EU-Datenschutz-Grundverordnung

Strengere Vorschriften im Anmarsch

Im April verabschiedete das EU-Parlament die neue EU-Datenschutz-Grundverordnung (EU-DSGVO). Unternehmen haben zwei Jahre Zeit, um sich auf die neuen rechtlichen Rahmenbedingungen vorzubereiten. Proalpha erläutert die Details.

Künftig gelten beim Datenschutz strengere Vorschriften. Grund hierfür ist die EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese EU-Norm beinhaltet neue Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung und Nutzung personenbezogener Daten. Sie hat daher Auswirkungen auf praktisch alle Unternehmen, die Waren oder Dienstleistungen anbieten und Daten von Ansprechpartnern in ihren IT-Systemen speichern. Und welches Unternehmen tut das nicht in Vertrieb, Service oder Rechnungswesen?

Dr. Marcus Hirschfelder, Fachanwalt für Verwaltungsrecht bei der Saarbrücker Kanzlei Gessner Rechtsanwälte Partnergesellschaft mbB, erläutert den rechtlichen Hintergrund: „Die neue EU-Datenschutz-Grundverordnung ist im Mai 2016 in Kraft getreten, Anwendung finden die Vorschriften der EU-Datenschutzgrundverordnung ab Mai 2018. Anders als bei der alten Datenschutzrichtlinie gilt sie sofort europaweit. Sie muss nicht erst durch die einzelnen Mitgliedsstaaten umgesetzt werden. Damit gibt es auch keine nationalen Gestaltungsspielräume.“

Zwei Jahre haben Unternehmen also Zeit, um sich auf die EU-Datenschutz-Grundverordnung vorzubereiten. Klingt viel, doch der Zeitrahmen ist eng gesteckt, denn das Thema ist komplex. Im Kern geht es um folgende Aspekte:

Anzeige
  • Beweislastumkehr
    Bislang standen bei Verstößen die Behörden in der Nachweispflicht. Künftig gilt das umgekehrte Prinzip: Nun müssen die Unternehmen beweisen, dass sie rechtskonform arbeiten.
  • Dokumentationspflicht
    Unternehmen müssen künftig dokumentieren, warum und wie sie persönlichen Daten verarbeiten. Zudem sind sie verpflichtet, die Sicherheitsmaßnahmen konkret nachzuweisen.
  • Mehr Transparenz
    Wer einem Unternehmen Daten überlässt, hat künftig ein Recht zu erfahren, wie diese verarbeitet und verwendet werden. Unternehmen sind verpflichtet, ihre Kunden aktiv zu informieren, wenn die Daten zum Beispiel für Werbezwecke verarbeitet werden. Die Auskunft muss dabei klar und verständlich formuliert sein.
  • Daten mitnehmen
    Wer einen Anbieter wechselt, soll seine Daten bei Bedarf mitnehmen können.
  • Recht auf Vergessen
    In Zukunft gibt es ein gesetzlich verbrieftes „Recht auf Vergessen“. Die EU-DSGVO regelt, wann nicht mehr benötigte Daten zu löschen sind.
  • Ende des Adresshandels
    Das sogenannte Listenprivileg, nach dem Adressen zu Werbezwecken weitergegeben werden dürfen, entfällt. Hierfür ist künftig die ausdrückliche Genehmigung der betroffenen Personen erforderlich.
  • Meldeauflagen
    Datenschutzverletzungen sind künftig der EU und den betroffenen Personen in einem einheitlichen Verfahren zu melden. Unternehmen sind stärker als zuvor verpflichtet, schnell zu reagieren.

Handlungsbedarf für die IT

IT-Verantwortliche müssen sich jetzt darum kümmern, in welchen Systemen sie Daten zu Ansprechpartnern von Interessenten, Kunden oder Lieferanten gespeichert haben. „Proalpha Anwender haben es hier leicht, denn die ERP-Komplettlösung arbeitet mit einer zentralen Datenbank für alle Module“, sagt Gunnar Schug, Leiter Softwareentwicklung bei Proalpha.

Neben einer gründlichen Bestandsaufnahme geht es vor allem darum, Prozesse zu vereinheitlichen und Compliance-Regeln aufzustellen beziehungsweise anzupassen. Auch Datenschutz und -verwendung sollten klar geregelt sein. Stand heute erfüllen allerdings die wenigsten Unternehmen die neuen Vorschriften – aus technischen wie organisatorischen Gründen.

