Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union: Sie soll einerseits sicherstellen, dass EU-Bürger datenschutzrechtlich geschützt sind. Zum anderen soll sie den freien Datenverkehr innerhalb des EU-Binnenmarkts gewährleisten. Missachten datenverarbeitende Unternehmen die Bestimmungen, drohen empfindliche Strafen.
Doch auch für Verbraucher bringt die neue Datenschutzverordnung einige Änderungen mit sich: Während sich Unternehmen an strengere Auflagen halten müssen, werden ihre Rechte deutlich gestärkt. Aber was sind die konkreten Veränderungen für Unternehmen? Was bringt die DSGVO für Verbraucher, worin besteht ihr Potenzial und der Nutzen?
Im Folgenden möchte ich auf diese Fragen Antworten geben und insbesondere erklären, warum die Verordnung auch für Unternehmen eine große Chance darstellt.
Die DSGVO – darum geht es
Mit der DSGVO werden die Grundlagen zur Verarbeitung von Daten einheitlich geregelt. Unternehmen erhalten mehr Pflichten, Verbraucher mehr Rechte – so lässt sich die Verordnung zusammenfassen. So wurde beispielsweise das umgangssprachliche „Recht auf Vergessenwerden“ definiert. Verbraucher erhalten einen Anspruch darauf, dass ihre personenbezogenen Daten gelöscht und nicht weiterverarbeitet werden. Dieses Recht greift zum Beispiel, wenn sich die Zwecke, für die die Daten erhoben wurden, erübrigt haben oder die Einwilligung in die Verarbeitung widerrufen wird.
Anhand dieses Beispiels zeigt sich auch der Einfluss der neuen EU-Verordnung auf die nationale Rechtslage: Eine solche Bestimmung sah das deutsche Datenschutzgesetz bisher nämlich nicht vor.
Noch eine Besonderheit: Die DSGVO gilt nach dem sogenannten Marktortprinzip. Demnach ist der Unternehmenssitz der Firmen, die personenbezogene Daten verarbeiten, egal. Es geht darum, ob sie im EU-Markt aktiv sind. Darum ist die DSGVO zum Beispiel auch für Facebook und andere internationale Unternehmen verbindlich, die ihre Dienste in EU-Staaten anbieten.
Diese Rechte erhalten Verbraucher
„Personenbezogene Daten“ umfassen Namen, Postadressen, Bilder, elektronische Nachrichten und Kontaktadressen, Beiträge in sozialen Netzwerken, medizinische Informationen und einiges mehr. Von entsprechend großer Bedeutung ist der Schutz dieser Daten. Dafür räumt die DSGVO Verbrauchern verschiedene Rechte ein.
So sind Unternehmen gegenüber Verbrauchern fortan grundsätzlich zu mehr Transparenz und Offenheit verpflichtet: Wenn Daten über eine Person erhoben wurden – beispielsweise weil diese einen Newsletter abonniert hat – muss diese Person sofort und vollumfänglich darüber informiert werden. So definiert es das Informationsrecht. Für die Erhebung selbst muss eine freiwillige, schriftliche Erlaubnis eingeholt werden. Diese Erlaubnis muss transparent, verständlich und präzise sein. Sie kann von seiten der Verbraucher außerdem jederzeit zurückgezogen werden.
Generell besteht zudem das Recht darauf, in angemessenen Abständen Auskunft über die erhobenen Daten anzufordern. Das wird im Auskunftsrecht des DSGVO gewährleistet. Gemäß des Rechts auf Berichtigung und Löschung können Betroffene verlangen, dass personenbezogene Daten ohne Verzögerung ergänzt oder folgerichtig auf Widerruf gelöscht werden.
Durch das Recht auf Datenübertragbarkeit sollen Anwender künftig ihre Daten (zum Beispiel in einem sozialen Netzwerk) mit wenigen Klicks auf eine andere Anwendung übertragen können. Das soll Anbieterwechsel erleichtern.
Das müssen Unternehmen beachten
Durch die Stärkung der Verbraucherrechte ergeben sich für Unternehmen unterschiedliche Herausforderungen . Die DSGVO ist sehr umfangreich – über die detaillierten Vorgaben wurde an anderer Stelle viel geschrieben. Hier möchte ich deshalb auf die wichtigsten Punkte eingehen, die Unternehmen berücksichtigen müssen.
Eine entscheidende Rolle spielt hier der Überblick über im Unternehmen gespeicherte Daten: So müssen datenverarbeitende Unternehmen künftig stets in der Lage sein, Auskunft darüber zu geben, welche individuellen Daten erhoben wurden und den Schutz der Privatsphäre vollständig in ihre Prozesse integrieren. In diesem Zusammenhang müssen Identitätsinformationen beispielsweise verschlüsselt ins System eingegeben werden.
Personenbezogene Daten dürfen zudem nur „für festgelegte, eindeutige und legitime Zwecke“ erhoben werden. Fehlerhafte oder veraltete Daten sind zu löschen, generell muss die Datenverarbeitung „dem Zweck angemessen“, also sparsamer erfolgen. Außerdem dürfen die Daten nur dann eine Identifizierung ermöglichen, wenn es für ihre Verarbeitung erforderlich ist. Gleiches gilt für die Speicherdauer.
