EU-Datenschutz-Grundverordnung: Das ist jetzt zu tun

illu absmeier eu-dsgvo

(c) absmeier

Im April hat das EU-Parlament die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet. Unternehmen haben zwei Jahre Zeit, um die neuen Regelungen zu erfüllen. Doch viele sind damit überfordert oder warten ab: Beides ist keine Option.

Worum geht es?

Beim Datenschutz gelten in der EU künftig noch strengere Vorschriften. Denn die EU-Norm enthält neue Anforderungen für die Verarbeitung und Nutzung personenbezogener Daten. Sie hat daher Auswirkungen auf praktisch alle Unternehmen, die Waren oder Dienstleistungen anbieten sowie Daten von Ansprechpartnern in ihren IT-Systemen speichern. Wer tut das nicht?

Haben wir noch Zeit?

Zwei Jahre klingt viel, doch in Wirklichkeit ist der Zeitrahmen durch das komplexe Thema recht eng. Denn unter anderem sind folgende Punkte zu berücksichtigen.

  • Beweislastumkehr
    Bislang standen bei Verstößen die Behörden in der Nachweispflicht. Künftig gilt das umgekehrte Prinzip: Nun müssen die Unternehmen beweisen, dass sie rechtskonform arbeiten.
  • Dokumentationspflicht
    Unternehmen müssen künftig dokumentieren, warum und wie sie persönlichen Daten verarbeiten. Zudem sind sie verpflichtet, die Sicherheitsmaßnahmen konkret nachzuweisen.
  • Mehr Transparenz
    Wer einem Unternehmen Daten überlässt, hat künftig ein Recht zu erfahren, wie diese verarbeitet und verwendet werden. Unternehmen sind verpflichtet, ihre Kunden aktiv zu informieren, wenn die Daten zum Beispiel für Werbezwecke verarbeitet werden. Die Auskunft muss dabei klar und verständlich formuliert sein.
  • Daten mitnehmen
    Wer einen Anbieter wechselt, soll seine Daten bei Bedarf mitnehmen können.
  • Recht auf Vergessen
    In Zukunft gibt es ein gesetzlich verbrieftes „Recht auf Vergessen“. Die EU-DSGVO regelt, wann nicht mehr benötigte Daten zu löschen sind.
  • Ende des Adresshandels
    Das sogenannte Listenprivileg, nach dem Adressen zu Werbezwecken weitergegeben werden dürfen, entfällt. Hierfür ist künftig die ausdrückliche Genehmigung der betroffenen Personen erforderlich.
  • Meldeauflagen
    Datenschutzverletzungen sind künftig der EU und den betroffenen Personen in einem einheitlichen Verfahren zu melden. Unternehmen sind stärker als zuvor verpflichtet, schnell zu reagieren.

Wie lässt sich das effizient umsetzen?

IT-Verantwortliche müssen sich jetzt darum kümmern, in welchen Systemen sie Daten zu Ansprechpartnern von Interessenten, Kunden oder Lieferanten gespeichert haben. »Unsere Anwender haben es hier leicht, denn die ERP-Komplettlösung arbeitet mit einer zentralen Datenbank für alle Module«, sagt Gunnar Schug, Leiter Softwareentwicklung bei proALPHA.

Neben einer gründlichen Bestandsaufnahme geht es vor allem darum, Prozesse zu vereinheitlichen und Compliance-Regeln aufzustellen beziehungsweise anzupassen. Auch Datenschutz und -verwendung sollten klar geregelt sein. Stand heute erfüllen allerdings die wenigsten Unternehmen die neuen Vorschriften – aus technischen wie organisatorischen Gründen.