„Nichts zu tun, ist keine Option“, mahnt Dr. Martin Gessner, Fachanwalt für IT-Recht bei der Kanzlei Gessner Rechtsanwälte Partnergesellschaft mbB: „Zum einen haben Betroffene, deren Datenschutz verletzt wurde, einen Schadensersatzanspruch. Zum anderen sind empfindliche Bußgelder vorgesehen. Die Obergrenze liegt hier bei bis zu 4 Prozent des weltweiten Jahresumsatzes.“

Software-Hersteller in der Pflicht

Nicht nur Industrie und Handel sind von der Richtlinie betroffen. Auch die Software-Hersteller sind gefordert. Zum einen muss mit dem Einsatz moderner Datenverschlüsselung der unerlaubte Zugriff auf gespeicherte Daten verhindert werden. Zum anderen ist Software so zu strukturieren, dass Anwender die Verordnung in der Praxis einhalten können. Im Zusammenhang mit dem neuen EU-Datenschutz werden für die IT insbesondere zwei Ansatzpunkte diskutiert: Privacy by Design und Privacy by Default.

Gunnar Schug von Proalpha erklärt: „Mit dem ‚Privacy by Design‘-Konzept erhalten Datenschutz und Privatsphäre bereits in der Softwareentwicklung mehr Gewicht. Jede Software sollte Funktionen enthalten, mit denen sich Daten zu Personen einfach suchen und löschen lassen. Das gehört bei Proalpha zum Standard und ist schon heute möglich.“

Das „Privacy by Default“-Konzept soll gewährleisten, dass Software standardmäßig mit datenschutzfreundlichen Voreinstellungen ausgeliefert wird. In vielen Fällen werden damit unbeabsichtigte Verstöße gegen die EU-Datenschutz-Grundverordnung wirksam verhindert. „Wie bei jeder rechtlichen Änderung werden wir bei Proalpha auch bei der EU-Datenschutz-Grundverordnung in den kommenden Monaten genau prüfen, ob und wo Änderungsbedarf besteht, und Proalpha ERP entsprechend erweitern“, ergänzt Gunnar Schug.

Unternehmen skeptisch

Das Marktforschungsunternehmen Ovum befragte weltweit 366 IT-Entscheider zu den anstehenden Änderungen durch die EU-Datenschutz-Grundverordnung. Die meisten Unternehmen bewerten das Vorhaben tendenziell kritisch: So rechnen 79 Prozent der deutschen Betriebe mit einem Kostenanstieg. Mehr als 30 Prozent gehen dabei sogar von mehr als 10 Prozent in den nächsten beiden Jahren aus.

Die Anforderungen werden dabei als komplex eingeschätzt. So komplex, dass 38 Prozent der Befragten bei der Umsetzung auf externe Experten setzen. 58 Prozent befürchten, dass sie nicht in der Lage sein werden, die hohen Anforderungen zu erfüllen.

Dass die Materie nicht zu unterschätzen ist, weiß auch IT-Fachanwalt Dr. Gessner: „Personenbezogene Daten dürfen künftig nur in Übereinstimmung mit der Datenschutz-Grundverordnung verarbeitet werden. Unternehmen sind verpflichtet, dies durch geeignete technische und organisatorische Maßnahmen sicherzustellen. Und sie müssen dies auch nachweisen können.

Die einzelnen Bestimmungen sehen hierfür teils sehr umfassende Auskunfts-, Melde-, Dokumentations- und Berichtspflichten vor. Werden beispielsweise im Zuge der Datenverarbeitung Personen systematisch und regelmäßig beobachtet, ist ein Datenschutzbeauftragter zu benennen. Wir empfehlen Unternehmen, sich bei Bedarf von spezialisierten Beratern bei der Umsetzung begleiten zu lassen.“


Anzeige

Das könnte Sie auch interessieren

Anzeige
Anzeige

Newsletter bestellen

Immer auf dem Laufenden mit dem SCOPE Newsletter

Aktuelle Unternehmensnachrichten, Produktnews und Innovationen kostenfrei in Ihrer Mailbox.

AGB und Datenschutz gelesen und bestätigt.
Zur Startseite