EU sorgt für Datenschutz-Stress bei IT-Managern

Vorhängeschlösser (Bild: Mehmet Toprak)

Schon im Herbst könnte die EU-Datenschutzverordung verabschiedet werden. Sie sieht einheitliche Datenschutzregeln in ganz Europa vor. Bei Verstößen drohen drastische Strafen. silicon.de erklärt, was auf IT-Manager zukommt.

Langsam wird es ernst: Wenn die zuständigen Stellen demnächst die EU-Datenschutzverordnung beschließen, werden die Rechte der Verbraucher in Sachen Datenschutz enorm gestärkt. Unternehmen in ganz Europa müssen sich dann auf eine ganze Reihe neuer Anforderungen einstellen, die nur ein Ziel haben: Die Daten der Kunden zu schützen. Schon im Herbst dieses Jahres könnte das EU-Parlament die Regelung verabschieden.

Einen entsprechenden Entwurf hatten die Parlamentarier schon am 12. März für gut befunden und verabschiedet. Spätestens zwei Jahre nach Beschluss der Datenschutzverordnung würde diese in Kraft treten und damit auch für die Unternehmen verpflichtend werden.

Zwei Jahre, das klingt nach einer langen Zeit. Doch viele Änderungen benötigen intensive Vorbereitungen – nicht nur in den IT-Abteilungen der Organisationen. Deshalb könnten zwei Jahre auch sehr kurz sein.

Die wichtigsten Punkte der EU-Datenschutzverordnung

Das sind die wichtigsten Änderungen in der geplanten EU-Datenschutzverordnung:

● Bürger haben das Recht auf Informationen, wie das jeweilige Unternehmen mit ihren Daten umgeht, Unternehmen haben eine Auskunftspflicht. Sie müssen beispielsweise angeben, wie lange sie die Kundendaten speichern.

● Größere Unternehmen, die Datensätze von mehr als 5000 Kunden verarbeiten, benötigen einen Datenschutzbeauftragten.

Die EU-Kommission will Unternehmen und IT-Manager davon überzeugen, dass besserer Datenschutz für die Kunden am Ende auch bessere Geschäfte bedeutet.
Die EU-Kommission will Unternehmen und IT-Manager davon überzeugen, dass besserer Datenschutz für die Kunden am Ende auch bessere Geschäfte bedeutet.

Anspruch auf Schadensersatz

● Bei Sicherheitslücken oder Datenpannen müssen die Betroffenen und die Aufsichtsbehörde sofort verständigt werden. Eine E-Mail, die Wochen oder Monate nach der Datenschutzpanne versendet wird, reicht nicht mehr.

● Von Datenschutzpannen Betroffene haben künftig sogar Anspruch auf immateriellen Schadensersatz.

● Unternehmen müssen ihre Datenschutz-Politik nachweisen können. Sie müssen organisatorische und technische Maßnahmen ergreifen, damit die Systeme, die personenbezogene Daten verarbeiten und die damit verbundenen Geschäftsprozesse in Hinsicht auf den Datenschutz besonders sicher sind. Die Datenschutz-Politik muss alle zwei Jahre überprüft und gegebenenfalls überarbeitet werden.

● Auch nicht-europäische Unternehmen, deren Firmensitz außerhalb der EU liegt, müssen sich an die EU-Regeln halten. Sie können also nicht ohne weiteres Kundendaten an Dritte weitergeben.

● Es gibt eine zentrale Aufsichtsbehörde in der EU, die die Einhaltung der Regeln überwacht.

Mehr Datenschutz für Kinder

● Dazu gehört auch, dass die Zuständigen im Unternehmen vor (!) der Speicherung und Verarbeitung der Daten eine Analyse der Risiken und der möglichen Folgen einer Panne durchführen müssen. Diese Risikoanalyse muss wiederum kontinuierlich überprüft und aktualisiert werden.

● Der Datenschutz von Kindern unter 13 Jahren wird gestärkt. Deren Angaben dürfen nur gespeichert werden, wenn die Eltern ihre Einwilligung gegeben haben.

● Das Unternehmen muss angeben, wie es die Daten verarbeitet und wie Betroffene ihr Recht, beispielsweise das Recht auf Löschung der Daten ausüben können. Diese Angaben müssen leicht verständlich und für die Kunden gut sichtbar sein.

● Das Unternehmen muss zudem Möglichkeiten oder Verfahren einrichten, mit deren Hilfe Bürger oder Kunden die sie betreffenden Auskünfte verlangen oder eine Löschung der Daten beantragen können.

● Die Organisationen sind sogar verpflichtet, den Kunden die Datensätze auf Anfrage zur Verfügung zu stellen.

Drastische Bußgelder

Eine ganze Menge anspruchsvoller Regeln also, die so manchen IT-Verantwortlichen ins Schwitzen bringen könnten. Manager, die glauben, die Regeln der EU-Bürokratie gar nicht so ernst nehmen zu müssen, sollten einen Blick auf die möglichen Bußgelder werfen.

Bei Verstößen gegen die Regeln der EU-Datenschutzverordnung werden empfindliche Strafen fällig. Das Bußgeld könnte bis zu 100 Millionen Euro oder 5 Prozent des weltweiten Jahresumsatzes des Unternehmens betragen. Gerade für Firmen, die viel Umsatz, aber vergleichsweise wenig Gewinn machen, könnten solche Bußgelder die Existenz bedrohen. Der vollständige Entwurf der geplanten Datenschutzverordnung ist auf dieser Seite der EU-Kommission nachzulesen.

