Fit für neue EU-Datenschutz-Grundverordnung?
Wie sich ein europäisches Unternehmen auf die neue Datenschutz-Grundverordnung der EU vorbereitet
Autor: Thomas Deutschmann, CEO von Brainloop
Die wachsende Vernetzung der Welt hat zu einer internationalen Geschäftskultur geführt, in der Mitarbeiter Daten zwischen Ländern von unterschiedlichen Endgeräten ohne Weiteres hin und her schicken. In den letzten Jahren hat sich die Art und Weise, wie Organisationen Daten speichern und teilen also drastisch verändert. Mit einher ging in den letzten 20 Jahren ein technologischer Wandel: Durch das Internet, Cloud Computing und Big Data sieht sich der europäische Gesetzgeber dazu gezwungen, die seit 1995 existierende Datenschutz-Richtlinie durch eine neue Regelung, die Datenschutz-Grundverordnung zu ersetzen und damit ein europaweit höheres Maß an Sicherheit für personenbezogene Daten zu schaffen.
Die neue Regelung ist im April 2016 vom EU-Parlament beschlossen worden und im Mai in Kraft getreten. Bis zum Ende der Übergangsfrist am 25. Mai 2018 müssen sich Unternehmen den vereinheitlichten Datenschutzregularien innerhalb der EU anpassen. In Anbetracht der Vielzahl an erheblichen Änderungen ist eine Frist von lediglich zwei Jahren für die Umsetzung ein enges Zeitfenster.
Ziel der Reform ist es, die Forderungen der Bürger nach mehr Transparenz und Schutz in Bezug auf ihre persönlichen Daten zu erfüllen. Außerdem ist die EU in der Pflicht, die Datenschutzgesetzgebung zu vereinheitlichen und dadurch Rechtssicherheit zu erzielen.
Doch wie werden sich diese Änderungen auf die einzelnen Unternehmen auswirken? In Deutschland sollte es weniger Probleme geben, schließlich sind die dortigen Datenschutzstandards bereits hoch. Doch wie kann sich ein europaweit tätiges Unternehmen auf die neuen Regelungen einstellen? Die Reaktionen auf die neue Verordnung müssen schnell ausfallen. Denn ansonsten ist mit Bußgeldern von bis zu vier Prozent des globalen Jahresumsatzes und rechtlichen Schritten zu rechnen. Zudem kann der Ruf eines Unternehmens erheblich leiden.
So mussten bereits Unternehmen wie Unilever, Punica und Adobe – zugegebenermaßen verhältnismäßig geringe – Bußgelder in Höhe von 11.000€ zahlen. Das Bußgeld fiel jedoch lediglich deshalb so gering aus, weil die Unternehmen noch während des Prozesses ihre Datenschutzregelungen umstellten.
Die Arbeitsweise mit anderen Ländern überdenken
Eine der größten Veränderungen, die die neue Regelung mit sich bringt, ist die Frage der Datenherkunft. Nicht mehr nur Unternehmen mit Sitz in der EU, sondern auch europäische Tochtergesellschaften ausländischer Unternehmen, die lediglich Daten von Personen aus der EU verarbeiten, sind betroffen. Das war bisher nicht eindeutig geregelt: So sah sich beispielsweise Microsoft gezwungen, gerichtlich klären zu lassen, dass ein Beschluss einer US-amerikanischen Strafverfolgungsbehörde, der die Herausgabe von auf Servern in Irland gespeicherten E-Mail-Daten zum Gegenstand hatte, unrechtmäßig ergangen war.
Mehr als je zuvor fragen sich daher Unternehmen und Privatpersonen in Europa, in welchem Land ihre Daten verarbeitet und gelagert werden. Ab 25. Mai 2018 müssen Organisationen gewährleisten, dass die in ihren Rechenzentren gelagerten Informationen niemals ohne Autorisierung die länderspezifische Gesetzeszone verlassen. Bürger haben dann ein Recht darauf, zu erfahren, welche ihrer Daten gesammelt und wie sie verarbeitet werden. Sie werden außerdem das Recht haben, der Übertragung und Verarbeitung ihrer Daten in Drittländern zu widersprechen beziehungsweise müssen vorab zustimmen. Das wiederum kann jedoch zur Folge haben, dass Verbraucher die Dienste überhaupt nicht mehr in Anspruch nehmen können.
