Europa gibt sich nach jahrelangen Debatten neue Spielregeln beim Datenschutz in der digitalen Welt. Wichtigstes Ziel ist es, den Nutzern mehr Macht gegenüber Google, Facebook & Co zu geben. Die neuen Regeln sollen von Anfang 2018 an gelten.
Was ist das Ziel der neuen Datenschutzregeln?
Allen Bürgern in der EU gleiche Mindeststandards beim Datenschutz zu bieten. Die bisherigen Regeln stammen aus dem Jahr 1995 - und jedes Land hat sie anders umgesetzt. Dadurch ist ein Flickenteppich an Vorschriften entstanden. Unternehmen haben dies auf Kosten der Verbraucher ausgenutzt und sich den Standort mit dem niedrigsten Datenschutzniveau ausgesucht - so hat Facebook etwa seinen Europasitz in Irland. Zudem soll die Reform neue Entwicklungen berücksichtigen wie etwa die massenhafte Auswertung von "Big Data", also großer Datenmengen, oder die Informationsverarbeitung in gigantischen Rechenzentren ("Cloud Computing") - beides gab es damals noch nicht.
Was ändert sich für Nutzer von Online-Netzwerken wie Facebook?
Persönliche Daten wie Adresse, Bankverbindung, aber auch Freundeslisten, Kontakte und Fotos sind künftig besser geschützt. Nutzer müssen eindeutig zustimmen, dass sie mit der Verarbeitung ihrer Daten einverstanden sind - oder dass sie diese ablehnen. Datenschützer hatten in diesem Punkt aber noch strengere Vorgaben gefordert. Zugleich wird das Mindestalter für die selbstständige Einwilligung zur Datenverarbeitung - und damit auch die Nutzung von Online-Diensten wie etwa Facebook - auf 16 Jahre erhöht. Im nationalen Recht kann es aber auch niedriger angesetzt werden, bis auf die gegenwärtig üblichen 13 Jahre.
- Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps. - Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden. - "Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können. - Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor. - Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können. - Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.
Haben Verbraucher ein "Recht auf Vergessenwerden"?
Ja, dieses wird ausdrücklich festgeschrieben. Sie sollen das Recht haben, personenbezogene Daten wie Informationen über das Privat- oder Berufsleben sowie Fotos im Web löschen zu lassen. Kunden bekommen das Recht auf Mitnahme von Daten wie Mails, Fotos oder Kontakten ("Portabilität"). Wer von Facebook zu einem anderen Dienst wechselt, dem muss Facebook seine persönlichen Daten mitgeben.
Was passiert, wenn Internetkonzerne sich nicht an die Regeln halten?
Bei Verstößen gegen den Datenschutz drohen ihnen hohe Strafen von bis zu vier Prozent ihres Jahresumsatzes. Das EU-Parlament hatte sogar Bußgelder von bis zu fünf Prozent oder 100 Millionen Euro verlangt. Damit sollen vor allem Internetriesen abgeschreckt werden, wie etwa Google (Jahresumsatz 2014: 66 Mrd Dollar) oder Facebook (Jahresumsatz 2014: 12,5 Mrd Dollar). Denn die Regeln gelten nicht nur für europäische, sondern auch für Firmen mit Sitz außerhalb der EU, etwa in den USA. Wer ein Problem mit einem Anbieter im EU-Ausland hat, kann sich in der eigenen Sprache an die heimische Beschwerdestelle - etwa den Datenschutzbeauftragten - wenden.
- Gesetze verstehen
Die Auswirkungen der aktuellen und künftigen Gesetzeslage auf die Firma verstehen. Dies beinhaltet die Frage nach notwendigen Änderungen und deren Auswirkungen auf das IT-Budget. Zum Beispiel nutzen viele Unternehmen immer noch reale Daten ihrer Kunden und Nutzer für Entwicklungs- und Testzwecke. Mit der neuen Gesetzgebung sollten sie diese anonymisieren oder zumindest maskieren. - Analysieren
Analysieren, wo persönliche und sensible Daten aufbewahrt werden. Wer nutzt wie welche Daten und wo liegen die größten Gefahren einer Datenschutzverletzung? Die entsprechende Analyse der Bearbeitungsprozesse persönlicher und sensibler Daten und wie diese mit anderen Daten interagieren nimmt oft deutlich mehr Zeit in Anspruch als geplant. - Anonymisieren
Daten desensibilisieren, ohne sie unbrauchbar zu machen. Anonymisierte Daten lassen sich häufig relativ problemfrei in bestehende Workflows und Prozesse integrieren. Alternativ sind neue oder veränderte Arbeitsprozesse zu entwickeln, um die Gesetze einzuhalten. Die daraus resultierenden Kenntnisse fließen wiederum in Anforderungskataloge an Drittanbieter-Lösungen ein. - Datenschutzprozesse entwickeln
Datenschutzprozesse unter Verwendung der geeigneten Werkzeuge entwickeln. Zur Umsetzung der Datensicherheits-Strategie gibt es verschiedene Lösungen. Diese kann aus einem neuen Satz an Geschäftsprozessen bestehen, aus einer Revision der Datenzugriffsbestimmungen, einer (Test-)Datenmanagement-Technologie oder aus einer beliebigen Kombination davon. - Lösungen liefern
Die Lösung in das bestehende IT-Umfeld ausliefern. Vor der Einführung der entwickelten Prozesse sollten die Abläufe so weit wie möglich automatisiert und die manuellen Eingriffe reduziert sein. Teams, die diese Prozesse im Alltag betreuen, sind in die entsprechenden Regularien und Prozesse einzuweisen sowie in der Handhabung der verwendeten Werkzeuge zu trainieren.
Warum hat es so lange gedauert, bis die Reform stand?
Dafür gibt es zwei Gründe. Einerseits war das Thema sehr kontrovers, allein im EU-Parlament gab es rund 4000 Änderungsanträge. Lobbyisten haben nach Angaben der Grünen im Europaparlament alles daran gesetzt, Einfluss zu nehmen. Zudem konnten die EU-Staaten lange keine gemeinsame Linie finden. Deutschland etwa blockierte zunächst, weil die Bundesregierung nach eigenen Worten eine Absenkung des deutschen Datenschutzniveaus verhindern wollte.
Wie stehen die Unternehmen zu den Vorschlägen?
Branchenverbände wie DigitalEurope fürchten zu strenge Fesseln für die Firmen - etwa im Vergleich zu den USA. Der Bundesverband der IT-Anwender Voice kritisiert: "Der alleinige Fokus auf den Datenschutz der Bürger behindert Innovationsprozesse, internationale Geschäftstätigkeit und die Zusammenarbeit von Unternehmen." Der EU-Parlamentarier Axel Voss von der CDU warnt davor, dass dies "nicht zu einem Hemmschuh für die europäische Industrie und Forschung wird."
Wie geht es jetzt weiter?
Nach der Einigung zwischen Unterhändlern von EU-Staaten, EU-Kommission und Parlament muss der Kompromiss noch offiziell vom Ministerrat und dem Parlament angenommen werden. Dies gilt aber als Formalie. Die Regeln werden dann zwei Jahre später, also voraussichtlich Anfang 2018, in Kraft treten. (dpa/fm)
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)