Neuer EU-Datenschutz kommt

Die Übergangsphase ist bald vorbei. Im Mai 2018 tritt die neue EU- Datenschutzgrundverordnung in Kraft. Ist Ihre IT gewappnet?

Wie so oft streiten sich bei der neuen Regelung, die im Mai 2016 beschlossen wurde und nun zwei Jahre später Anwendung findet, die Gemüter stark. Während die eine Seite die neue Verordnung lobt, bezweifelt die andere ihre tatsächliche Wirkung. Und die Verunsicherung bei Firmen ist groß. Was muss nun tatsächlich geändert werden?

Vereinfacht könnte man die Quintessenz der neuen Datenschutzgrundverordnung wie folgt beschreiben: Firmen müssen mehr über ihre Datenverarbeitung wissen. Und dies gilt sowohl nach außen gegenüber den Verbrauchern als auch intern. Denn nur wer genau weiß, nach welchen Prozessen die eigene Datenverarbeitung abläuft, wie die Zugänge geregelt sind und wo sich die Daten genau befinden, kann auch den neuen Anforderungen gerecht werden.

Insbesondere auf den Informationsfluss bei Angriffen auf die Datensicherheit wird in Zukunft großen Wert gelegt. Es wird nicht mehr davon ausgegangen, dass sich Datenangriffe in unserer heutigen Zeit gänzlich vermeiden lassen. Die Forderung lautet jedoch, dass Firmen sowohl die Aufsichtsbehörden als auch die Betroffenen ohne Verzögerung umgehend über die Vorfälle informieren. Darüber hinaus müssen sie die Betroffenen verständlich und umfassend aufklären. Eine kurze Meldung mit einem Hinweis auf eine technische Störung genügt dabei keineswegs. Weitere von der neuen Datenschutzgrundverordnung betroffene Themen sind beispielsweise der Beschäftigtendatenschutz, die Einwilligung von Kindern unter 16 Jahren und die Bereitstellung eines Datenschutzbeauftragten bei Unternehmen mit mehr als neun Beschäftigten.

Besondere Erwähnung findet auch das Recht des Vergessenwerdens – obgleich dies bereits im deutschen Datenschutzrecht enthalten ist. Gibt es keine legitimen Gründe zur Speicherung der Daten, dürfen Betroffene die Löschung ihrer Daten einfordern. Hier kann es für Unternehmen zu technischen Herausforderungen für entsprechende Löschverfahren kommen.

Welche Richtlinien sich nun in Hinblick auf das bestehende deutsche Recht wirklich ändern und welche gleichbleiben, erfährt man in Ratgebern und offiziellen EU-Dokumenten im Netz. Experten raten Unternehmen, ob klein, mittel oder groß, sich bereits jetzt mit dem Thema auseinandersetzen, um dann im Mai nächsten Jahres für das Inkrafttreten gerüstet zu sein. Bei Verstößen drohen teilweise hohe Strafen. Und wie viele wohl aus Erfahrung wissen, kann die Neugestaltung von IT-Prozessen einige Zeit dauern – 10 Monate sind da schnell vergangen.