(openPR) Nach langwierigen Verhandlungen wurde am 14. April diesen Jahres vom EU-Parlament nach vier Jahren endlich die EU-Datenschutz-Grundverordnung verabschiedet. Sie soll die Grundlage für einen einheitlichen Datenschutz in allen 28 EU-Staaten bilden. Allerdings haben die einzelnen Länderregierungen nun noch bis Mai 2018 Zeit, die neuen Regelungen im Rahmen ihrer nationalen Gesetze umzusetzen. Dänemark und Großbritannien hatten bereits im Vorfeld Sonderregelungen ausgehandelt, so dass dort auch nach 2018 die EU-DSGVO nur eingeschränkt gelten wird. Einige der neuen Regelungen betreffen auch die Art und Weise, wie Unternehmen zukünftig mit den Daten ihrer Kunden, Partner und Mitarbeiter umgehen.
Unternehmen sind für die zukünftigen Datenschutzbestimmungen noch nicht vorbereitet
Eine im Auftrag der Firma Trend Micro durchgeführte Umfrage zeigt alarmierende Defizite bei Unternehmen im Verständnis der neuen EU-Datenschutz-Grundverordnung
* Die Hälfte der befragten Unternehmen weiß nicht, was es damit auf sich hat
* Nur ein Zehntel der Unternehmen weiß genau, welche Schritte es zu gehen hat, um Compliance mit dem neuen Recht zu erreichen.
* Acht von zehn europäischen Unternehmen stehen vor erheblichen Herausforderungen, um Compliance mit der EU-Datenschutz-Grundverordnung zu
* In Deutschland meinen 36 % der Befragten, dies läge an der mangelhaften IT-Sicherheit im eigenen Unternehmen, und bei 28% an den Einschränkungen durch die Legacy- IT-Systeme. Rund ein Viertel der deutschen Unternehmen sieht die Hürden in zu knappen Ressourcen.
„Auch wenn es noch eine Weile dauern wird, wenn die EU-Datenschutz-Grundverordnung in geltendes Recht umgesetzt wird, wirft sie schon jetzt ihre Schatten voraus. Allein die dann drohenden Bußgelder sollten Grund genug sein, dass Unternehmen sich schon heute darüber Gedanken machen, wie sie die zukünftigen Auflagen und Vorschriften erfüllen können“, erklärt Peter Weger, Vice President International Business der Oodrive-Gruppe (http://www.oodrive.de). „In vielen Fällen wird es das Beste sein, sich einen Partner ins Boot zu holen, der sich mit diesen Vorschriften auskennt. Als internationaler Cloud Service Provider mit Hauptsitz in der EU beschäftigen wir uns seit Anfang an mit allen relevanten Fragen zum Thema Datenschutz und Datensicherheit: national, länderübergreifend in der EU und international. Ich bin mir sicher, dass wir auch zum Thema EU-Datenschutz-Grundverordnung ein attraktiver Gesprächspartner für viele Unternehmen sind.“
Die wichtigsten Regelungen für Unternehmen im Überblick:
1. Überwachungsaufgabe für betriebliche Datenschutzbeauftragte
Die im Unternehmen eingesetzten betrieblichen Datenschutzbeauftragten erhalten zusätzlich zu ihren bisherigen Aufgaben – Sicherstellung und Hinwirkung beim Datenschutz – nun auch den Überwachungsauftrag, dass im Unternehmen alle Vorgaben und Regelungen zum Datenschutz auch eingehalten werden. Folge: Unternehmer und Datenschutzbeauftragter haften zukünftig persönlich bei Verstößen.
