Datenschutzgrundverordnung - Neues Niveau für den Datenschutz

Datenschutz auf neuem Niveau

Wie sich Unternehmen auf die neue Rechtslage vorbereiten können

Keyfacts über DSGVO

  • Datenschutz wird in EU auf neues Niveau gehoben
  • Technische Fragen spielen künftig eine größere Rolle
  • Unternehmen müssen ihre Chancen und Risiken strukturiert analysieren
Zusammenfassung lesen
13. März 2017

Im Leben eines Menschen mag ein gutes Jahr eine lange Zeit sein, für ein Großunternehmen ist ein Jahr ein überschaubarer Zeitraum. Erst recht, wenn in diesem Jahr ein Gesetz- und Regelwerk in alle Unternehmensbereiche eingefügt werden muss, die sich mit der Verarbeitung von Daten beschäftigen. Genau das ist aber der Fall bei der neuen EU-Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mai 2018 – also in gut einem Jahr – in der ganzen EU in Kraft tritt.

Diese Grundverordnung, die europaweit einen einheitlichen Standard in Sachen Datenschutz herstellt, kommt zum richtigen Zeitpunkt – sofern man das für regulatorische Maßnahmen überhaupt sagen kann. Denn längst schon ist die anfängliche Aufgeschlossenheit gegenüber den neuen Möglichkeiten des digitalisierten Zeitalters einer wachsenden Skepsis gewichen. Datenschutzskandale tragen dazu ebenso bei wie Hackerattacken und das Gefühl von Vertrauens- und Kontrollverlusten, die viele Menschen beschäftigen. Wer die neue Datenschutzgrundverordnung aufmerksam liest, stellt bald fest: Der Datenschutz in der EU wird mit den neuen Regeln auf ein neues Niveau gehoben – nicht zuletzt auch wegen der deutlich erhöhten Bußgelder von bis zu 20 Millionen Euro, die Unternehmen bei Verstößen künftig drohen.

Transparenz sollte Standard sein. Ist es aber oft nicht

Diese Strafen drohen im Übrigen allen Unternehmen, die in der EU Geschäfte betreiben und dabei personenbezogene Daten verarbeiten. Anders als in der Vergangenheit kann sich also künftig kein Anbieter mit ausländischem Firmensitz darauf berufen, nicht dem EU-Recht zu unterliegen. Wer wie beispielsweise onlinebasierte US-Unternehmen Dienstleistungen oder sonstige Geschäfte für EU-Bürger innerhalb der EU anbietet, für den gilt die Datenschutzgrundverordnung.

20

Millionen Euro beträgt das Maximalbußgeld bei Verstößen gegen die Datenschutzgrundverordnung

Dazu gehört auch, dass künftig mehr Transparenz über die Verwendung der Daten gewährt werden muss: Wer bekommt wann mit welcher Absicht von wem welche Daten? Antworten auf diese Fragen sollten Unternehmen künftig beantworten können. Anforderungen, die für einen ordentlichen Geschäftsmann und eine ordentliche Geschäftsfrau selbstverständlich sein sollten, werden hier unmissverständlich ausgelegt. So stärkt das „Recht auf Vergessenwerden“ die Rolle des Einzelnen, wie meine Kollegin Barbara Scheben unlängst ausführte und gilt künftig für alle Unternehmen, die in irgendeiner Form Daten verarbeiten oder diese an Dritte weitergegeben haben. Anders gesagt: Wenn ein Kunde es wünscht, dann werden seine Daten gelöscht. Den Nachweis für die Löschung aber haben die jeweiligen Unternehmen zu erbringen.

Datenschutz wird technischer

Was bedeutet das konkret für die Unternehmen? Zwei Beobachtungen: Zum einen wird Datenschutz künftig sehr viel technischer betrieben werden müssen als bisher. Die Risiken für mögliche Datenschutzverstöße liegen in den IT-Systemen und den jeweiligen Abläufen der Datenverarbeitung. Auch wenn die Grundlage sich nicht geändert hat und nach dem Grundsatz des sogenannten Verbotes mit Erlaubnisvorbehalt die Datenverarbeitung nach der Zustimmung des Konsumenten legal ist: Wer an dieser Stelle nicht die notwendige Sorgfalt aufbringt, riskiert langfristig Verstöße gegen die Bestimmungen des Datenschutzes. Eben diese Verstöße sind es aber auch, die zu Reputationsschäden der Unternehmen führen werden.

Denn bei allen technologischen Entwicklungssprüngen der letzten Jahre und den damit einhergehenden unwägbaren Entwicklungen ist eins klar: In digitalisierten Zeiten spielt das Feedback der Verbraucher eine immer größere Rolle. Wer ins Visier eines Shitstorms gerät und Vertrauen zerstört, der wird länger als je zuvor damit beschäftigt sein, dieses Vertrauen wieder aufzubauen.

Zweite Beobachtung: Datenschutz muss künftig stärker als bisher im Kontext geschäftlicher Chancen und Risiken betrachtet werden. Dabei stehen die Chancen im Mittelpunkt: Zu welchem Zweck verarbeite ich als Unternehmen die Daten, was ist mein Business-Case und biete ich damit auch einen transparenten Mehrwert für den Kunden? Dazu gehört aber auch der Blick auf Risiken. So sollte eine strukturierte Risikobewertung durch die Unternehmen regelmäßig neu stattfinden. Welche Risiken sind mit dem Einsatz welcher Technologie verbunden? Wie ist die aktuelle Bedrohungslage und wie reagiert man am besten auf diese?

Für Unternehmen mag das auf den ersten Blick nach einem strikten Forderungskatalog aussehen, der künftig zu befolgen ist. Grundsätzlich aber ist es mit der Datenschutzgrundverordnung wie mit der Straßenverkehrsordnung: Sie entscheidet nicht über das „Ob“, sondern definiert das „Wie“. Anders gesagt: Als irgendwann einmal die Ampeln eingeführt wurden, hörten die Menschen auch nicht auf mit dem Autofahren. Sondern hielten sich an die Regeln. Vom Ende her gedacht: Mit Vorteilen für alle Beteiligten.

Zusammengefasst

»Grundsätzlich aber ist es mit der Datenschutzgrundverordnung wie mit der Straßenverkehrsordnung: Sie entscheidet nicht über das 'Ob', sondern definiert das 'Wie'. Anders gesagt: Als irgendwann einmal die Ampeln eingeführt wurden, hörten die Menschen auch nicht auf mit dem Autofahren. Sondern hielten sich an die Regeln.«

Am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung in Kraft. Bis dahin müssen Unternehmen, die sich mit der Verarbeitung von Daten befassen, die neuen Regeln in ihre Geschäftsabläufe integriert haben. Dazu gehört unter anderem eine umfangreichere Risikoanalyse als bisher.

Michael Falk Partner, Cyber Security
Ganzen Artikel lesen

Kommentare

Wie ist es um den Datenschutz in Europa bestellt?

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen