Neue EU-Verordnung zum Datenschutz betrifft Unternehmen weltweit

Neue EU Datenschutz-Grundverordnung deutlich strenger

Die EU Datenschutz-Grundverordnung, die im nächsten Jahr am 25. Mai 2018 in Kraft tritt, betrifft grundsätzlich jedes Unternehmen, das Kundendaten in digitaler Form speichert. Durch die Vereinheitlichung des Datenschutzrechtes EU-weit soll sowohl ein besser Schutz personenbezogener Daten als auch der freie Datenverkehr innerhalb des Binnenmarktes gewährleistet sein.

Pixabay/ Janbaby

Dieser neue Standard wird weltweite Folgen haben: Die geforderten Maßnahmen beziehen sich nämlich nicht nur auf innerhalb der EU-ansässige Unternehmen, sondern folgen dem Marktortprinzip. Das heißt, alle Unternehmen, die ihre Produkte oder Dienstleistungen an EU-Bürger vermarkten, unterliegen den neuen Anforderungen.

Da diese deutlich strenger und komplexer sind als die der bis dato gültigen Richtlinie 95/46/EG, sind vor allem IT-Abteilungen und Datenschutzverantwortliche jetzt akut gefordert, die Compliance Ihres Unternehmens vorzubereiten und sicherzustellen.

Wichtigste Neuerungen

Die neuen Kernpunkte der EU Datenschutz-Grundverordnung (engl. EU General Data Protection Regulation / GDPR) sehen vor, dass Kunden zukünftig

  • einfacher und in verständlicherer Sprache Auskünfte zu den über sie erhobenen Daten einholen können.
  • verlangen können, dass ihre Daten an einen anderen Anbieter übertragen werden (Datenportabilität).
  • das Recht auf Vergessenwerden haben. Das heißt, dass sämtliche Daten auf Verlangen gelöscht werden müssen, wenn keine legitimen Gründe für ihre weitere Speicherung vorliegt.
  • schneller und leichter verständlich über Datenschutzverletzungen informiert werden müssen. Unternehmen müssen dazu künftig innerhalb von 72 Stunden die zuständigen Regulierungsbehörden ausführlich über den Vorfall informieren.

Umfassende Anpassungen auf Seiten der Unternehmen sind jetzt nötig

Um all diesen Anforderungen gerecht werden zu können, müssen Unternehmen Ihre Verfahren auf mehreren Ebenen optimieren. Zunächst muss inventarisiert werden, wo und in welcher Form innerhalb des Unternehmens Kundendaten vorliegen. In Zeiten flexiblerer Arbeitsformen und immer mobilerer IT-Systeme kann dies eine gewaltige Herausforderung sein.

Des Weiteren müssen unternehmensweit neue Vorgehensweisen zur Handhabung der Daten eingeführt und ihre Einhaltung kontrolliert werden. Hierbei kann die Automatisierung bestimmter Vorgänge hilfreich sein. Auch die Einführung des sogenannten Privacy by Design wird von der Datenschutzverordnung gefordert – also dass systemseitig bereits strenger Datenschutz vorgesehen ist.

Strenge Strafen bei Nichteinhaltung

Dass es der EU mit dem Datenschutz durchaus ernst ist, wird deutlich, wenn man sich die Strafen ansieht, die bei Nichteinhaltung der neuen Verordnung vorgesehen sind. Unternehmen riskieren dann bis zu 4% ihres weltweiten Gewinns oder bis zu 20 Millionen Euro. Ein weiterer Ansporn für die schnelle und rigorose Erhaltung der neuen Regelungen dürfte das hohe Prozessrisiko sein. Denn bei Datenschutzvergehen drohen zukünftig nicht nur Sammelklagen von Betroffenen und Verbraucherschutzorganisationen. Auch Konkurrenten könnten auf unlauteren Wettbewerb klagen. Alles in allem lohnt es sich, die Umsetzung der EU Datenschutz-Grundverordnung nicht auf die lange Bank zu schieben, sondern zeitnah und konsequent anzugehen.