Unternehmen brauchen den genauen Überblick
Alle Anforderungen haben eines gemeinsam: Unternehmen benötigen einen genauen Überblick über die von ihnen gespeicherten Daten. Ihre Hauptaufgabe wird es in der Vorbereitung auf die DSGVO daher sein, genau zu analysieren, in welchem Ausmaß wessen Daten wo gespeichert und verarbeitet werden. Alle verarbeiteten Daten sollten zudem in übersichtliche, einheitliche und transparent nachvollziehbare Kategorien eingeordnet werden. Wird ein Datenschutzverstoß festgestellt, müssen Unternehmen diesen spätestens innerhalb von 72 Stunden melden – das geht nicht, wenn man keinen Überblick hat.
Die DSGVO und die Cloud
Werden Daten vom Unternehmen an einen Datenverarbeiter in einem Drittland übermittelt, ist zudem genauestens darauf zu achten, dass dieser angemessene Datenschutzstandards erfüllt. Das betrifft insbesondere die Wahl eines geeigneten Anbieters für Cloud Content Management. Die Anzahl deutscher Unternehmen, die solche Services nutzen, nimmt stetig zu. So berichtete der Digitalverband Bitkom im März, dass 65 Prozent der deutschen Unternehmen Cloud Services nutzen – ein Jahr zuvor waren es noch 54 Prozent.
Doch sie stehen vor einer besonderen Herausforderung: Sie müssen sicherstellen, dass der Anbieter ihrer Wahl Binding Corporate Rules (BCR) hat, die der DSGVO entsprechen. Die BCR sind Datenschutzverpflichtungen, die von internationalen Datenschutzbehörden zertifiziert werden, wenn sie den Anforderungen entsprechen. Um auf Nummer sicher zu gehen, sollten Unternehmen ihre Daten zudem nur Anbietern anvertrauen, die diese auf Servern in der EU speichern.
Ein weiterer konkreter Ansatz der DSGVO ist „Privacy by Design“. Die Auflage soll sicherstellen, dass Datenschutz und Privatsphäre schon während der technischen Entwicklung von Tools berücksichtigt werden, und nicht erst im Nachhinein.
Der Datenschutzbeauftragte – bald die wichtigste Person im Unternehmen?
Größere Unternehmen und Organisationen, die mit besonders sensiblen Daten arbeiten, müssen zudem nicht nur ihre Prozesse anpassen, sondern auch personell nachrüsten: Der eigens ausgebildete Datenschutzbeauftragte ist intern für die Überwachung der Vorgaben verantwortlich und muss dafür sorgen, dass sie eingehalten werden. Auch Mitarbeiterschulungen und die Zusammenarbeit mit den Aufsichtsbehörden übernimmt der Datenschutzbeauftragte.
Neu ist eine solche Funktion jedoch nicht: Auch das Bundesdatenschutzgesetz sah eine solche Stelle in bestimmten Fällen schon vor. Durch die sehr umfangreiche DSGVO bietet es sich ab sofort jedoch an, auch Datenschutzbeauftragte zu bestellen, wenn das Unternehmen grundsätzlich nicht dazu verpflichtet ist. So stellt das Management sicher, dass es klare Zuständigkeiten gibt.
Zudem sollten Unternehmen Datenschutzerklärungen aufsetzen, die Sicherheitsrichtlinien und Schutzmaßnahmen enthalten. So kann nicht nur die Überwachung der Vorgaben gewährleistet werden – die strengere Dokumentationspflicht schafft im Umkehrschluss mehr Transparenz für den Verbraucher. Verfehlungen sind leichter festzustellen und nachzuweisen, Verantwortlichkeiten besser zuzuordnen. Die Reaktionsgeschwindigkeit nimmt drastisch zu – ein großer Vorteil.
Hohe Strafen bei Verstößen
Neu durch die DSGVO: Im Falle eines Verstoßes werden Geldstrafen in Höhe von bis zu vier Prozent des Bruttoumsatzes fällig. Bei einem beispielhaften Unternehmensumsatz von 250 Millionen Euro würde das einem Bußgeld in Höhe von 10 Millionen Euro entsprechen. Im Extremfall kann die Höchststrafe bis zu 20 Millionen Euro betragen. Zum Vergleich: Das hierzulande bisher geltende Bundesdatenschutzgesetz sah eine maximale Geldstrafe in Höhe von 300.000 Euro vor.
Unternehmen müssen daher eng mit den Aufsichtsbehörden zusammenarbeiten, um diese kostspieligen Sanktionen zu vermeiden. Hier hilft eine transparente Dokumentation – im Ernstfall können Probleme so schnell identifiziert und behoben werden.
Die DSGVO als Chance begreifen
Eine Vielzahl von Unternehmen und Organisationen weltweit stellt die DSGVO vor große Herausforderungen – Datenschutz lässt sich auf einmal nicht mehr vernachlässigen.
Doch was nach reiner Risikominimierung aus Angst vor hohen Kosten klingt, ist für die betroffenen Unternehmen zugleich eine große Chance: Sie können ihre Flut an Daten organisieren und standardisieren, ihre Organisation verschlanken und mit weniger Schnittstellen, Servern, Datenzentren und -formaten fortführen. Darin birgt die Mammutaufgabe für sie die Chance darauf, Kosten zu senken und Kundendaten effektiver analysieren und auswerten zu können. Das ist nicht nur wirtschaftlicher, sondern auch kundenfreundlicher: Ordnung schafft Transparenz und führt zu mehr Einsichten in allen Geschäftsbereichen.
Lesen Sie hier, wie Sie Ihre persönlichen Daten schützen, ohne auf Komfort zu verzichten.
Autor: Per Stritich
Per Stritich ist seit Juli 2017 Vice President für die DACH-Region bei Box, einem Anbieter für Cloud Content Management.