Ab 2018

Das ist der neue EU-Datenschutz

15.04.2016
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Nach jahrelanger Debatte verabschiedete das EU-Parlament die Reform des Europäischen Datenschutzrechts. Ab 2018 gelten neue Spielregeln, die besonders den Privatverbraucher stärken und Unternehmen im Fall eines Datenschutzverstoßes stärker bestrafen sollen. Wir stellen die wichtigsten Punkte vor.

Die finale Entwurfsfassung der neuen EU-Datenschutzgrundverordnung lag beinahe zwei Jahre auf Eis, bevor sie jetzt vom EU-Parlament angenommen wurde. Die 28 EU-Staaten sollen die Vorgaben ab 2018 umsetzen und für mehr Transparenz bei EU-Bürgern über den Umgang mit den erfassten und gespeicherten persönlichen Daten gerade im Internet sorgen. Die Datenmitnahme von einem Onlineservice zum anderen soll vereinfacht, Jugendlichen und Kindern unter 16 Jahren die Nutzung der Dienste erschwert werden. Wenn ein Unternehmen gegen die Vorschriften verstößt, werden Geldbußen von bis zu vier Prozent des Jahresumsatzes fällig, eine frühere Entwurfsversion hatte hier noch nur zwei Prozent vorgesehen. Die wichtigsten Punkte in aller Kürze finden Sie in der folgenden Bildergalerie:

Auswirkungen für Unternehmen

Was bedeuten die neuen Regelungen für deutsche Unternehmen konkret? Michael Hack, Senior Vice President EMEA Operations beim Netzwerk-Security-Spezialisten Ipswitch beschreibt, was nun zu tun ist: "Der erste Schritt besteht für Unternehmen im Durchspielen einer Risikomanagement-Übung, um die wichtigsten Prozesse und Assets zu identifizieren sowie Schwachstellen und potenzielle Bedrohungen zu bewerten. Daraus können Prozesse, die zur Einhaltung der neuen Vorschriften in Gang gesetzt werden müssen, abgeleitet und priorisiert werden." Diese Übung solle sämtliche Unternehmensbereiche einschließen und auch Technologien und Strategien zur Risikominimierung beinhalten. Unternehmen, die große Datenmengen verarbeiten, könnten zudem mehr Datenschutzexperten benötigen, was den Fachkräftemangel in einem ohnehin bereits abgegrasten Arbeitsmarkt weiter verschärft.

Hack kommentiert: "Zwar wird für die deutschen Unternehmen die zusätzliche finanzielle Belastung für die Einführung derartiger Maßnahmen nicht unerheblich sein, doch die Konsequenzen bei einem Verstoß gegen die Verordnung wären in finanzieller Hinsicht zweifelsfrei die größere Kröte, die es zu schlucken gälte."

Bewertung von Unternehmenswerten

Auch Rechtsanwalt Reemt Matthiesen von der Münchner Wirtschaftskanzlei CMS Hasche Sigle empfiehlt Unternehmen, sich nun intensiv mit ihren Assets und deren Schutz zu beschäftigen: "Angesichts der hohen Bußgelder von bis zu vier Prozent des jährlichen Konzernumsatzes werden Unternehmen in den nächsten zwei Jahren bis zum Inkrafttreten eine Neubewertung des Umgangs mit personenbezogenen Daten vornehmen müssen." Mit einer Revolution haben wir es seiner Einschätzung nach allerdings aus deutscher Sicht nicht zu tun. Im Bereich des Marketing könnten sich sogar mehr Möglichkeiten eröffnen: So fänden sich im Bereich der Kundendatenauswertung Ansätze für erweiterte Spielräume gegenüber den bisherigen Bestimmungen. Im Bereich des Arbeitsrechts könnten die Mitgliedstaaten weiter national Regelungen erlassen; die Vereinheitlichung des Rechts stoße hier an ihre Grenzen.

Matthiesen meint abschließend: "Positiv hervorzuheben ist, dass die Verordnung nunmehr das berechtigte Interesse am konzerninternen Datenaustausch für Kunden- wie Arbeitnehmerdaten anerkennt – damit sollten viele der heute abgeschlossenen Vereinbarungen zur Auftragsdatenverarbeitung zwischen Konzerngesellschaften obsolet werden."

Auch neu: Fluggäste werden stärker überwacht

Ein einheitliches Datenschutzrecht über 28 europäische Staaten hinweg - schon eine kleine Revolution. Datenschützer kritisieren jedoch, dass gleichzeitig auch eine neue Richtlinie zur Speicherung von Fluggastdaten beschlossen wurde - die PNR-Richtlinie (Passenger Name Record). Nach der werden Daten von Flugpassagieren künftig den Ermittlungsbehörden zur Verfügung gestellt, wenn ein Passagier aus der EU heraus fliegt oder in die EU einreist. Diese Maßnahme soll der Terroabwehr dienen, Datenschützer sehen darin jedoch eher eine neue anlasslose, grenzübergreifende Vorratsdatenspeicherung zur Massenüberwachung.

Das EU-Parlament in Straßburg hat den einheitlichen Datenschutz für 28 Staaten beschlossen. Ab 2018 gilt's.
Das EU-Parlament in Straßburg hat den einheitlichen Datenschutz für 28 Staaten beschlossen. Ab 2018 gilt's.
Foto: Kiev.Victor - shutterstock.com