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet - einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen. Diese Maßnahmen wiederum sind nicht genau definiert. Es ist aber davon auszugehen, dass ein Unternehmen im Falle eines Datendiebstahls als nicht konform eingestuft wird.
Artikel 6, 7 & 8, Zustimmung: Alle personenbezogenen Daten müssen auf rechtmäßige Weise verarbeitet werden. Das bedeutet im Klartext, dass jedes Individuum der Nutzung seiner persönlichen Daten ausdrücklich zustimmen muss. Die gesammelten Daten müssen außerdem nötig sein, um eine Aufgabe oder Transaktion abschließen zu können, die von der betreffenden Person veranlasst wurde. Ausgenommen sind hier nur Behörden.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Artikel 15, Auskunftsrecht: EU-Bürger haben das Recht, auf Nachfrage zu erfahren, welche ihrer persönlichen Daten ein Unternehmen zu welchen Zwecken nutzt.
Artikel 17, Recht auf Löschung: Unternehmen müssen auf Verlangen eines EU-Bürgers dessen persönliche Daten löschen.
Artikel 20, Recht auf Datenübertragbarkeit: Die Bürger der Europäischen Union können auf Verlangen den Transfer ihrer persönlichen Daten veranlassen.
Artikel 25 & 32, Datenschutz: Unternehmen müssen geeignete technische Maßnahmen treffen, um den Anforderungen zu genügen. Was genau "angemessen" im Sinne der DSGVO/GDPR bedeutet, ist in Artikel 32 näher ausgeführt.
GDPR: Meldepflicht & Strafzahlungen
Artikel 33 & 34, Meldepflicht: Unternehmen müssen Sicherheitsvorfälle innerhalb von 72 Stunden nach Bekanntwerden an die zuständigen Behörden und auch die betroffenen Personen melden.
Artikel 35, Folgenabschätzung: Firmen sind dazu verpflichtet, eine Datenschutz-Folgeabschätzung vorzunehmen, um die Risiken für EU-Bürger einschätzen zu können. Die Abschätzung muss auch darüber informieren, welche Maßnahmen das Unternehmen trifft, um die entstandenen Risiken zu minimieren.
Artikel 37, 38 & 39, Datenschutzbeauftragter: Einige Unternehmen sind dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, der sowohl die Datenschutzstrategie als auch die DSGVO/GDPR-Konformität überwacht und sicherstellt. Einen Datenschutzbeauftragten brauchen diejenigen Unternehmen, die große Mengen persönlicher Daten von EU-Bürgern speichern oder verarbeiten und regelmäßige Datenprüfungen durchführen. Auch staatliche Behörden müssen einen Datenschutzbeauftragten einsetzen. Die International Association for Privacy Professionals (IAPP) geht davon aus, dass derzeit rund 28.000 Stellen für Datenschutzbeauftragte zu besetzen sind.
Artikel 50, Internationale Zusammenarbeit: International tätige Unternehmen, die personenbezogene Daten von EU-Bürgern sammeln, speichern oder verarbeiten, müssen den Richtlinien der Datenschutzgrundverordnung entsprechen.
Artikel 83, Strafen: Bei Verstößen können auf Unternehmen Strafzahlungen in Höhe von bis zu 20 Millionen Euro - oder vier Prozent des weltweiten Gesamtumsatzes - zukommen.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.