Die Verarbeitung personenbezogener Daten neu regeln
Angesichts der stark gestiegenen Nutzung von Cloud Services in den letzten Jahren ist es unwahrscheinlich, dass persönliche Daten ausschließlich innerhalb der eigenen Organisation gelagert werden. Bevor die Übergangsphase der Datenschutz-Grundverordnung endet, müssen die Unternehmen die Art und Weise, wie sie ihre Daten sammeln, klassifizieren, lagern, teilen und schützen, überarbeiten.
Denn in der neuen Verordnung ist die Definition des Begriffs „persönliche Daten“ weiter gefasst und klassifiziert mehr Daten als „persönlich“. Die neuen Transparenz- und Informationspflichten der Unternehmen führen dazu, dass persönliche Daten stärker geschützt sind. Unternehmen müssen daher sicherstellen, dass alle darunter fallenden automatisch verarbeiteten Daten geschützt sind.
Zusammenarbeit muss einfach wie auch sicher sein
In der heutigen Welt arbeiten Unternehmen mit verschiedenen externen Partnern – auch aus sog. „unsicheren Drittländern“ – zusammen, um innovativ und erfolgreich zu bleiben. Dabei gilt es auch, sich an Datenschutzregularien zu halten, um Kundeninformationen sowie den eigenen Ruf zu schützen. Das moderne Unternehmen erfüllt beide Anforderungen, indem es einfache und sichere Technologien zum Schutz personenbezogener Daten nutzt. Abhilfe beim Teilen von Daten mit dritten Parteien kann eine sogenannte Kollaboration-Plattform schaffen, die sich durch ein hohes Maß an Benutzerfreundlichkeit auszeichnet und so den Alltag erleichtert.
Sie können die anspruchsvollen Forderungen der neuen Datenschutz-Grundverordnung durch verschiedene Features erfüllen. Verschiedene Verschlüsselungsmethoden verhindern, dass Daten in die falschen Hände gelangen: Mit einer Zweifach-Authentifizierung ist garantiert, dass nur autorisierte Nutzer Zugriff auf die jeweiligen Dokumente haben. Durch Information Rights Management kann zudem für jede Datei bestimmt werden, ob sie überhaupt heruntergeladen oder ausgedruckt werden darf. Das sind nur wenige Beispiele für die Vorteile solch sicherer Datenräume, die die Einhaltung der neuen Datenschutz-Grundverordnung erleichtern.
Fazit
Die neue Regelung ist für Verbraucher äußerst positiv. Endlich wird ihnen europaweit ein Bestimmungsrecht über ihre persönlichen Daten verliehen. Auch die Tatsache, dass ein harmonisiertes Recht in Europa besteht, ist definitiv zu begrüßen.
Es ist jedoch nicht absehbar, ob die EU all diese neuen Regelungen auch so konsequent umsetzen kann, wie es nötig wäre. Sanktionen wird es sicherlich geben – inwieweit die Durchsetzung von finanziellen Strafen rechtlich machbar ist, bleibt jedoch fraglich.
Für Unternehmen wird es natürlich eine Herausforderung, die neuen Anforderungen an Sicherheitsstandards einzuführen und konsequent umzusetzen. Sie sollten die Übergangsphase dringend nutzen, um daran zu arbeiten, die Datenverarbeitungsprozesse auf Anpassungsbedarf zu prüfen und bereits den neuen EU-Datenschutz-Regeln entsprechend rechtskonform zu gestalten.
über den Autor: Thomas Deutschmann, Chief Executive Officer
Thomas Deutschmann ist Informatiker und verfügt aus seiner langjährigen internationalen Karriere über umfassende Management-Erfahrung in der IT und Software-Industrie.
Er ist als Vorstandssprecher unter anderem für die Festlegung und Umsetzung der Unternehmensstrategie der Brainloop AG verantwortlich.
Darüber hinaus verantwortet er das Erreichen der operativen Ziele der Gesellschaft.
Aufmacherbild / Quelle
©iStockphoto.com /iStock_000031222408Large
Personenfoto:
Brainloop AG