Sicher ist noch nichts endgültig beschlossen und es kann in den Verhandlungen zwischen EU-Parlament, EU-Kommission und den Vertretern der 28 Mitgliedstaaten noch die ein oder andere Regelung entschärft werden. Doch in Grundzügen wird die EU-Datenschutzverordnung wohl so kommen, wie sie jetzt als Entwurf vorliegt. Und Viviane Reding, die für dieses Thema zuständige EU-Kommissarin (Ressort Justiz, Grundrechte und Bürgerschaft) hat bereits deutlich gemacht, dass sie für die Durchsetzung der Verordnung kämpfen wird.

Wenig Zeit für die Umstellung

Das Topmanagement in Unternehmen sollte sich also frühzeitig darauf einstellen und vorbereiten. Allerdings hapert es gerade in diesem Punkt noch etwas. Nach einem aktuellen Report des Sicherheitsspezialisten Trend Micro sind viele Unternehmen in Europa noch nicht ausreichend vorbereitet. So sei insgesamt nur 64 Prozent der europäischen Firmen überhaupt bewusst, dass eine Datenschutzverordnung auf sie zukommt. In Deutschland sind es immerhin 87 Prozent.

Allerdings glauben nur 13 Prozent der deutschen Organisationen, dass sie “sehr gute” Kenntnisse der EU-Datenschutz-Grundverordnung hätten. 41 Prozent halten ihren Wissensstand für gut und 40 Prozent für “befriedigend”.

Viele Unternehmen sehen Schwierigkeiten bei der zeitnahen Umsetzung der neuen Regeln. Dabei sind die Deutschen sogar etwas zuversichtlicher. Nur 36 Prozent der deutschen IT-Manager glauben, dass die Zeit von ein oder zwei Jahren nicht ausreichend sei, Compliance mit den neuen Regeln herzustellen. Weiter heißt es in dem Trend-Micro-Report, dass “36 Prozent der deutschen Unternehmen der mangelhafte IT-Sicherheitsschutz die größte Herausforderung beim Thema Compliance” sei.

Die Studie hat Trend Micro gemeinsam mit dem britischen Marktforschungsunternehmen Vanson Bourne durchgeführt. Dabei wurden im April 2014 europaweit 850 IT-Verantwortliche befragt, darunter 100 aus Deutschland.

Nur 64 Prozent der Unternehmen in Europa sind sich bewusst, was mit der Datenschutzverordnung der EU auf sie zukommt (Grafik: Trend Micro).
Nur 64 Prozent der Unternehmen in Europa sind sich bewusst, was mit der Datenschutzverordnung der EU auf sie zukommt (Grafik: Trend Micro).

Stellungnahme des Bitkom

Ein Teil des Missvergnügens bei den Plänen für die EU-Datenschutzverordnung, ist darauf zurückzuführen, dass Unternehmen die Mehrausgaben für den Datenschutz fürchten. Diese Art von Skepsis klingt beispielsweise bei einer Stellungnahme des Branchenverbands Bitkom durch. Zwar vermeidet man offene Kritik am geplanten Datenschutzrecht – wer will schließlich schon zugeben, dass er Datenschutz für nicht so wichtig hält. Doch der Verband fordert, das “europäische Datenschutzrecht müsse an die Erfordernisse des digitalen Zeitalters angepasst werden, damit die Möglichkeiten der modernen Datenverarbeitung für den wirtschaftlichen und gesellschaftlichen Fortschritt in Europa genutzt werden können.”

Da klingt die Sorge durch, die Datenschutzverordnung könnte zu einseitig an den Bedürfnissen der Verbraucher orientiert sein. Böse Zungen mutmaßen, die kritische Stellungnahme des Bitkom sei auch darauf zurückzuführen, dass dessen zahlende Mitglieder wie IBM, Amazon, Adobe oder Microsoft von der drastischen Verschärfung der europäischen Datenschutzregeln ganz und gar nicht begeistert sind. Allerdings argumentiert die EU-Kommission genau andersherum. Sie verweist darauf, dass ein funktionierender Datenschutz das Vertrauen der Bürger in Onlineshops und Dienstleistungen aus dem Web wieder verbessern und damit letztlich den Umsatz der Anbieter ankurbeln könne.

Günter Untucht, europäischer Chefjustiziar bei Trend Micro, will dabei aber auch die Politik und die Regierungen in die Pflicht nehmen. Diese sollten nun “Beratungsstellen einrichten, die Unternehmen dabei helfen, die Bedeutung der Gesetzgebung zu verstehen und auch, welche Technik und Prozesse einzuführen sind.” Ob die Politiker das auch so sehen und den Unternehmen bei der Vorbereitung auf die EU-Datenschutzverordnung zur Seite springen, wird man sehen. IT-Manager sollten sich nicht darauf verlassen. Denn die Sache mit dem Datenschutz wird langsam ernst.

Tipp der Redaktion: Max Schrems war vor drei Jahren Jurastudent in Wien – einer von vielen. Das änderte sich, nachdem er durch seine Klage gegen Facebook bekannt geworden war. Er warf dem Konzern vor, zu emsig Daten zu sammeln. Mit “Kämpf um deine Daten” hat er jetzt sein erstes Buch vorgelegt – ein Weckruf für alle Internet-Nutzer.