»Nichts zu tun, ist keine Option«, mahnt Dr. Martin Gessner, Fachanwalt für IT-Recht bei der Kanzlei Gessner Rechtsanwälte Partnergesellschaft mbB: »Zum einen haben Betroffene, deren Datenschutz verletzt wurde, einen Schadensersatzanspruch. Zum anderen sind empfindliche Bußgelder vorgesehen. Die Obergrenze liegt hier bei bis zu 4 Prozent des weltweiten Jahresumsatzes.«

Softwarehersteller in der Pflicht

Nicht nur Industrie und Handel sind von der Richtlinie betroffen. Auch die Softwarehersteller sind gefordert. Zum einen muss mit dem Einsatz moderner Datenverschlüsselung der unerlaubte Zugriff auf gespeicherte Daten verhindert werden. Zum anderen ist Software so zu strukturieren, dass Anwender die Verordnung in der Praxis einhalten können. Im Zusammenhang mit dem neuen EU-Datenschutz werden für die IT insbesondere zwei Ansatzpunkte diskutiert: Privacy by Design und Privacy by Default.

Gunnar Schug erklärt: »Mit dem ›Privacy by Design‹-Konzept erhalten Datenschutz und Privatsphäre bereits in der Softwareentwicklung mehr Gewicht. Jede Software sollte Funktionen enthalten, mit denen sich Daten zu Personen einfach suchen und löschen lassen. Das gehört bei uns zum Standard und ist schon heute möglich.«

Das »Privacy by Default«-Konzept soll gewährleisten, dass Software standardmäßig mit datenschutzfreundlichen Voreinstellungen ausgeliefert wird. In vielen Fällen werden damit unbeabsichtigte Verstöße gegen die EU-Datenschutz-Grundverordnung wirksam verhindert. »Wie bei jeder rechtlichen Änderung werden wir bei der EU-Datenschutz-Grundverordnung in den kommenden Monaten genau prüfen, ob und wo Änderungsbedarf besteht, und unser ERP entsprechend erweitern«, ergänzt Gunnar Schug.

Unternehmen skeptisch

Das Marktforschungsunternehmen Ovum befragte weltweit 366 IT-Entscheider zu den anstehenden Änderungen durch die EU-Datenschutz-Grundverordnung. Die meisten Unternehmen bewerten das Vorhaben tendenziell kritisch: So rechnen 79 Prozent der deutschen Betriebe mit einem Kostenanstieg. Mehr als 30 Prozent gehen dabei sogar von mehr als 10 Prozent in den nächsten beiden Jahren aus.

Die Anforderungen werden dabei als komplex eingeschätzt. So komplex, dass 38 Prozent der Befragten bei der Umsetzung auf externe Experten setzen. 58 Prozent befürchten, dass sie nicht in der Lage sein werden, die hohen Anforderungen zu erfüllen.

Dass die Materie nicht zu unterschätzen ist, weiß auch IT-Fachanwalt Dr. Gessner: »Personenbezogene Daten dürfen künftig nur in Übereinstimmung mit der Datenschutz-Grundverordnung verarbeitet werden. Unternehmen sind verpflichtet, dies durch geeignete technische und organisatorische Maßnahmen sicherzustellen. Und sie müssen dies auch nachweisen können.

Die einzelnen Bestimmungen sehen hierfür teils sehr umfassende Auskunfts-, Melde-, Dokumentations- und Berichtspflichten vor. Werden beispielsweise im Zuge der Datenverarbeitung Personen systematisch und regelmäßig beobachtet, ist ein Datenschutzbeauftragter zu benennen. Wir empfehlen Unternehmen, sich bei Bedarf von spezialisierten Beratern bei der Umsetzung begleiten zu lassen.«

Mehr zum Thema erfahren Sie unter: https://www.proalpha.de/de/aktuelles/fachinformationen/fachinformationen-detailansicht/news/eu-datenschutz-grundverordnung.html

DSGVO: Unternehmen mühen sich mit Datenverfremdung ab

Unternehmen behalten »sicherheitshalber« Daten und gehen so das Risiko ein, künftiges Datenschutzrecht zu brechen

EU-Datenschutz-Grundverordnung: Rechtlicher und wirtschaftlicher Handlungsbedarf

EU-Datenschutzverordnung muss Innovationen ermöglichen

EU-Datenschutzverordnung: einheitlicher Datenschutz

Datenschutzrichtlinie 2.0? Die neue EU-Datenschutz-Grundverordnung im Detail

Geschäftsbeziehung beenden, wenn ein Unternehmen gehackt wird

Die komplexe Europäische Datenschutzrichtlinie GDPR umzusetzen

Weitere Artikel zu

Schreiben Sie einen Kommentar