Ab 2018

Das ist der neue EU-Datenschutz

15.04.2016 von Simon Hülsbömer

Nach jahrelanger Debatte verabschiedete das EU-Parlament die Reform des Europäischen Datenschutzrechts. Ab 2018 gelten neue Spielregeln, die besonders den Privatverbraucher stärken und Unternehmen im Fall eines Datenschutzverstoßes stärker bestrafen sollen. Wir stellen die wichtigsten Punkte vor.

Die finale Entwurfsfassung der neuen EU-Datenschutzgrundverordnung lag beinahe zwei Jahre auf Eis, bevor sie jetzt vom EU-Parlament angenommen wurde. Die 28 EU-Staaten sollen die Vorgaben ab 2018 umsetzen und für mehr Transparenz bei EU-Bürgern über den Umgang mit den erfassten und gespeicherten persönlichen Daten gerade im Internet sorgen. Die Datenmitnahme von einem Onlineservice zum anderen soll vereinfacht, Jugendlichen und Kindern unter 16 Jahren die Nutzung der Dienste erschwert werden. Wenn ein Unternehmen gegen die Vorschriften verstößt, werden Geldbußen von bis zu vier Prozent des Jahresumsatzes fällig, eine frühere Entwurfsversion hatte hier noch nur zwei Prozent vorgesehen. Die wichtigsten Punkte in aller Kürze finden Sie in der folgenden Bildergalerie:

EU-Datenschutzreform 2016: Die wichtigsten Änderungen

Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.

"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.

"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).

Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.

Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.

Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.

Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.

Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.

Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.

Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.

Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.

Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.

Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Auswirkungen für Unternehmen

Was bedeuten die neuen Regelungen für deutsche Unternehmen konkret? Michael Hack, Senior Vice President EMEA Operations beim Netzwerk-Security-Spezialisten Ipswitch beschreibt, was nun zu tun ist: "Der erste Schritt besteht für Unternehmen im Durchspielen einer Risikomanagement-Übung, um die wichtigsten Prozesse und Assets zu identifizieren sowie Schwachstellen und potenzielle Bedrohungen zu bewerten. Daraus können Prozesse, die zur Einhaltung der neuen Vorschriften in Gang gesetzt werden müssen, abgeleitet und priorisiert werden." Diese Übung solle sämtliche Unternehmensbereiche einschließen und auch Technologien und Strategien zur Risikominimierung beinhalten. Unternehmen, die große Datenmengen verarbeiten, könnten zudem mehr Datenschutzexperten benötigen, was den Fachkräftemangel in einem ohnehin bereits abgegrasten Arbeitsmarkt weiter verschärft.

Hack kommentiert: "Zwar wird für die deutschen Unternehmen die zusätzliche finanzielle Belastung für die Einführung derartiger Maßnahmen nicht unerheblich sein, doch die Konsequenzen bei einem Verstoß gegen die Verordnung wären in finanzieller Hinsicht zweifelsfrei die größere Kröte, die es zu schlucken gälte."

Bewertung von Unternehmenswerten

Auch Rechtsanwalt Reemt Matthiesen von der Münchner Wirtschaftskanzlei CMS Hasche Sigle empfiehlt Unternehmen, sich nun intensiv mit ihren Assets und deren Schutz zu beschäftigen: "Angesichts der hohen Bußgelder von bis zu vier Prozent des jährlichen Konzernumsatzes werden Unternehmen in den nächsten zwei Jahren bis zum Inkrafttreten eine Neubewertung des Umgangs mit personenbezogenen Daten vornehmen müssen." Mit einer Revolution haben wir es seiner Einschätzung nach allerdings aus deutscher Sicht nicht zu tun. Im Bereich des Marketing könnten sich sogar mehr Möglichkeiten eröffnen: So fänden sich im Bereich der Kundendatenauswertung Ansätze für erweiterte Spielräume gegenüber den bisherigen Bestimmungen. Im Bereich des Arbeitsrechts könnten die Mitgliedstaaten weiter national Regelungen erlassen; die Vereinheitlichung des Rechts stoße hier an ihre Grenzen.

Matthiesen meint abschließend: "Positiv hervorzuheben ist, dass die Verordnung nunmehr das berechtigte Interesse am konzerninternen Datenaustausch für Kunden- wie Arbeitnehmerdaten anerkennt – damit sollten viele der heute abgeschlossenen Vereinbarungen zur Auftragsdatenverarbeitung zwischen Konzerngesellschaften obsolet werden."

Auch neu: Fluggäste werden stärker überwacht

Ein einheitliches Datenschutzrecht über 28 europäische Staaten hinweg - schon eine kleine Revolution. Datenschützer kritisieren jedoch, dass gleichzeitig auch eine neue Richtlinie zur Speicherung von Fluggastdaten beschlossen wurde - die PNR-Richtlinie (Passenger Name Record). Nach der werden Daten von Flugpassagieren künftig den Ermittlungsbehörden zur Verfügung gestellt, wenn ein Passagier aus der EU heraus fliegt oder in die EU einreist. Diese Maßnahme soll der Terroabwehr dienen, Datenschützer sehen darin jedoch eher eine neue anlasslose, grenzübergreifende Vorratsdatenspeicherung zur Massenüberwachung.

Das EU-Parlament in Straßburg hat den einheitlichen Datenschutz für 28 Staaten beschlossen. Ab 2018 gilt's.
Foto: Kiev.Victor - shutterstock.com