Die neuen EU-Datenschutzvorschriften sollen den Bürgern mehr Kontrolle über ihre privaten Informationen verleihen. Regierungen und Unternehmen haben jetzt zwei Jahre Zeit, um die neuen Vorschriften umzusetzen. [...]
Am Donnerstag hat das Parlament die neuen EU-Datenschutzvorschriften angenommen. Ziel der Regeln ist, den Nutzern die Entscheidung über ihre persönlichen Daten zurückzugeben, ein hohes und einheitliches Datenschutzniveau einzuführen sowie die EU für das digitale Zeitalter zu rüsten. Die Reform legt auch Mindeststandards für die Verwendung von Daten für polizeiliche und gerichtliche Zwecke fest.
Vier Jahre hat es gedauert, um an diesen Punkt zu kommen. Mit der Reform wird die bestehende Datenschutzrichtlinie aus dem Jahr 1995, als das Internet noch in den Kinderschuhen steckte, mit einem allgemeinen Regelwerk ersetzt, das den Bürgern mehr Kontrolle über ihre privaten Informationen in einer digitalisierten Welt von Smartphones, sozialen Medien, Internet-Banking und globalen Datenübertragungen verleihen soll.
„Mit der Datenschutz-Grundverordnung wird die Vision eines hohen einheitlichen Datenschutzniveaus für die gesamte Europäische Union Wirklichkeit. Dies ist ein großer Erfolg für das Europäische Parlament und ein starkes europäisches Ja zu starken Verbraucherrechten und mehr Wettbewerb im digitalen Zeitalter. Die Bürger können selbst entscheiden, welche persönlichen Daten sie freigeben wollen. Den Unternehmen gibt das neue Gesetz klare Vorgaben, weil in der ganzen EU dieselben Regeln gelten. Bei Verstößen müssen Unternehmen bis zu vier Prozent des Jahresweltumsatzes zahlen. Das neue Gesetz schafft Vertrauen, Rechtssicherheit und einen faireren Wettbewerb“, sagte dazu der Berichterstatter Jan Philipp Albrecht von den Grünen aus Deutschland.
Zu den wichtigsten Änderungen durch die neuen Vorschriften zählen:
- Recht auf Vergessenwerden
- Verarbeitung der Daten nur nach ausdrücklicher Einwilligung der betroffenen Person
- Recht auf Datenübertragbarkeit (an einen anderen Dienstleister)
- Recht der Betroffenen, bei Verletzung des Schutzes der eigenen Daten darüber informiert zu werden
- Datenschutzbestimmungen müssen in klarer und verständlicher Sprache erläutert werden
- Bei Verstößen wird härter durchgegriffen; im Fall eines Unternehmens werden Strafen von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt.
Die europäische IT-Branche hat sich bereits zu dem Thema zu Wort gemeldet, so wie etwa Daniel Wolf, Regional Director DACH des Cloud-Security-Anbieters Skyhigh Networks: „Die Verabschiedung der Datenschutz-Grundverordnung durch die zuständigen EU-Gremien ist eine gute Nachricht für die europäischen Bürger. Denn damit werden sie starke und eindeutige Rechte über ihre personenbezogenen Daten haben. Die Reform verändert vollkommen die Art und Weise, wie Unternehmen und Anbieter von Cloud-Diensten mit den Daten von Kunden oder Anwendern umgehen. Einige Unternehmen haben diese Daten in der Vergangenheit als billige Ware behandelt. Aber die Verordnung zeigt mehr als deutlich, wie wertvoll Daten tatsächlich sind. Jetzt sind alle Firmen gefordert, Daten mit Respekt zu behandeln und wirkungsvolle Schutzmechanismen zu etablieren. Unternehmen haben nun bis Mai 2018 Zeit, die neuen Vorgaben zu erfüllen – die Uhr tickt also. Manche Verantwortliche werden sich sicherlich über den Anpassungsaufwand beschweren. Aber auch sie sollten die neue Verordnung begrüßen: denn dadurch werden ihre eigenen Daten besser geschützt.“
Auch Roland Messmer, Director Central EMEA bei LogRhythm, sieht die EU auf dem richtigen Weg und Unternehmen in der Pflicht: „Obwohl es jetzt nochmals zwei Jahre dauert, bis die neuen Gesetze greifen, stellt dies einen großen Schritt vorwärts im Kampf gegen die Cyberkriminalität dar. Denn ich bin davon überzeugt, dass die neue Verordnung viel Positives bewirken wird. So müssen Unternehmen einen Datenschutzbeauftragten ernennen, wenn sie sensible Daten in großem Umfang verarbeiten. Auch wird die Haftung bei Datenschutzverletzungen auf Auftragsdatenverarbeiter ausgeweitet. Beides sind logische Schritte, zumindest für die Unternehmen, die es mit ihren Aktivitäten in Sachen Cyber- und Datensicherheit wirklich ernst meinen. Was meines Erachtens jedoch am meisten Wirkung zeigen wird, ist die Gefahr für Unternehmen, die das Thema digitale Sicherheit vernachlässigen, sich mit hohen Geldstrafen und einer Veröffentlichungspflicht innerhalb von drei Tagen nach einem Vorfall konfrontiert zu sehen. Um dies zu vermeiden, müssen Unternehmen entsprechende Maßnahmen ergreifen, die sicherstellen, dass alle Netzwerkaktivitäten jederzeit voll unter Kontrolle sind. Denn ohne solch eine allumfassende Übersicht ist nahezu unmöglich, innerhalb von 72 Stunden einen Angriff zu erkennen, zu analysieren und abzuwehren.“ Messmer zufolge wird die neue Verordnung nicht ganz zu Unrecht als größter Umbruch bei den EU-Datenschutzgesetzen seit 20 Jahren bezeichnet. Denn: „Unternehmen, die das Thema IT-Security weiterhin ignorieren, werden künftig an den Konsequenzen schwer zu tragen haben“.
NEUE REGELN FÜR POLIZEI UND GERICHTE
Das Datenschutzpaket enthält auch eine Richtlinie über die Datenübertragungen zu polizeilichen und gerichtlichen Zwecken. Sie bezieht sich auf Datenübertragungen über die Grenzen innerhalb der EU hinweg und legt Mindeststandards für die Datenverarbeitung für polizeiliche Zwecke in jedem Mitgliedstaat fest.
Die neuen Regeln zielen den Angaben des EU-Parlaments zufolge auf den Schutz des Einzelnen ab, ob Opfer, Krimineller oder Zeuge, indem klare Rechte und Einschränkungen in Bezug auf Datenübertragungen zum Zweck der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung festgelegt werden – auch hinsichtlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Gleichzeitig soll eine glatte und effektive Zusammenarbeit zwischen den Strafverfolgungsbehörden erleichtert werden.
DIE NÄCHSTEN SCHRITTE
Die nun angenommene Verordnung wird 20 Tage nach der Veröffentlichung im EU-Amtsblatt in Kraft treten und zwei Jahre nach der Veröffentlichung wirksam sein. Doch das ist nur der erste Schritt. Denn die Mitgliedstaaten haben dann zwei Jahre Zeit, die Bestimmungen der Richtlinie in nationales Recht umzusetzen – diese Schonfrist gilt damit klarerweise auch für Unternehmen, die Daten verarbeiten und nutzen. Sie müssen bis zum Mai oder Juni 2018 ihre internen Prozesse der Datenverarbeitung auf die Regelungen der Verordnung umstellen.
Außerdem werden durch die Ausnahmen, die Dänemark und Großbritannien im Bereich Justiz und Inneres ausgehandelt haben, die Bestimmung der Richtlinie dort nur eingeschränkt gelten. Dänemark kann etwa innerhalb von sechs Monaten nach der endgültigen Verabschiedung der Richtlinie entscheiden, ob es diese in nationales Recht umgesetzt wird.
Gegen solche und andere „Alleingänge“ bei der Umsetzung spricht sich der deutsche Digitalverband Bitkom aus. „Die neuen Datenschutzstandards sollten in den Mitgliedsstaaten möglichst einheitlich angewendet und durchgesetzt werden“, erklärt Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit. Nur so könne gewährleistet werden, dass innerhalb der EU „gleiches Recht für alle“ gelte. „Die Unternehmen haben jetzt zwei Jahre Zeit, ihre Datenschutzpraxis an die neuen Vorschriften anzupassen“, sagte Dehmel. „Auf die Unternehmen kommen mit der Verordnung zahlreiche neue Dokumentations-, Melde- und Genehmigungspflichten zu.“ So müssen Unternehmen in Zukunft unter anderem Datenschutzfolgenabschätzungen durchführen, den Datenschutz bereits bei der Entwicklung neuer Produkte und Dienste beachten („Privacy by Design“), datenschutzfreundliche Voreinstellungen („Privacy by Default“) vornehmen oder das neue Verbraucherrecht auf Datenübertragbarkeit umsetzen. „Viele Regelungen der neuen Datenschutzverordnung sind so allgemein formuliert, dass nicht auf den ersten Blick klar ist, wie sie in der Praxis umgesetzt werden sollen. Das wird in der Anfangszeit zu einer gewissen Rechtsunsicherheit führen“, sagte Dehmel. Daher sei es wichtig, dass sich Wirtschaft und Datenschutzaufsicht möglichst bald austauschen, um ein gemeinsames und europaweit einheitliches Verständnis der neuen Regeln zu entwickeln.
Aus Sicht des Bitkom muss die praktische Umsetzung der datenschutzrechtlichen Vorgaben für die Wirtschaft auf jeden Fall handhabbar bleiben. Dehmel: „Wir müssen den Aufwand auf das für einen effektiven Datenschutz absolut notwendige begrenzen, um unnötige Bürokratie und Rechtsunsicherheit zu vermeiden.“ (rnf)
Be the first to comment