Heiß diskutiert ist die ab 25. Mai 2018 wirksam werdende Datenschutz-Grundverordnung (DSGVO), die darauf abzielt, die rechtliche Grundlage zur Verwendung personenbezogener Daten EU-weit einheitlich zu regeln. Es soll das Vertrauen der Menschen in digitale Dienste dahingehend verbessert werden, dass personenbezogene Daten von allen Teilnehmern besser geschützt sind. Zwar sind einige neue Verordnungen dazugekommen beziehungsweise genauer und spezifischer geworden, teilweise hat sich aber bloß die Terminologie geändert.

Der Anwendungsbereich der Verordnung wird auf alle EDV-Verarbeitungen ausgeweitet, die sich an EU-Bürger richten und personenbezogene Daten von diesen verarbeiten. Das bedeutet, dass somit auch Unternehmen, die außerhalb der EU angesiedelt sind, diesem Recht unterworfen sind, sofern sie Daten von EU-Bürgern verarbeiten.

Recht auf Datenübetragbarkeit

Zudem wurden die Anforderungen an die informierte, freiwillige Einwilligung graduell erhöht, und dabei wurde auf die Verwendung der Daten geachtet. Beispielsweise reicht die Übergabe einer Visitenkarte nicht mehr ohne weiteres aus, um diese Person in einen Newsletter-Verteiler aufzunehmen – dazu müsste man die Person auf die Datenschutzbestimmungen im Vorfeld hinwiesen. Bei Kindern unter 16 Jahren ist die Einwilligung nur mit Zustimmung der Eltern gültig. Auch das Widerspruchsrecht und die Löschpflicht wurden erweitert. Wobei das Recht auf Löschung, das es im Kern heute schon gibt, zu einem Recht auf Vergessenwerden ausgebaut wurde.

Weitere Neuerungen sind das Recht auf Einschränkung der Verarbeitung sowie das Recht auf Datenübertragbarkeit. Diese vieldiskutierte Vorschrift betrifft freiwillig zur Verfügung gestellte, personenbezogene Daten, wie es sie etwa bei digitalen "Wunschzetteln" oder "Einkaufswägen" bei Onlineshops gibt. Ziel ist es hier, dass Nutzer ihre Profildaten mit wenigen Klicks bei einem Dienst exportieren und bei einem vergleichbaren Dienst importieren können. Damit soll Personen das Wechseln zu anderen Anbietern möglichst erleichtert werden, und KMUs sollen damit gefördert werden. Allerdings müssen hier auch die Unternehmen mitspielen und die erforderlichen Voraussetzungen schaffen. Problematisch könnte dabei sein, dass diese ihre Kunden ungern samt den wertvollen Daten an die Konkurrenz verlieren.

Keine Peanuts

Was nun aber wirklich neu ist, ist die Höhe der Sanktionen. Während die Verletzung eines Datenschutzrechts bisher mit maximal 10.000 Euro geahndet wurde, können Strafen ab Mai 2018 bis zu 20 Millionen Euro oder vier Prozent des gesamten Vorjahresumsatzes ausmachen – je nachdem, welcher Betrag höher ist. Sprich, jetzt bekommt das Thema wirklich Gewicht, und wer sich nicht an die DSVGO hält, wird ordentlich zur Kassa gebeten.

Für Unternehmen heißt das ganz klar, der Datenschutz muss – sofern er das noch nicht ist – zur Chefsache erhoben werden. Dabei ist unumgänglich, dass Unternehmen ihre Datenschutzpraxis überprüfen und das Datenschutzmanagement bis zum Stichtag nach den Vorgaben der DSGVO anpassen und weiterentwickeln. Für Unternehmen, die schon bisher das Thema Datenschutz ernst genommen und datenschutzkonform gearbeitet haben, wird sich nicht viel ändern. Für alle anderen allerdings ist es bereits fünf vor zwölf. Jetzt heißt es rasch aktiv zu werden.

Chefsache, jetzt

DSGVO-Checklisten können Unternehmen helfen, ihren derzeitigen Status in puncto Datenschutz zu überprüfen. Darüber hinaus können auch Seminare, Webinare und Workshops sehr gut unterstützen. Das Unternehmen sollte dann auch darüber Bescheid wissen, mit welchen Kosten zu rechnen ist und welche Softwareadaptierungen durchzuführen sind.

Neben der Stärkung der Nutzerrechte liegt der Fokus auf Datensicherheit. Adäquate Sicherheitsvorkehrungen, wie beispielsweise ein Verzeichnis der Verarbeitungstätigkeiten, aber auch eine Datenschutz-Folgeabschätzung sind verpflichtend vorgeschrieben. Ferner müssen Datenmissbrauch und Verlust umgehend den Aufsichtsbehörden gemeldet werden. Schließlich verpflichtet die DSGVO insbesondere große Unternehmen und jene, deren Kerngeschäft in der Verarbeitung personenbezogener Daten liegt, einen Datenschutzbeauftragten zu installieren.

Angesichts des angedrohten Strafausmaßes ist die DSGVO in vielen Bereichen unscharf geregelt. So gibt es beispielsweise keine Übergangsbestimmung für alte Daten, deren Quellen man nicht kennt. Was bedeutet, dass es durchaus notwendig sein kann, diese zu löschen.

Wer braucht einen Datenschutzbeauftragten?

Auch ist nicht weiter definiert, was unter einem "großen" Unternehmen zu verstehen ist, und damit nicht klar geregelt, wer jetzt einen Datenschutzbeauftragten braucht. Das hängt aber auch damit zusammen, ob die Verwendung der Daten im Kerntätigkeitsbereich des Unternehmens (z. B. Profiler) liegt.

Auch Kerntechnologien wie Cloud-Computing und Big Data werden in der DSGVO nicht direkt genannt. Gerade im Bereich von Big Data, wo es im großen Stil darum geht, aus einer Vielzahl von Daten neue Erkenntnisse zu ziehen, sind die Regelungen eher abstrakt. So steht beispielsweise der Minimierungsgrundsatz, der besagt, dass Daten zu löschen sind, wenn sie nicht mehr unmittelbar gebraucht werden, im Spannungsfeld mit Big Data. Für die Wirtschaft ist das keine besonders brauchbare Regelung. Deutschland hat hier auch bereits angekündigt, sich für eine technologiefreundlichere Umsetzung starkzumachen.

Die Chancen

Mit Sicherheit bringt die neue DSGVO nicht nur Einschränkungen für Unternehmen, sondern birgt auch Potenzial. Unter anderem sollte die Datenanalyse vereinfacht werden – die Daten müssen strukturierter und einheitlicher gespeichert werden, um verständlicher für den Kunden zu sein; das bringt aber eben auch die bessere Aufbereitung für das Unternehmen mit sich. Auch werden Personen ihre Daten eher zur Verfügung stellen, wenn Sie wissen, dass sie sie jederzeit einsehen können oder auch das Recht auf Löschung ihrer Daten haben. Das belebt nicht nur den Onlinehandel, sondern treibt letzten Endes auch die Digitalisierung voran. (Oliver Witvoet, 26.9.2017)