EU-Datenschutzgrundverordnung: Folgen für Unternehmen

Nach jahrelangem Hin- und Her haben EU-Rat und -Parlament in der vergangenen Woche die Datenschutzgrundverordnung durchgewunken. Ab 2018 soll diese für einen einheitlichen europäischen Datenschutz sorgen. Unternehmen müssen sich schon jetzt darauf einstellen, sonst drohen hohe Bußgelder.

Mit der Zustimmung von Rat und Parlament am Donnerstag hat das neue europäische Datenschutzgesetz, die „Datenschutz-Grundverordnung“ (DS-GVO), in der vergangenen Woche die letzte Hürde genommen. In Kraft treten soll sie Anfang 2018. Mit der neuen Verordnung sollen vor allem dem Einzelnen mehr Kontrolle über seine Daten verschafft werden. Entsprechend gelten künftig in allen EU-Staaten die gleichen Standards in Sachen Datenschutz, so genannte „Rückzugsräume“ innerhalb Europas wird es nicht mehr geben.

Unternehmen haben nun zwei Jahre Zeit, ihre Prozesse den neuen Regeln anzupassen. Das ist notwendig, da keine Altfallregelung existiert. Verstöße können so zu hohen Bußgelder führen. Die wichtigsten Änderungen:

Einwilligung

Unternehmen, die persönliche Daten ihrer Nutzer verarbeiten wollen – in welcher Form auch immer – müssen sich eine ausdrückliche Zustimmung dieser einholen. Kunden wiederum müssen zu jederzeit Auskunft über die gespeicherten Daten erhalten können oder ihre Einwilligung revidieren.

Datenmitnahme

Laut Verordnungen können Nutzer ihre persönlichen Daten wie Fotos, Kontaktlisten, veröffentlichte Nachrichten und mehr von einem Dienstleister zu einem anderen mitnehmen – etwa von Facebook zu einem anderen sozialen Netzwerk, das ansonsten nicht mit dem Konzern in Verbindung steht. Wie genau das funktionieren soll, ist bislang unklar.

Recht auf Vergessenwerden

Was ein Urteil des Europäischen Gerichtshofs bereits für Google feststellte, gilt nun für alle Unternehmen: Persönliche Daten müssen auf Wunsch der Betroffenen gelöscht werden. Bei Google ging es ursprünglich um Suchergebnisse, die Informationen verbreiteten, die nicht mehr relevant sind oder das Recht auf Privatsphäre verletzen. Der Konzern schaltete deshalb Ende Mai des vergangenen Jahres eine Website frei, auf der solche Anträge gestellt werden können.

Härtere Strafen & Unschuldsbeweis

Verstoßen Unternehmen gegen die neuen Regeln, können sie mit Strafen von bis zu vier Prozent ihres Jahresumsatzes belangt werden. Wichtig ist dabei vor allem die Umkehr der Beweislast: Verstöße müssen nicht länger von zuständigen Behörden bewiesen werden; Unternehmen müssen vielmehr nachweisen, dass sie die geltenden Regeln einhalten.

Mindestalter für Einwilligung

Ab wann sich Kinder und Jugendliche ohne Zustimmung der Eltern bei Webseiten rechtswirksam anmelden dürfen, konnten Mitgliedsstaaten bisher individuell bestimmen. Künftig soll das Mindestalter dafür auf 16 Jahre heraufgesetzt werden. Die Anmeldung bei Diensten wie Facebook oder Instagram wird dadurch deutlich erschwert.

Einfachere Beschwerdeanträge

Wer sich in seinen Datenschutzrechten verletzt sieht, kann künftig Beschwerde bei der Datenschutzbehörde des eigenen Landes einreichen – ungeachtet des Konzernsitz des betroffenen Unternehmens. Auch Verbände dürfen im Auftrag von Verbrauchern klagen. Die Regelung ist eine Reaktion auf die öffentlichkeitswirksame Klage des österreichischen Facebook-Widersachers Max Schrems. Um rechtswirksam Klage gegen die Geschäftspraktiken des Konzerns einzulegen, musste Schrems bis nach Irland vor Gericht ziehen, weil das Unternehmen dort seine europäische Niederlassung hat.

Das Marktortprinzip: Recht gilt für alle Unternehmen

Mit den neuen Datenschutzregeln fällt jede Verarbeitung personenbezogener Daten von Nutzern aus der EU unter den Anwendungsbereich der Grundverordnung. Jedes Unternehmen, das im europäischen Markt agiert, muss sich daran halten – ungeachtet dessen, ob und in welchem europäischen Land es seinen Konzernsitz hat.

Kritik: Regelungen gehen nicht weit genug

Befürworter der neuen Verordnung begrüßen die Einheitlichkeit der Regelungen. Allerdings muss dieser auch eine einheitliche Anwendung folgen, wie Sachiko Schering, European Privacy Officer des Datenanalysedienstleisters Acxioms, betont: „Wichtig ist, dass die Verordnung in der EU und von allen in der EU tätigen Unternehmen so umgesetzt wird, dass gleiche Bedingungen gelten.“

Kritikern gehen die Regelungen zum einen nicht weit genug, wie etwa der Verein Digitale Gesellschaft schreibt: „Die ambitionierten Ziele, die zu Beginn des Prozesses ausgerufen wurden, werden damit leider nicht erreicht und teils sogar in ihr Gegenteil verkehrt. In Anbetracht der jahrelangen Versuche der Bundesregierung, die Reform zu verzögern und Schutzmechanismen für Verbraucherinnen und Verbraucher zu torpedieren, muss allerdings das bloße Zustandekommen der Novelle bereits als Erfolg gewertet werden.“

Andere lesen darin gar eine „Politik der Verhinderer.“ Der Bundesverband Digitale Wirtschaft kommentiert: „Das Internet als wirtschaftlicher Wachstumsmotor wird im Ergebnis überreguliert, die Wettbewerbsfähigkeit Europas im globalen Wettbewerb deutlich begrenzt. Zusätzlich führt die Reform zu einer stärkeren Überforderung der Nutzer und zu mehr Bürokratisierung. Der Datenschutz verliert zugleich an Effektivität. Anstelle ausgewogener Konzepte für echte „privacy by design“ bleibt nach wie vor die Einwilligung der Nutzer maßgeblich. Bereits erfolgreiche Ansätze wie Pseudonymisierung und Verschlüsselung sind nicht ausreichend implementiert.“

Folgen für Unternehmen

Aufgrund unpräziser Formulierungen erwartet das Marktforschungsunternehmen Bitkom Probleme bei der Umsetzung: „Viele Regelungen der neuen Datenschutzverordnung sind so allgemein formuliert, dass nicht auf den ersten Blick klar ist, wie sie in der Praxis umgesetzt werden sollen. Das wird in der Anfangszeit zu einer gewissen Rechtsunsicherheit führen.“

Experten mahnen Unternehmen an, die zweijährige Übergangszeit zur Evaluierung interner Prozesse zu nutzen. „Das heißt konkret: Welche Daten wurden und werden erhoben? Wie werden diese verarbeitet und genutzt und gibt es eine entsprechende Dokumentation? Nur so ist man in der Lage, die in der kommenden Zeit erwarteten Praxismodelle der Fachverbände sowie die Empfehlung der Gruppe der Europäischen Datenschutzaufsichtsbehörden, Artikel-29-Datenschutzgruppe, zügig umzusetzen“, so Scheuing. Für Unternehmen bedeute das vor allem, entsprechende Ressourcen zu schaffen.