Datenschutz-Verordnung: Die Zeit zum Handeln ist gekommen

Datenschutz-Verordnung: Die Zeit zum Handeln ist gekommen

Unternehmen bleibt nur noch rund ein halbes Jahr, die Anforderungen der Datenschutz-Grundverordnung zu erfüllen.

Die Europäische Datenschutz-Grundverordnung (DSGVO) tritt mit 25. Mai 2018 in Kraft. Sie hat weitreichende Auswirkungen auf das Datenschutzrecht der EU-Mitgliedstaaten. Für Unternehmen ist es höchst an der Zeit, die Anforderungen umzusetzen, denn andernfalls drohen drakonische Strafen.

Am Thema Datenschutz wird in den nächsten Monaten kein Unternehmen vorbei kommen. Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO), die mit 25. Mai 2018 in der ganzen EU in Kraft tritt, stellt Betriebe, die in irgendeiner Weise personenbezogene Daten verarbeiten - und im Zeitalter der Digitalisierung sind das praktisch alle - vor eine Reihe neuer Pflichten.

Das ist ernst zu nehmen, denn im Falle eines Verstoßes gegen die Bestimmungen, die ohne Übergangsfrist wirksam werden, drohen den Unternehmen drakonische Strafen: Der Strafrahmen wird von bisher 10.000 bis 25.000 Euro auf bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro - je nachdem, welcher Betrag höher ist - angehoben.

Eile ist daher geboten. "Die betriebliche Organisation, die Geschäftsprozesse und Verträge müssen bis zur Anwendbarkeit der DSGVO am 25. Mai 2018 gesichtet und rechtzeitig an die neuen Rahmenbedingungen angepasst werden", betont Roland Marko, Information Technology Law Specialist von Wolf Theiss Rechtsanwälte.

Säumige Kleinbetriebe

Besonders evident ist der Handlungsbedarf aktuell noch unter Klein- und Kleinstbetrieben, die von der EU-DSGVO genauso betroffen sind wie multinationale Konzerne. Wenngleich auch das potenzielle Strafmaß im Falle eines Verstoßes gegen die Verordnung bei Unternehmen mit einem Jahresumsatz unter 250.000 Euro sogar geringer ist als bisher und es damit wohl für die meisten Klein- und Kleinstbetriebe eine Erleichterung darstellt.

Dennoch: 77 Prozent der Ein-Personen-Unternehmen (EPU's) hatten einer Erhebung der WKO-Sparte Information und Consulting bis Mitte Oktober 2017 noch keine nennenswerten Schritte zur Umsetzung der DSGVO gesetzt.

Das hat sehr oft strukturelle Gründe. Im Gegensatz zu Großbetrieben haben Klein- und Kleinstbetriebe oft keinen dedizierten IT-Verantwortlichen, geschweige denn eine eigene Security-Abteilung oder ein festgelegtes IT-Budget. Den Betrieben ist die Materie daher auch schnell zu komplex.

"Die DSGVO wird aber Unternehmen stärker als bisher in die Eigenverantwortung nehmen", warnt Datenrechtsexperte Marko. Der Schutz der Daten muss künftig auch technisch und durch Voreinstellungen gewährleistet werden. Die Stichworte dazu sine „Privacy by Design" und "Privacy by Default“. Das bedeutet, dass Voreinstellungen garantieren sollen, dass generell immer nur jene Daten herangezogen werden, die für jen jeweiligen Anlassfall auch erforderlich sind. Es soll den Firmen nicht mehr möglich sein, quasi "auf Verdacht" Daten zu sammeln und diese in der Folge nach verschiedensten Parametern zu durchsuchen, um möglicherweise Verhaltensmuster herauslesen zu können.

Eckpunkte der DSGVO

Grundsätzlich ist die DSGVO aber nichts, wovor sich Unternehmen fürchten sollten, auch wenn rund um ihre Einführung einige Punkte geklärt und umgesetzt werden müssen. Der große Vorteil, den sie mitbringt, ist dass die Bestimmungen in allen EU-Mitgliedsstaaten gelten. Sind die Bestimmungen daher einmal umgesetzt, müssen Unternehmen nicht mehr fürchten, bei Geschäften im EU-Ausland wieder andere Anforderungen erfüllen zu müssen.Gleichfalls können die EU-Bürger darauf vertrauen, dass die Rechte zum Schutz ihrer persönlichen Daten in der gesamten Union einheitlich sind und sich alle Unternehmen in allen Staaten daran halten müssen.

Im Mittelpunkt der DSGVO stehen die folgenden sechs Grundsätze für die Verarbeitung personenbezogener Daten:

  1. Die Verarbeitung muss fair und transparent sein.
  2. Daten dürfen nur für bestimmte und legitime Zwecke erhoben werden.
  3. Die Daten müssen angemessen, relevant und auf das für die Verarbeitung notwendige beschränkt sein.
  4. Daten müssen korrekt und auf dem neuesten Stand gehalten werden.
  5. Personen dürfen nur so lange identifiziert werden können, wie das für die Verarbeitung nötig ist.
  6. Bei der Datenverarbeitung muss die Sicherheit gewährleistet sein.

Im Detail wird die Verordnung allerdings komplexer. So müssen etwa Aufzeichnungen über die Vorgänge in der Datenverarbeitung geführt werden. Unternehmen werden außerdem dazu aufgefordert, einen eigenen Datenschutzbeauftragten anzustellen, unter anderem wenn Daten von einer Behörde verarbeitet werden

Die DSGVO trägt außerdem auch zur Verbesserung der Rechte der einzelnen Personen bei. Explizit festgehalten ist in der Verordnung etwa, dass Personen die Zustimmung geben müssen, dass ihre Daten verarbeitet werden dürfen, dass diese Zustimmung revidiert werden kann und dass die Personen das Recht darauf haben, auch wieder "vergessen" zu werden, sie betreffende Daten also gelöscht werden.


Download

Whitepaper "Umfassende IT-Security trotz knapper Ressourcen"

Whitepaper "Umfassende IT-Security trotz knapper Ressourcen" Zum Download klicken Sie bitte auf die Abbildung.

Zum Download des Whitepapers klicken Sie bitte auf die Abbildung oder den untenstehenden Link.

  • IDC White Paper; sponsored by HP Inc.
  • September 2017
  • Autor: Nick Tahamtan
  • Download


In Kooperation mit HP

Digital

Datenforum 2018: Rechtssicherheit im Dialogmarketing & CRM

Apple Senior Vice President Philip Schiller bei der Präsentation des iPhone Xs

Digital

X-Large: Apples neue iPhone und Smartwatch-Generation

DSGVO - Datenschutz-Verordnung 2018

100 Tage DSGVO: „Wutmails schreiben reicht nicht“