Mehr Datenschutz für alle

März 2018 | Wirtschaftswoche | Risikomanagement

Mehr Datenschutz für alle

Mit der EU-Datenschutz-Grundverordnung wird der Datenschutz europaweit gestärkt. Was bedeutet das für die Unternehmen?

Illustration: Mario Parra
J.W. Heidtmann / Redaktion

Wohl nur die wenigsten Unternehmen werden den Stichtag im Mai einhalten können. Dann tritt die Anwendbarkeit der neuen EU-Datenschutz-Grundverordnung in Kraft. Die neue Verordnung wird auf EU-Ebene zu einer weitgehenden Vereinheitlichung des Datenschutzrechtes führen. Nach einer Umfrage des Digitalverbands Bitkom geht aber nur jedes fünfte Unternehmen davon aus, dass es bis dahin die Vorgaben neuen Verordnung umgesetzt haben wird.

Bisher müssen sich Unternehmen nach dem Bundesdatenschutzgesetz (BDSG) richten. Ab 25. Mai aber werden sie der europäischen Datenschutz-Grundverordnung (DS-GVO) Vorrang einräumen müssen. Auf Unternehmen kommen damit viele Neuerungen zu, etliche Prozesse müssen überprüft und angepasst werden. Vor allem die neuen Transparenz- und Informationspflichten der Unternehmen führen zu einem deutlich stärkeren Schutz der Betroffenen, als die aktuell geltenden Regelungen des Bundesdatenschutzgesetzes.

So müssen die Unternehmen „geeignete technische und organisatorische Maßnahmen“ ergreifen, um Datenschutz und Datensicherheit zu gewährleisten. Danach sollen etwa so wenige Daten wie möglich erhoben werden; diese sollen so schnell wie möglich pseudonymisiert werden. Außerdem müssen technische Geräte und IT-Anwendungen zukünftig so voreingestellt werden, dass nur solche Daten erhoben werden, die für den Zweck der Verarbeitung notwendig sind.

Zu den grundlegenden organisatorischen Voraussetzungen für den Datenschutz im Unternehmen gehört das sogenannte Verfahrensverzeichnis, in dem die internen Prozesse für die Verarbeitung personenbezogener Daten dokumentiert sind. Ohne ein solches Verzeichnis ist die Anpassung der eigenen Prozesse an die DS-GVO schwierig. „Die neue Verordnung verlangt von den Unternehmen den Nachweis der rechtskonformen Datenverarbeitung“, sagt Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Digitalverband Bitkom. Denn eine solche Datenschutz-Dokumentation werde in Streitfällen eine wichtige Rolle spielen. Die Nutzung personenbezogener Daten ist hierbei für viele Unternehmen von zentraler Bedeutung. Jedes Dritte setzt sie zur Verbesserung von Produkten und Dienstleistungen ein. Und 4 von 10 Unternehmen geben sogar an, dass die Nutzung personenbezogener Daten die Grundlage des eigenen Geschäftsmodells ist. Wenn das Geschäftsmodell im Kern auf der Verarbeitung personenbezogener Daten beruht, besteht laut neuer DS-GVO europaweit grundsätzlich eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten.

Wer den Kopf in den Sand stecke, verstoße demnächst gegen geltendes Recht und riskiere empfindliche Bußgelder, warnt Susanne Dehmel. „Unternehmen, die bis jetzt abgewartet haben, müssen das Thema schnellstmöglich aufarbeiten“. Für diejenigen, die nachlässig sind, kann es teuer werden. Mit der DS-GVO wurden auch die Bußgelder erhöht. Sie können im Extremfall bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen. Damit wird deutlich, dass der Datenschutz künftig eine wichtige Rolle in Europa spielt und alle Unternehmen, auch die großen Internetkonzerne, dem Datenschutz stärker als bisher Rechnung tragen müssen.