Die EU verschärft den Datenschutz

Die EU verschärft den Datenschutz

Worauf Unternehmen jetzt achten müssen

Keyfacts über EU-Datenschutz

  • Übergangsfrist endet im Mai 2018
  • Umkehrung der Beweislast stärkt Verbraucher
  • Neue Regeln sind auch eine Chance für die Unternehmen
Zusammenfassung lesen

Wer spitze Thesen mag, hier wäre eine: Pokémon Go ist ein Auslaufmodell. Mag zwar sein, dass die Spiele-App ein Meilenstein ist in Sachen Augmented Reality. Mag aber auch sein, dass die App in Sachen Datenschutz schlicht rechtswidrig ist, wie vor einigen Tagen einige EU-Parlamentarier sagten. Ein Datenstaubsauger, der alles nimmt, was er zu fassen bekommt. Ein Fall für die EU-Kommission, wie die EU-Datenschützer meinen? Nein, Datenschutz ist Ländersache, sagt diese. Und auf Länderebene entscheiden die einen so, die anderen so.

Warum Pokémon Go dann ein Auslaufmodell sein soll, fragen Sie sich jetzt? Antwort: Weil Ende Mai diesen Jahres die europäische Datenschutzgrundverordnung die parlamentarische Hürde genommen hat. Es hebt die bisher nationalen Datenschutzregeln auf ein gemeinsames europäisches Niveau, löst also auch das deutsche Bundesdatenschutzgesetz zum 25. Mai 2018 ab – und stellt Unternehmen aller Branchen in diesen Tagen vor große Herausforderungen.

„Recht auf Vergessenwerden“ für alle Verbraucher

Zwei Jahre haben die Unternehmen Zeit, die neuen Regeln in ihre tägliche Arbeit zu übertragen. Zwei Jahre sind eine lange Zeit, könnte man jetzt meinen. Gemessen an dem, was künftig zu beachten ist: eine ziemlich kurze Zeit. Beispielsweise gilt mit dem „Recht auf Vergessenwerden“ künftig für alle Anbieter in ähnlicher Form, was man bisher vor allem mit Google in Verbindung brachte: Wenn Kunden wünschen, dass ihre gespeicherten Daten gelöscht werden, dann muss das geschehen. Das gilt auch für die Kundendaten, die bereits an Dritte weitergegeben wurden. Und von dort weiter und von dort weiter. Mit anderen Worten: Die Datenschutzgrundverordnung der EU betrifft alle Unternehmen in allen Branchen gleichermaßen, die Daten erheben.

Vor allem solche Unternehmen, die besonders viele oder besonders sensible Daten verarbeiten oder die in besonderem Maße neue Technologien nutzen, sollten sich im Detail mit der Verordnung auseinandersetzen. Die Finanzbranche mit ihren vielen globalen Systemen zur Verarbeitung einer Vielzahl von Kundendaten kann exemplarisch genannt werden. Erst recht vor dem Hintergrund, dass hier besonders sensible Informationen mit einem entsprechend hohen Schutzbedarf verarbeitet werden. Aber auch Versicherungen, die Pharmaindustrie, die Gesundheitsbranche, Telekommunikationsunternehmen oder Onlineanbieter stehen vor derselben Herausforderung: Sie alle müssen ihre bisherigen Zuständigkeiten, Prozesse und Maßnahmen neu bewerten und eventuell anpassen. Es ist einer dieser eher seltenen Momente, in denen im Unternehmen grundsätzlich über Konzepte diskutiert – und Althergebrachtes über den Haufen geworfen wird.

20 Mio.

Euro ist die Bußgeldhöhe für Verstöße gegen die neue EU-Datenschutzgrundverordnung

Für die jeweiligen Unternehmen bedeuten die neuen Regeln zunächst einmal eine Menge zusätzliche Arbeit. Die drastisch erhöhten Bußgelder von bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Vorjahresumsatzes dürften für kleinere Anbieter existenzbedrohend, für größere mindestens signifikant sein. Aber auch die Auswirkungen auf die Prozessabläufe in den Firmen sind nicht zu unterschätzen: Die neu formulierte Rechenschaftspflicht des Verarbeiters kann im Falle des Verfahrens zu Beweiserleichterungen bis hin zur Beweislastumkehr führen.

