FAQ

Alles zur geplanten EU-Datenschutzreform

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Sollte die EU-Kommission die geplante reformierte Datenschutzrichtlinie verabschieden, würden für Unternehmen verschärfte Spielregeln gelten. Hier kommen die wichtigsten Fragen und Antworten.

Bereits seit Anfang 2012 liegt die "EU-Datenschutz-Grundverordnung" (kurz EU-DS-GVO) in der "endgültigen" Entwurfsfassung vor, wurde vor einem halben Jahr vom Europäischen Parlament angenommen und wartet seitdem auf ihre Verabschiedung durch die Europäische Union in Brüssel.

Wegen unterschiedlicher Auffassungen innerhalb des EU-Rates ist derzeit aber davon auszugehen, dass die Reform frühestens Mitte 2015 vom EU-Rat verabschiedet und dann erst 2017 (nach der zweijährigen Umsetzungsfrist) in allen Mitgliedsstaaten in Kraft tritt. Das sagte zumindest der Bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, kürzlich im Gespräch mit der COMPUTERWOCHE.

In unseren FAQ beantworten wir schon heute die wichtigsten Fragen zum Inhalt der Richtlinie und den angestrebten Veränderungen gegenüber den bislang geltenden Datenschutzgesetzen.

Wird die neue EU-Richtlinie überhaupt noch kommen?

Andrew Rose, Forrester Research
Andrew Rose, Forrester Research
Foto: Forrester Research

Forrester-Analyst Andrew Rose veröffentlichte vor wenigen Wochen gemeinsam mit seinem Kollegen Chris Sherman das Whitepaper "EU Privacy Regulations", das wir in diesen FAQ in Auszügen aufgreifen werden. Im Gespräch mit der COMPUTERWOCHE bezeichnet Rose die lange Verzögerung der Ratifizierung der Richtlinie zwar als "enttäuschend", bezweifelt jedoch, dass sie gar nicht kommt: "Sollte jemals in Erwägung gezogen worden sein, den Entwurf nicht umzusetzen, ist dieser Plan spätestens seit den Enthüllungen rund um die NSA passé."

Warum wäre eine Datenschutzreform wichtig?

Facebook-Gründer Mark Zuckerberg erklärte bereits 2010: "Privacy is dead." Er brachte auf den Punkt, was viele (US-)Unternehmen und teils auch "Digital Natives" im Zeitalter der Digitalisierung bereits lange denken mögen, die ein ganz anderes Verständnis von "Teilen" und "Privatsphäre" haben als frühere Generationen.

"Privacy is dead." - Dieser Ausspruch von Mark Zuckerberg aus dem Jahr 2010 entspricht nicht ganz den Tatsachen.
"Privacy is dead." - Dieser Ausspruch von Mark Zuckerberg aus dem Jahr 2010 entspricht nicht ganz den Tatsachen.
Foto: Jürgen Fälchle, Fotolia.de

Dennoch ist das Thema Datenschutz auch weiterhin wichtig. Rose vertritt eine klare Meinung: "Die Privatsphäre an sich ist nicht teilbar. Es gibt zwar persönliche Daten, die gerne mit anderen geteilt werden und es gibt welche, für die das nicht gilt. Aber leider zieht jeder Mensch diese Grenze woanders. Dazu kommt: In Zeiten von Big Data Analytics ist die Privatsphäre an sich in Gefahr, weil selbst eine Anonymisierung von Daten kaum noch vollständig möglich ist. Wir müssen uns auf die Anbieter von Datenkorrelations-Diensten verlassen können, dass ihre Lösungen einen angemessenen Datenschutz ermöglichen. Das wird aber nur geschehen, wenn es für sie entweder ausreichende Anreize dafür oder spürbare "Nichtanreize" dagegen gibt - in Form von Regulierungen und Bußgeldern. Letzteres sieht die neue EU-Richtlinie vor."

Was sind die wichtigsten Eckpunkte der Reform?

Im Vergleich zur bisher geltenden Datenschutzrichtlinie aus dem Jahr 1995 sind vor allem zehn Punkte entscheidend, an denen es zu wichtigen Veränderungen kommen soll. Wir haben sie in der folgenden Bilderstrecke zusammengefasst:

Was bedeutet die Reform für die Unternehmen konkret?

Rose meint: "Angesichts der geplanten Geldbußen bei Verstößen gegen die Richtlinie werden Unternehmen die Position eines Chief Privacy Officer etablieren und mit entsprechenden Rechten ausstatten. Dieser bekommt im Management dann auch Gehör und die finanziellen Mittel, um ein ausreichendes Datenschutzniveau aufzubauen und zu kontrollieren. Das Daten-Management wird zu einer zwingenden Aufgabe - dazu gehören unter anderem auch die Bereiche Datenklassifizierung, Lebenszyklen von Daten und Zugangssicherheit. Unternehmen werden ihre gesammelten Daten gezielter auf ihre Business-Tauglichkeit hin untersuchen."

Was sagen die Unternehmen selbst?

Der IT-Branchenverband BITKOM teilte bereits 2012 in einer offiziellen Stellungnahme mit, dass man die Reformpläne grundsätzlich unterstütze, weil es die internationale Abstimmung mit den Datenschutzbehörden erheblich vereinfache. Der Verband weist aber auch darauf hin, dass die neuen Vorgaben darüber, wie mit Daten in Unternehmen umgegangen werden solle, teils gar nicht oder nur mit hohem Aufwand umsetzbar seien. Auch sei der Ansatz des "Verbotsprinzips mit Erlaubnisvorbehalt" (es ist alles das verboten, was nicht ausdrücklich erlaubt wird) noch einmal zu überdenken. Legitime Datenverarbeitungsprozesse würden unnötig behindert.

Der BITKOM schlägt den umgekehrten Weg einer "Datenverkehrsordnung" vor, die Datenverarbeitung grundsätzlich erlaubt und durch Leitplanken eingrenzt. "Der Bitkom würde sich wünschen, dass sich der Verordnungsentwurf mehr auf die Ziele eines modernen und effektiven Datenschutzes in der Informationsgesellschaft fokussiert und weniger Vorgaben im Detail macht", heißt es dazu.

Welche Daten sind überhaupt betroffen?

Es geht ausschließlich um personenbezogene Daten - solche Daten, die die Privatsphäre ihres "Besitzers" (im deutschen Datenschutzrecht auch "Betroffener" genannt) unmittelbar betreffen und ihn (zumindest in der Kombination) eindeutig identifizierbar machen. Klassische personenbezogene Daten sind Angaben wie Name, Adresse oder Geburtstag, die erst in der Kombination miteinander wirklich einen Wert erhalten und einzeln beispielsweise zu statistischen Zwecken anonymisiert durchaus verarbeitet werden dürfen.

Weitere Beispiele sind die besonders schutzbedürftigen Informationen über ethnische Herkunft einer Person, politische, religiöse, gewerkschaftliche, sexuelle Gesinnung oder auch gesundheitsbezogene Daten, deren Erhebung und Verarbeitung zumindest hierzulande laut Bundesdatenschutzgesetz §3 Abs. 9 noch einmal stärker reglementiert wird als die der "einfachen" personenbezogenen Daten. Diese Daten dürfen nur mit dem expliziten Einverständnis ihrer Besitzer und nur aus guten und nachvollziehbaren Gründen heraus überhaupt erhoben und verarbeitet werden.