2. Meldepflicht bei Verstößen
Verletzungen des Schutzes personenbezogener Daten müssen zukünftig an die Aufsichtsbehörde gemeldet werden. Als Frist wird in der EU-DSGVO folgender Wortlaut festgelegt: „unverzüglich und ohne unangemessene Verzögerung“. Dies bedeutet in der Regel binnen 72 Stunden, nachdem der Vorfall bekannt wurde
3. Nachweispflicht für Datenschutzrichtlinien und entsprechende Schulung der Mitarbeiter.
Die Einführung von Datenschutzrichtlinien und Unterrichtung der Mitarbeiter ist schon jetzt vorgeschrieben. Neu ist eine verbindliche Nachweispflicht dieser Maßnahmen. Bei Verstößen drohen hier Bußgelder in empfindlicher Höhe (vgl. Punkt 7)
4. Pflicht zur Datenschutz-Folgeabschätzung
Sieht ein Unternehmen bei der Datenverarbeitung die Gefahr, dass diese Verarbeitung voraus-sichtlich hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge hat, muss das Unternehmen eine umfassende Vorprüfung vornehmen, dokumentieren und gegebenenfalls später mit der Datenschutzbehörde abstimmen.
5. Auftragsdatenverarbeitung wird zur Regel
Die Abgrenzung zwischen Funktionsübertragung und Auftragsdatenverordnung wird zukünftig entfallen. Die Arbeit eines externen Dienstleisters wird nach der neuen Verordnung in der Regel als Auftragsdatenverarbeitung eingestuft werden.
6. Weltweiter Geltungsbereich
Die Datenschutz-Grundverordnung gilt nicht nur für Unternehmen in den 28 Mitgliedstaaten der EU, sondern auch für Unternehmen außerhalb der EU, wenn sie Daten von EU-Bürgern verarbeiten.
7. Bußgelder
Unternehmen, die gegen die neuen Vorgaben verstoßen, müssen in Zukunft mit empfindlichen Geldbußen rechnen. Diese können bis 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen. Da der Bußgeldkatalog bindend ist, besteht für die Aufsichtsbehörden kein Ermessensspielraum.
Regelungen zum Transfer von personenbezogenen Daten in Staaten außerhalb der EU/des EWA in so genannte „Drittstaaten“
Diese Regelungen werden sich durch das Inkrafttreten der neuen Datenschutz-Grundverordnung erst einmal nicht ändern. Es gilt weiterhin die Annahme, dass in Drittstaaten generell kein angemessenes Datenschutzniveau herrscht. Dementsprechend werden Datentransfers in Drittstaaten auch weiterhin nur zulässig sein, wenn zusätzliche Sicherheitsmechanismen dazu beitragen, ein angemessenes Datenschutzniveau zu gewährleisten, oder ein solches verbindlich festgestellt wurde.
Um sich optimal auf die Regelungen der Datenschutz-Grundverordnung vorzubereiten, sollten Unternehmen deshalb die bestehenden Datenflüsse und Speicherorte in Drittstaaten kritisch überprüfen und die jeweils bestehenden Rechtsgrundlagen bzw. Mechanismen zur Herstellung eines angemessenen Datenschutzniveaus in den dortigen Ländern untersuchen.
Zwar ist nach der neuen Datenschutz-Grundverordnung die Feststellung eines angemessenen Datenschutzniveaus auch für ein Gebiet oder ein oder mehrere spezifische Sektoren eines Drittlands möglich. Der Datentransfer wäre damit ohne weitere übermittlungsspezifische Maßnahmen auch an Stellen innerhalb solcher Gebiete bzw. Sektoren zulässig.
Um jedoch auf Nummer Sicher zu gehen, sollten europäische Daten bestmöglich in Europa gehostet werden. Wie in Punkt 6 der o.a. Aufzählung erwähnt soll die Datenschutz-Grundverordnung nicht nur für Unternehmen in den 28 Mitgliedstaaten der EU gelten, sondern auch für Unternehmen außerhalb der EU, wenn sie Daten von EU-Bürgern verarbeiten. Doch gerade bei Unternehmen in Drittländern wird die Nachprüfbarkeit der Einhaltung der Vorgaben der EU-DSGVO sehr schwierig sein.