Datenschutz mit Öffnungsklauseln auf nationaler Ebene

Unternehmen, die sich nun auf die Datenschutzgrundverordnung einstellen, sollten die vielen vorgesehenen Öffnungsklauseln beachten. Auf nationaler Ebene gibt es beispielsweise im Bereich des Beschäftigtendatenschutzes durchaus Gestaltungsspielraum. Wer jetzt also das jeweilige nationale Recht in Datenschutzfragen völlig außer Acht lässt, handelt vorschnell. Und auch für Unternehmen mit Sitz außerhalb der EU hat die Datenschutzgrundverordnung etwas im Köcher: Die neuen Regeln gelten nach dem Marktortprinzip grundsätzlich für jeden Anbieter, der seine Waren und Dienstleistungen Personen innerhalb der Europäischen Union anbietet oder deren Verhalten innerhalb der Union beobachtet.

Verbraucherschutz ist eines der wesentlichen EU-Ziele bei der Datenschutzgrundverordnung. Man könnte auch sagen: Die EU passt ihre Regelungen an die Gegebenheiten einer immer stärker digitalisierten Welt und Wirtschaft an. Auf der anderen Seite birgt die neue Rechtslage aber auch das Potenzial, das Kundenvertrauen zu stärken. Wer weiß, dass mit seinen Daten verantwortlich umgegangen wird, der ist im Zweifelsfall auch eher bereit, sie zur Verfügung zu stellen.

Kommt bald das Datenschutz-Label?

Davon profitieren am Ende auch diejenigen Anbieter, die diesem Vertrauensvorschuss gerecht werden. Wie könnten sie das tun? Sie könnten beispielsweise konsequenter als ihre Konkurrenten auf die Prinzipien von „Privacy by design“ und „Privacy by default“ setzen. Also auf Dienstleistungen und Waren, die von vorneherein so konzipiert sind, dass sie dem Bedürfnis des Kunden nach Datenschutz entsprechen. Wie das? Beispielsweise dann, wenn der Messaging Dienst A solange keine Telefonnummern des Nutzers an die Social Media Plattform B weiterleitet, bis der Nutzer darin eingewilligt hat.

Mitunter kommt es einem so vor, als sei unser Zeitalter der Digitalisierung auch das Zeitalter der Zertifikate: Da gibt es Label für Bio-Produkte, für Fairtrade, für regionale Produktion und für Waren, die garantiert ohne Kinderarbeit hergestellt wurden.

Gut denkbar, dass künftig noch ein Datenschutz-Label dazukommt.

Ist Ihr Unternehmen bereit für die neue EU-Datenschutzgrundverordnung? Informieren Sie sich hier.

30. August 2016
Zusammengefasst

»Für die Unternehmen bedeuten die neuen Regeln zunächst einmal eine Menge zusätzliche Arbeit. Die drastisch erhöhten Bußgelder von bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Vorjahresumsatzes dürften für kleinere Anbieter existenzbedrohend, für größere mindestens signifikant sein. Aber auch die Auswirkungen auf die Prozessabläufe in den Firmen sind nicht zu unterschätzen.«

Die neue EU-Datenschutzgrundverordnung stärkt die Rechte der Verbraucher. Nun müssen die Unternehmen in einer zweijährigen Übergangsfrist die neuen Regeln in ihre Abläufe einführen. Darin steckt auch eine Chance für Unternehmen, die jetzt konsequenter als ihre Konkurrenten auf Datenschutz setzen.

Barbara Scheben Partnerin, Forensic
Ganzen Artikel lesen

Kommentare

Wie implementieren Sie die neue Gesetzeslage in Ihrem Unternehmen?

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen