Die Uhr tickt – und es bleiben nur noch ein paar Monate bis zum 25. Mai 2018, an dem die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft treten und für Unternehmen einschneidende Veränderungen mit sich bringen wird. Nicht nur die Definition personenbezogener Daten, sondern auch Informationspflichten, Einwilligungsprozeduren, Rechenschaftspflichten und Verantwortlichkeiten werden sich ändern. Die Sanktionsmöglichkeiten sind in der Verordnung ebenfalls drastisch verschärft worden. Der Bußgeldrahmen ist auf bis zu 20 Millionen Euro beziehungsweise vier Prozent eines Firmenjahresumsatzes angehoben worden. Juristen raten Unternehmen schon seit langem, das eigene Datenschutz-Management der Datenschutz-Grundverordnung anzupassen, da es keinerlei Übergangsfristen geben wird. Trotzdem hat es nach wie vor den Anschein, dass immer noch zu viele, nicht zuletzt kleinere Unternehmen unvorbereitet sind und ihnen der Apparat zur Steuerung der sehr komplexen Datenschutzvorgaben fehlt.
Alles dreht sich um personenbezogene Daten
Eine der entscheidenden Fragen für Unternehmen lautet, wie sie künftig mit Kundeninformationen umgehen und diese gegenüber Dritten schützen können. Denn bei einem Datenschutzverstoß werden nach der neuen Verordnung nicht nur die juristischen Personen, das heißt: die Unternehmen, verantwortlich gemacht, sondern auch die natürlichen Personen, also die Geschäftsführer, Mitarbeiter, Datenschutzbeauftragten der Unternehmen, werden mit Sanktionen überzogen. Überdies erhalten alle Personen, deren Daten verarbeitet werden, ein umfassendes Auskunftsrecht. Unternehmen müssen vom 25. Mai 2018 an jederzeit in der Lage sein, Betroffenen elektronisch zu übermitteln, woher die Daten stammen, an wen sie weitergeleitet und zu welchem Zweck sie verarbeitet werden. Falls es beim Schutz der personenbezogenen Daten zu Pannen kommt, sind die Unternehmen verpflichtet, diese Verletzung des Datenschutzes binnen 72 Stunden nach Eintritt der jeweiligen Aufsichtsbehörde zu melden.
Es gibt noch jede Menge Informationslücken
Vielen Unternehmen ist nach wie vor nicht ganz klar, was da auf sie zukommt, wie eine Umfrage von „Trend Micro“ erst jüngst wieder gezeigt hat. Im Mai und Juni 2017 sind mehr als 1000 IT-Entscheider aus Unternehmen mit mindestens 500 Mitarbeitern in Europa und den USA zur EU-Datenschutz-Grundverordnung befragt worden. Zwar sind sich 96 Prozent der Befragten in Deutschland bewusst, dass die neue Verordnung umgesetzt werden muss, und immerhin 83 Prozent glauben, dass sie schon heute ihre Daten bestmöglich schützen. Mit der Kenntnis, was alles zu den personenbezogenen Daten zählt, ist es allerdings nicht so weit her. Denn nur 35 Prozent der Befragten sind sich darüber im Klaren, dass auch die Geburtsdaten von Kunden dazu zählen. 34 Prozent betrachten merkwürdigerweise Kundenadressen nicht als personenbezogene Dateien, bei E-Mail-Adressen sind immerhin noch 23 Prozent dieser Ansicht. Insgesamt ordnen nur 64 Prozent der Befragten ihre Marketing-Datenbanken als personenbezogene Dateien ein. Was die Umsetzung der Verordnung angeht, verlassen sich 75 Prozent der Befragten auf ihre IT-Abteilungen. „Trend Micro“ zufolge sind gegenwärtig in nur 30 Prozent der Unternehmen in Deutschland C-Level-Manager in die Umsetzung real mit eingebunden.
Auch Agenturen brauchen ein Datenschutz-Management
Das ist riskant, weil IT-Spezialisten in der Regel mit juristischen Feinheiten des Persönlichkeitsschutzes wenig vertraut sind. In einem Gastbeitrag für „W&V“ macht zum Beispiel Dirk Gerasch darauf aufmerksam, was auch für Agenturen auf dem Spiel steht. Denn auch sie könnten für nicht rechtskonforme Außendarstellungen im Internet, in den sozialen Medien und im Newsletter-Marketing haftbar gemacht werden. Die Agenturverantwortlichen sollten Gerasch zufolge nicht zuletzt deshalb die Verarbeitung von personenbezogenen Daten umgehend an die EU-Datenschutz-Grundverordnung anpassen, weil alles, was einen EU-Bürger identifizierbar macht, zu den persönlichen Daten zählt – digitale Fingerprints ebenso wie IP-Adressen, Cookie-IDs und gehashte E-Mail-Adressen. Für die Verarbeitung persönlicher Daten muss künftig die Zustimmung der Nutzer eingeholt werden. Es genügt nicht mehr, dass sie – wie bisher – „aktiv“ widersprechen. Nach dem 25. Mai 2018 gilt die Opt-in- anstelle der Opt-out-Regel.
Die Verordnung lässt sich nicht umschiffen
Dirk Gerasch rät Agenturen, schnellstmöglich ein stabiles Datenschutz-Management einzurichten und es sich idealerweise durch einen TÜV-zertifizierten Datenschutz-Auditor zertifizieren zu lassen. Denn Unternehmen müssen künftig auch das „Recht auf Vergessen“ beachten und selbst mit dafür sorgen, dass Links auf personenbezogene Daten im Netz gelöscht werden. Zudem müssen die Agenturen Nutzerdaten in Zukunft so verwalten, dass sie auf Wunsch jederzeit aus den Datenbanken gelöscht werden können. Überdies müssen sie den Nutzern den Zugang zu Daten ermöglichen, die über sie bei Dritten gespeichert worden sind. Die Herausforderung durch die neue Verordnung ist besonders für kleinere Agenturen mit nur wenigen Mitarbeitern erheblich, da auch sie mit Dokumentationspflichten belastet werden und den Aufsichtsbehörden jährliche Reports über ihren Umgang mit personenbezogenen Daten liefern müssen. Die Europäische Union hat auch mögliche Schlupflöcher gestopft. Denn künftig hilft eine Verlagerung des Unternehmenssitzes in außereuropäische Staaten nicht weiter. Werden personenbezogene Daten verarbeitet, gilt das Datenschutzgesetz des Landes, in dem die davon Betroffenen leben. (rst, searchsecurity.de, wuv.de, pressebox.de, cloudcomputing-insider.de, zdnet.de, computerwelt.at)