In einer aktuellen Studie des Cloud-Anbieters Intralinks überraschen die Ergebnisse: Unternehmen sehen die zukünftige Datenschutzverordnung kritisch.
Datenschutz-Standards fehlen
Zugegeben, gerade kleine und mittelständische Unternehmen haben es nicht leicht, wenn es um Datenschutz geht. Seit Jahren sind die Verordnungen, die den Umgang mit personengebundenen Daten regeln sollen, ungenau und schwer verständlich. Anstatt konkrete Handlungsempfehlungen zu geben, wird von angemessenen Maßnahmen gesprochen, so als wäre es Allgemeinwissen, wie sensible Daten wirklich sicher gelagert werden. Im eher umstrittenen Telemediengesetz wird etwa beim Schutz von Daten erläutert: "Vorkehrungen müssen den Stand der Technik berücksichtigen." Es braucht keinen IT-Experten, um zu sehen, dass dieser Hinweis einen relativ weiten Interpretationsraum zulässt.
Aber die neue Verordnung soll genau diese Probleme lösen. Sie soll für EU-Länder aber auch weltweit klare Regeln und Verantwortungen für den Umgang mit sensiblen Daten in Europa schaffen. Davon profitieren nicht nur Individuen, sondern auch die Unternehmen. Dass die geplante EU-Grundverordnung diesen Idealen noch nicht ganz entspricht, soll derweil an anderer Stelle diskutiert werden.
Angst vor Strafe und Kosten
Mehr als 50 Prozent der Befragten gehen davon aus, dass sie nach Einführung der Grundverordnung Strafe zahlen müssen. Das Fazit daraus sollte nicht sein, dass die Verordnung schlecht für Unternehmen ist. Stattdessen ist anzunehmen, dass Unternehmen schon jetzt wissen, dass ihr Datenumgang nicht den geforderten Standards entspricht. Unter Umständen werden somit bereits jetzt Rechtsbrüche begangen, da Deutschlands aktuelle Datenschutzverordnungen den geplanten EU-Reformen inhaltlich sehr nahe stehen.
Dass Unternehmen nun bangend warten, bis die Verordnung eingeführt wird, um diese Situation zu ändern, spricht nicht für sie, sondern offenbart, dass es sehr viel Nachholbedarf in Sachen Datenschutz in Unternehmen gibt. Nicht die Unternehmen, sondern die Nutzer und Angestellten, deren Daten nicht fachgemäß gelagert und verarbeitet werden, sollten sich Sorgen machen.
- Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps. - Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden. - "Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können. - Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor. - Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können. - Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.
79 Prozent der deutschen Unternehmen befürchten darüber hinaus höhere Kosten bei der Umsetzung von Datenschutzvorkehrungen. Das ist sicher auch der Fall, vor allem dann, wenn man bislang eher nichts für den Schutz seiner Nutzer- und Personaldaten getan hat. Die Kosten ergeben sich doch aber nur, weil viele Unternehmen nicht von Anfang an Wert darauf gelegt haben, die Persönlichkeitsrechte ihrer Nutzer - durch die sich ein Unternehmen finanziert - und ihres Personals - auf das ein Unternehmen aufbaut - zu schützen. Muss man sich wirklich wundern, wenn man beim Bau eines Hauses am Fundament gespart hat, dass man später zur Stabilisierung mehr zahlen muss, damit einem nicht der Boden unter den Füßen wegbricht?
US-Unternehmen sehen sich im Nachteil
Die Sorge ist übrigens kein deutsches Phänomen. 63 Prozent der befragten US-Unternehmen befürchten, dass sie es schwerer auf dem europäischen Markt haben werden und ganze 70 Prozent fühlen sich benachteiligt, da Unternehmen mit Sitz in Europa demnächst große Vorteile allein durch ihren Standort hätten.
Es liegt nahe, dass sich die Unternehmen beschweren, die bislang erhebliche Wettbewerbsvorteile gegenüber beispielsweise deutschen Unternehmen hatten, weil sie durch Server-Sitze in Irland oder den USA insbesondere deutsche Datenschutzgesetze umgehen konnten. Sicherheitsvorkehrungen kosten, ebenso wie Rechenzentren in sicheren Ländern. Da zahlt es sich eben aus, wenn man nicht darauf achtgeben muss, und seine Dienste günstiger verkaufen kann.
Die Unternehmen, die sich im europäischen Raum an die hiesigen Datenschutzverordnungen halten mussten, hatten so bislang das Nachsehen. Nun wird das Feld geebnet. Das heißt nicht, dass die lokalen Unternehmen einen unfairen Vorteil haben. Es bedeutet vielmehr, dass die Arbeit, die bislang in den Datenschutz gegangen ist, sich endlich auszahlt, weil in Europa nicht mehr mit zweierlei Maß gemessen wird.
Sensibilisierung für personengebundene Daten fehlt
Natürlich gibt es auch US-Unternehmen, die geradezu vorbildlich die Daten ihrer Nutzer schützen und pflegen. Und gerade in Deutschland gibt es zahlreiche Anbieter, die sich darum bemühen, einen Sicherheitsstandard zu etablieren, der weit über den gesetzlichen Vorgaben steht.
Aber Studienergebnisse wie diese verdeutlichen, wie groß die Diskrepanz zwischen wirtschaftlichen und personenschutzrechtlichen Anforderungen für viele Unternehmen ist. Personenbezogene Daten sind keine Massenware, die man sich einfach so nehmen kann, um damit zu tun, was man will. Der Hype um Big Data mag es suggerieren, aber am Ende muss gesichert sein, dass diese Personen ihre Grundrechte behalten. Darüber sollte kein noch so großer wirtschaftlicher Vorteil gestellt werden.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Zusätzlich stellt sich die Frage, ob dieser Fluch nicht auch ein Segen sein kann. Wer vorbildliche Sicherheitsvorkehrungen einsetzt und sich um den Schutz der Daten kümmert, der kann transparent damit umgehen. Während Software-Anbieter beispielsweise gerne die Standorte ihrer internationalen Rechenzentren unter den Tisch fallen lassen, wird man den Standort deutscher Rechenzentren zu 100 Prozent sichtbar auf den Webseiten der Anbieter finden. Sicherheit ist ein Verkaufsargument und sollte - wenn Personenrechte schon keine Priorität haben - als Investition in die Nutzerzufriedenheit gesehen werden.
Datenschutzverordnung als Chance
Die geplante Datenschutzverordnung ist (hoffentlich) nicht in Stein gemeißelt, sorgt jedoch schon jetzt für Unruhe unter Datenschützern und Unternehmen. Doch es erscheint ignorant, sich darüber zu beschweren, dass grundlegende Personenrechte bei der Verwaltung von Nutzer- und Personaldaten eingehalten werden müssen, zumal sich dadurch gerade in Deutschland kaum etwas an der Rechtslage ändern wird - zumindest nicht zum Nachteil der Unternehmen.
Stattdessen sollte die Standardisierung als Chance gesehen werden, sich auch gegen US-Anbieter positionieren zu können, das Vertrauen der Nutzer zu gewinnen und fehlende Sicherheitsvorkehrungen nachzuziehen. Datenschutz ist kein Add-On, sondern sollte zur Infrastruktur jedes Unternehmens gehören. (bw)