Der Datenschutz in Europa erhält neue Vorzeichen: Mit der Datenschutz-Grundverordnung, die derzeit von der EU-Kommission und dem Rat der Europäischen Union diskutiert wird, müssen sich Unternehmen auf EU-einheitliche Regeln und teils weitreichende Änderungen einstellen. Das betrifft neben der Frage, wann ein Datenschutzbeauftragter bestellt werden muss, auch den Strafenkatalog bei Verstößen.
Die Eckpfeiler der Verordnung sind bereits fest zementiert. Lediglich an den Details wird noch gefeilt. Damit sollte jedem Unternehmen klar sein: 2015 gelten neue, strengere Rahmenbedingungen. Grund genug, sich jetzt schon mit den Neuerungen zu befassen.
Besonders einschneidend sind die Pläne zu den Sanktionen bei Datenschutzverstößen. Gleichen die Maßnahmen der Behörden bislang eher einem Klaps auf die Finger, können künftig Bußgelder von bis zu 100 Millionen oder fünf Prozent des Konzernumsatzes – es zählt der jeweils höhere Betrag – verhängt werden. Die exakten Summen stehen noch zur Debatte, ebenso die Ausnahmeregeln. Sicher ist allerdings, dass es deutlich teurer wird, den Datenschutz auf die leichte Schulter zu nehmen.
Profitieren von der neuen Verordnungen sollen daher vor allem Unternehmen, die sich aktiv um den Datenschutz bemühen.
Artikel 39 sieht diesbezüglich ein europäisches Datenschutz Siegel vor. Welche Voraussetzungen dafür erfüllt sein müssen und wie das Siegel aussehen könnte, steht noch nicht fest. Geplant ist, dass Unternehmen mit entsprechender Zertifizierung nur noch Sanktionen fürchten müssen, wenn sie fahrlässig oder vorsätzlich gegen die Datenschutz-Grundverordnung verstoßen. Auch, wenn die Organisation und Abläufe rund um den Datenschutz als angemessen erachtet werden, kann sich das laut aktuellem Entwurf strafmildernd auswirken. Heißt: Effektiver Datenschutz zahlt sich aus.
Beachten sollten Unternehmen darüber hinaus, dass die Einführung eines Verbandsklagerechts vorgesehen ist. Damit haben Verbraucherschutzorganisationen die Möglichkeit, Firmen abzumahnen oder eine Unterlassungsklage einzureichen, sollten (personenbezogene) Daten rechtswidrig verwendet werden. Umso wichtiger wird es sein, zeitnah auf Anfragen von Betroffenen zu reagieren und die Abläufe bei Beschwerden zu optimieren.
Ob ein Datenschutzbeauftragter benannt werden muss, der auf die Einhaltung der Datenschutzbestimmungen hinwirkt, richtet sich künftig nicht mehr nach der Zahl der Mitarbeiter. Maßgeblich wird die Menge an Datensätzen sein, die binnen eines Jahres verarbeitet wird. Die Grenze wird im derzeitigen Entwurf bei 5.000 Datensätzen gezogen. Damit wären künftig weit mehr Unternehmen in der Pflicht. Das Recht auf Vergessen bzw. das Recht auf Löschung, sofern Daten ohne einen Rechtsfertigungsgrund publiziert wurden, dürfte nach aktuellem Sachstand hingegen nur wenige Firmen tangieren.