Countdown zur EU-DSGVO

Neue EU-Datenschutzregeln ab 2018

| Autor / Redakteur: Oliver Lobschat* / Peter Schmitz

Ab Mai 2018 gilt die neue EU-Datenschutzverordnung. Unternehmen bleiben somit weniger als zwei Jahre Zeit, sich intensiv mit den Auswirkungen der neuen Vorgaben zu befassen.
Ab Mai 2018 gilt die neue EU-Datenschutzverordnung. Unternehmen bleiben somit weniger als zwei Jahre Zeit, sich intensiv mit den Auswirkungen der neuen Vorgaben zu befassen. (Bild: CTT Computertechnik)

Nach vierjähriger Verhandlung wurde im Dezember 2015 die endgültige Fassung der EU-Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet. Jetzt bleibt den Unternehmen weniger als zwei Jahre Zeit, sich bis zum Inkrafttreten der Verordnung am 25. Mai 2018 vorzubereiten.

Unternehmen, die die Entwicklungen hin zur endgültigen Fassung der EU-Datenschutz-Grundverordnung (EU-DSGVO) mitverfolgt haben, verfügen über einen gewissen Vorsprung, wenn es um die zeitnahe Umsetzung der Vorgaben geht. Alle anderen sind angehalten, sich schnellstmöglich mit der DSGVO zu befassen. Denn künftig gelten beim Datenschutz strengere Vorschriften. Mit der EU-DSGVO sollen insbesondere die Rechte der Betroffenen gestärkt werden.

Demnach beinhaltet die neue EU-Norm Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung sowie der Nutzung personenbezogener Daten. Dadurch hat sie praktisch Auswirkungen auf alle Unternehmen, die Waren oder Dienstleistungen in der EU anbieten und Daten von Ansprechpartnern speichern. Je nach Größe des Unternehmens beanspruchen die Anpassungsvorgänge an die EU-DSGVO mehr oder weniger Zeit. Für Sie geht es vor allem darum, ihre bisherige Art im Umgang mit personenbezogenen Daten zu überarbeiten, um sich an die strengeren Anforderungen anzupassen.

Darum gibt es eine neue EU-Datenschutzverordnung

Im Jahr 1995 verabschiedete die Europäische Union die Datenschutzrichtlinie (DSR), die bis heute ambitionierteste Datenschutzregelung, die allerdings von Beginn an problematische Lücken aufwies. Diese zahlreiche Aufsichtsbehörden und Gerichtsurteile des Europäischen Gerichtshofes ausgeweitet. So war es den Mitgliedsstaaten der EU möglich, auf Basis der DSR eigene Gesetze auf den Weg zu bringen. Das führte zu ersten Uneinigkeiten bei der Auslegung und praktischen Anwendung der DSR innerhalb der EU und widersprach letztlich der Absicht, eine universale Rechtsnorm zu schaffen.

Ein zusätzliches Problem der DSR ergab sich aus dem stetigen Informationsanstieg. Mit der Expansion des Internets sind Daten mittlerweile auf Milliarden von Geräten gespeichert und abrufbar. Durch die unterschiedliche Auslegung hatte sich jeder Mitgliedsstaat eigene Spielregeln geschaffen, mit denen er darüber bestimmen konnte, was persönliche Daten sind und wie diese geschützt werden können. Darüber hinaus gab es in der EU nun Länder, die zu begehrten Standorten für IT-Zentren internationaler Konzerne wurden, da hier die Auflagen des Datenschutzes besonders schwach ausfielen. Mit der neuen EU-Datenschutzgrundverordnung (EU-DSGVO), die ab Mai 2018 in Kraft tritt, sollen wieder einheitliche Vorgaben und Definitionen für den Datenschutz in der EU gelten.

Neuerungen der EU-DSGVO im Überblick

Um den Unklarheiten der vorhergehenden DSR entgegenzuwirken, sind persönliche Daten in der EU-DSGVO klar definiert – ein Novum in der Geschichte des europäischen Datenschutzes.

Nutzerrechte sollen gestärkt werden: Bei den persönlichen Daten macht die EU-DSGVO klar, dass es sich hierbei um mehr als nur offensichtliche Identifizierungsmerkmale handelt. Auch wenn eine Person direkt oder indirekt durch womöglich verwendete Mittel von irgendwem identifiziert werden kann, handelt es sich um persönliche Daten, sogenannte Quasi-Identifizierungsmerkmale. Beispielsweise dann, wenn Geo-Daten erhoben werden, die in Kombination mit anderen Daten die Darstellung eines Bewegungsmusters erlauben.

Darüber hinaus wird das Recht des Nutzers auf Vergessen gestärkt, mit dem es leichter werden soll, einmal über ihn veröffentlichte Informationen vollständig zu löschen.

Datenverarbeitung unterliegt neuen Pflichten: Für Datenverarbeiter einschließlich Cloudanbieter gelten mit der EU-DSGVO neue Verpflichtungen. So müssen Cloudanbieter die Sicherheit von Daten wahren, die ihnen durch einen Datenverantwortlichen übertragen wurden. Die Idee dahinter ist, dass Verbraucher einen Datenverarbeiter nun direkt auf Schäden verklagen können.

Mindestalter für die Einwilligung der Datenerhebung: Bei der Festlegung des Mindestalters lässt die EU-DSGVO wie die alte DSR erneut Spielräume. Somit können die Mitgliedsstaaten selbst festlegen, ab welchem Alter Kinder und Jugendliche sich rechtswirksam auf Webseiten anmelden können. In einigen EU-Ländern dürfen Kinder beispielsweise erst ab 16 Jahren ohne Einwilligung der Eltern einen Facebook-Account eröffnen.

Ab Mai 2018 gilt das Marktortprinzip: Das neu geschaffene Datenschutzrecht gilt verbindlich für alle Unternehmen, die auf dem europäischen Markt tätig sind. Dabei spielt es keine Rolle, ob sich der Firmensitz innerhalb der EU befindet. Zudem ist es auch unerheblich, wo die Datenverarbeitung stattfindet. Denn jede Verarbeitung personenbezogener Daten von Nutzern aus der EU unterliegt der EU-DSGVO.

Verstöße gegen die EU-DSGVO können sehr teuer werden

Mit der EU-DSGVO etabliert die EU ein abgestuftes Sanktionssystem, das den Gewinn eines Unternehmens bei einer Pflichtverletzung schrumpfen lässt. So kann eine Firma mit einem Bußgeld von bis zu vier Prozent des globalen Umsatzes im vorausgegangenen Geschäftsjahr belegt werden, sollte sie gegen die Richtlinien der EU-DSGVO verstoßen. Die maximale Geldbuße beträgt 20 Millionen Euro. Die Schwere des Verstoßes ist nach Bemessungskriterien eingeteilt und in Artikel 83 unter anderem definiert nach:

  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • Art und Schwere sowie Dauer des Verstoßes
  • Berücksichtigung früherer Verstöße
  • Kategorien personenbezogener Daten

Nach Artikel 55 kann jede Aufsichtsbehörde im Hoheitsgebiet des eigenen Mitgliedsstaates ein Bußgeld bei nachgewiesenen Verstößen verhängen. Diese wiederum können sowohl durch die Überwachungstätigkeiten von Behörden als auch durch Kunden oder Mitarbeiter, die sich bei der Aufsichtsbehörde beschweren, aufgedeckt werden.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44223559 / Compliance und Datenschutz )