EU beschließt Datenschutz-Grundverordnung: Unternehmen müssen handeln

15.04.2016

Das europäische Datenschutzrecht wird sich schon bald deutlich verändern. Früher als erwartet hat das EU Parlament am gestrigen Donnerstag die Verabschiedung der Datenschutz-Grundverordnung beschlossen. Bereits 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU wird die neue Verordnung in Kraft treten.

Idee hinter der Datenschutz-Grundverordnung

Es liegt schon eine ganze Weile zurück, als die EU grundlegend definierte, wie sowohl Unternehmen als auch öffentliche Institutionen mit personenbezogenen Daten umzugehen haben. Die derzeit noch gültige Datenschutzrichtlinie 95/45/EG, die von der Datenschutz-Verordnung abgelöst wird, stammt aus dem Jahr 1995.

Die Datenschutz-Grundverordnung ist ein wesentlicher Bestandteil der geplanten EU-Datenschutzrefom. Deren Ziel ist es, die Bürger besser zu schützen, insbesondere im Zeitalter des Internets. Die beeindruckende Entwicklung des Webs hat zu vielen Schwierigkeiten geführt, die in der alten Richtlinie unzureichend geregelt sind. In diesem Zusammenhang ist anzumerken, dass die Datenschutz-Grundverordnung keine bloße Erweiterung darstellt. Sie legt neue Rahmenbedingungen fest und wird daher einen der Grundpfeiler des künftigen Europäischen Datenschutzrechts bilden.

Ein kleiner Blick auf die Details

Das Spektrum an Neuerungen ist breit gefächert. Beispielhaft möchten wir an dieser Stelle auf das „Recht auf Vergessenwerden“ hinweisen: Wenn eine Information im Internet veröffentlicht wird, ist sie dort ggf. für immer zu finden. Dies ist problematisch, da z.B. selbst Einträge in Polizeiakten nach einigen Jahren wieder gelöscht werden.

Ein weiterer essentieller Punkt sind Rahmenbedingungen, an die sich auch Unternehmen mit Sitz außerhalb der EU halten müssen – zumindest wenn sie sich mit ihren Angeboten an EU Bürger wenden. Im Fokus stehen vor allem große Webkonzerne, wie z.B. Facebook oder Google. Auch diese Unternehmen werden europäische Datenschutzstandards einhalten müssen, sofern sie personenbezogene Daten von EU Bürgern erheben oder verarbeiten. Übrigens wird dieser Bestandteil der Datenschutz-Grundverordnung von Experten als einer der Gründe betrachtet, weshalb das Safe Harbor Abkommen in der EU gescheitert ist.

Auswirkungen für Unternehmen

Zunächst die Gute Nachricht: Obwohl die Verordnung schon bald in Kraft treten wird, sind Unternehmen nicht aufgeschmissen. Alle betroffenen Unternehmen und Institutionen haben nach dem Inkrafttreten zwei Jahre Zeit, um sich an die neuen Bedingungen vollständig anzupassen.

Die weniger schöne Nachricht lautet: Zwei Jahre mögen nach viel Zeit klingen, aber das Auswerten der neuen Anforderungen, die Überprüfung bestehender Prozesse sowie ggf. nachfolgende Anpassungen kosten Zeit. Unternehmen sollten diese Zeit nicht ungenützt verstreichen lassen. Besser ist es, sich schon jetzt Expertenrat zu holen und vorzubereiten. Gegen die künftigen Datenschutzbestimmungen sollte besser nicht verstoßen werden - die Datenschutz-Grundverordnung sieht nämlich auch vor, dass Verstöße künftig strenger geahndet werden.

Update vom 21.07.2016 - Aufgrund der EU-Datenschutzgrundverordnung sind Unternehmen dazu gezwungen, ihre datenschutzrechtlichen Prozesse umfassend anzupassen. Wir haben die wesentlichen Neuerungen zusammengetragen, sie sind auf unserer EU DSGVO Übersicht zu finden.

Sie möchten mehr erfahren? Als externer Datenschutzbeauftragter helfen wir Ihnen gerne weiter und freuen uns auf Ihren Anruf. Alternativ können Sie auch über das Kontaktformular mit uns in Verbindung treten.