[oc_spacer height=“10″]Im Mai 2018 tritt mit der neuen Datenschutzgrundverordnung (EU-DSGVO) ein europaweit geltendes Datenschutzrecht in Kraft, welches in allen EU-Mitgliedstaaten direkt geltendes Recht sein wird. In vielen Bereichen ist dies im Moment ein aktuelles Thema. Deshalb stellt sich die Frage, was ist die EU-DSGVO genau und welche Auswirkungen wird sie auf Technologieunternehmen und deren Kunden haben?
Genaugenommen ist die DSGVO schon im Mai 2016 in Kraft getreten, aber viele Organisationen sind erst ab dem 24. Mai 2018 verpflichtet, die Verordnung umzusetzen. Laut der Datenschutzgrundverordnung müssen Unternehmen explizit die Erlaubnis ihrer Kunden einholen, bevor sie deren Daten verwenden dürfen. Zudem müssen sie jederzeit darüber Auskunft geben können, wofür die Kundendaten verwendet werden.
Die Auswirkungen von DSGVO auf Unternehmen lassen sich in zwei Bereiche aufteilen. Zuerst müssen sie ihre derzeitigen Datenbearbeitungs- und Datenspeichersysteme untersuchen, um festzustellen, ob diese für die neue Verordnung gerüstet sind. Zweitens müssen sie neue interne Prozesse einführen und die Mitarbeiter auf den neuesten Stand bringen, wie sie in Zukunft auf Daten zugreifen und diese teilen.
Es werden auch Veränderungen auf internationale Unternehmen zukommen, deren Hauptsitz außerhalb der EU ist. Ab Mai 2018 gilt statt des bisher geltenden „Sitzlandprinzips“ das „Marktortprinzip“. Das bedeutet, dass lokale oder nationale Gesetze nicht mehr länger Vorrang über europäischen Richtlinien haben. Unternehmen, die weiterhin EU-Bürgern Leistungen anbieten wollen, müssen jetzt zwingend die DSGVO beachten, so wie diese im jeweiligen Zielland angewendet wird.
Artikel 12 der neuen Verordnung legt außerdem strengere Informationspflichten fest. So müssen Unternehmen ihre Nutzer über die Datenverarbeitung und die Dauer der Speicherung informieren. Daneben gibt es auch eine Mitteilungspflicht hinsichtlich Speicherungsdauer und der Weitergabe an ein Drittunternehmen. Diese Informationspflichten gehen mit Regeln zu Auskunft, Widerruf sowie Löschung einher. Betroffene haben ein Recht darauf, Daten zu löschen, bekannt als das „Recht auf Vergessenwerden“.
Anders als bei dem vom Europäischen Gerichtshof postulierten Recht zur Sperre von personenbezogenen Suchmaschinenergebnissen geht es in der DSGVO um die direkte Löschung bei der speichernden Stelle. Für Daten, die Unternehmen selbst über eine Person veröffentlicht haben, besteht künftig sogar eine Pflicht für Unternehmen, andere Stellen, die diese Daten ebenfalls verarbeiten, über den Löschungsanspruch des Betroffenen zu informieren.
Diese neue EU-Datenschutzgrundverordnung hat das bisherige Datenschutzrecht nicht neu erfunden, es werden nur neue Schwerpunkte gesetzt. Ab 2018 kommen auf Unternehmen deutlich mehr Pflichten und Risiken zu. Sie müssen sich nicht nur bewusst machen, wo, wann und welche Daten verarbeitet werden, sondern müssen unter Umständen auch eine Dokumentation über die Verarbeitungstätigkeiten führen.
Wie sieht nun die optimale Vorbereitung auf die neue EU-DSGVO aus?
Primär sollten sich Unternehmen darüber bewusst werden, welche Art von Datenbearbeitung im eigenen Betrieb stattfindet. Dabei stellt sich unter anderem die Frage, ob eine Datenverarbeitung, bei der Mitarbeiterdaten gespeichert werden, im Auftrag eines Drittunternehmens stattfindet oder ob eine Zusammenarbeit mit Subdienstleistern vorliegt, die die Daten einsehen können.
Nach der Analyse müssen die Kontrolle und Bewertung der Datenverarbeitung erfolgen. Diese Bewertung sollte feststellen, ob die neue Datenverordnung eingehalten wird. Zudem ist es auch wichtig zu überprüfen, ob bestehende Auftragsverarbeitungsverträge, Datenschutzhinweise und Einwilligungen dem neuen Recht entsprechen.
Das Risiko einer Nichteinhaltung ist beträchtlich. Bisher waren Bußgelder eher eine Seltenheit. Jedoch nehmen die Bußgelder, die in den Artikeln 83 und 84 der DSGVO ausgewiesen sind, ganz neue Dimensionen in der Datenschutzwelt an. Hier ist u.a. von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes die Rede.
