EU sorgt für Datenschutz-Stress bei IT-Managern

Langsam wird es ernst: Wenn die zuständigen Stellen demnächst die EU-Datenschutzverordnung beschließen, werden die Rechte der Verbraucher in Sachen Datenschutz enorm gestärkt. Unternehmen in ganz Europa müssen sich dann auf eine ganze Reihe neuer Anforderungen einstellen, die nur ein Ziel haben: Die Daten der Kunden zu schützen. Schon im Herbst dieses Jahres könnte das EU-Parlament die Regelung verabschieden.

Einen entsprechenden Entwurf hatten die Parlamentarier schon am 12. März für gut befunden und verabschiedet. Spätestens zwei Jahre nach Beschluss der Datenschutzverordnung würde diese in Kraft treten und damit auch für die Unternehmen verpflichtend werden.

Zwei Jahre, das klingt nach einer langen Zeit. Doch viele Änderungen benötigen intensive Vorbereitungen – nicht nur in den IT-Abteilungen der Organisationen. Deshalb könnten zwei Jahre auch sehr kurz sein.

Die wichtigsten Punkte der EU-Datenschutzverordnung

Das sind die wichtigsten Änderungen in der geplanten EU-Datenschutzverordnung:

● Bürger haben das Recht auf Informationen, wie das jeweilige Unternehmen mit ihren Daten umgeht, Unternehmen haben eine Auskunftspflicht. Sie müssen beispielsweise angeben, wie lange sie die Kundendaten speichern.

● Größere Unternehmen, die Datensätze von mehr als 5000 Kunden verarbeiten, benötigen einen Datenschutzbeauftragten.

Die EU-Kommission will Unternehmen und IT-Manager davon überzeugen, dass besserer Datenschutz für die Kunden am Ende auch bessere Geschäfte bedeutet.

Anspruch auf Schadensersatz

● Bei Sicherheitslücken oder Datenpannen müssen die Betroffenen und die Aufsichtsbehörde sofort verständigt werden. Eine E-Mail, die Wochen oder Monate nach der Datenschutzpanne versendet wird, reicht nicht mehr.

● Von Datenschutzpannen Betroffene haben künftig sogar Anspruch auf immateriellen Schadensersatz.

● Unternehmen müssen ihre Datenschutz-Politik nachweisen können. Sie müssen organisatorische und technische Maßnahmen ergreifen, damit die Systeme, die personenbezogene Daten verarbeiten und die damit verbundenen Geschäftsprozesse in Hinsicht auf den Datenschutz besonders sicher sind. Die Datenschutz-Politik muss alle zwei Jahre überprüft und gegebenenfalls überarbeitet werden.

● Auch nicht-europäische Unternehmen, deren Firmensitz außerhalb der EU liegt, müssen sich an die EU-Regeln halten. Sie können also nicht ohne weiteres Kundendaten an Dritte weitergeben.

● Es gibt eine zentrale Aufsichtsbehörde in der EU, die die Einhaltung der Regeln überwacht.

Mehr Datenschutz für Kinder

● Dazu gehört auch, dass die Zuständigen im Unternehmen vor (!) der Speicherung und Verarbeitung der Daten eine Analyse der Risiken und der möglichen Folgen einer Panne durchführen müssen. Diese Risikoanalyse muss wiederum kontinuierlich überprüft und aktualisiert werden.

● Der Datenschutz von Kindern unter 13 Jahren wird gestärkt. Deren Angaben dürfen nur gespeichert werden, wenn die Eltern ihre Einwilligung gegeben haben.

● Das Unternehmen muss angeben, wie es die Daten verarbeitet und wie Betroffene ihr Recht, beispielsweise das Recht auf Löschung der Daten ausüben können. Diese Angaben müssen leicht verständlich und für die Kunden gut sichtbar sein.

● Das Unternehmen muss zudem Möglichkeiten oder Verfahren einrichten, mit deren Hilfe Bürger oder Kunden die sie betreffenden Auskünfte verlangen oder eine Löschung der Daten beantragen können.

● Die Organisationen sind sogar verpflichtet, den Kunden die Datensätze auf Anfrage zur Verfügung zu stellen.

Drastische Bußgelder

Eine ganze Menge anspruchsvoller Regeln also, die so manchen IT-Verantwortlichen ins Schwitzen bringen könnten. Manager, die glauben, die Regeln der EU-Bürokratie gar nicht so ernst nehmen zu müssen, sollten einen Blick auf die möglichen Bußgelder werfen.

Bei Verstößen gegen die Regeln der EU-Datenschutzverordnung werden empfindliche Strafen fällig. Das Bußgeld könnte bis zu 100 Millionen Euro oder 5 Prozent des weltweiten Jahresumsatzes des Unternehmens betragen. Gerade für Firmen, die viel Umsatz, aber vergleichsweise wenig Gewinn machen, könnten solche Bußgelder die Existenz bedrohen. Der vollständige Entwurf der geplanten Datenschutzverordnung ist auf dieser Seite der EU-Kommission nachzulesen.

Sicher ist noch nichts endgültig beschlossen und es kann in den Verhandlungen zwischen EU-Parlament, EU-Kommission und den Vertretern der 28 Mitgliedstaaten noch die ein oder andere Regelung entschärft werden. Doch in Grundzügen wird die EU-Datenschutzverordnung wohl so kommen, wie sie jetzt als Entwurf vorliegt. Und Viviane Reding, die für dieses Thema zuständige EU-Kommissarin (Ressort Justiz, Grundrechte und Bürgerschaft) hat bereits deutlich gemacht, dass sie für die Durchsetzung der Verordnung kämpfen wird.

Wenig Zeit für die Umstellung

Das Topmanagement in Unternehmen sollte sich also frühzeitig darauf einstellen und vorbereiten. Allerdings hapert es gerade in diesem Punkt noch etwas. Nach einem aktuellen Report des Sicherheitsspezialisten Trend Micro sind viele Unternehmen in Europa noch nicht ausreichend vorbereitet. So sei insgesamt nur 64 Prozent der europäischen Firmen überhaupt bewusst, dass eine Datenschutzverordnung auf sie zukommt. In Deutschland sind es immerhin 87 Prozent.

Allerdings glauben nur 13 Prozent der deutschen Organisationen, dass sie “sehr gute” Kenntnisse der EU-Datenschutz-Grundverordnung hätten. 41 Prozent halten ihren Wissensstand für gut und 40 Prozent für “befriedigend”.

Viele Unternehmen sehen Schwierigkeiten bei der zeitnahen Umsetzung der neuen Regeln. Dabei sind die Deutschen sogar etwas zuversichtlicher. Nur 36 Prozent der deutschen IT-Manager glauben, dass die Zeit von ein oder zwei Jahren nicht ausreichend sei, Compliance mit den neuen Regeln herzustellen. Weiter heißt es in dem Trend-Micro-Report, dass “36 Prozent der deutschen Unternehmen der mangelhafte IT-Sicherheitsschutz die größte Herausforderung beim Thema Compliance” sei.

Die Studie hat Trend Micro gemeinsam mit dem britischen Marktforschungsunternehmen Vanson Bourne durchgeführt. Dabei wurden im April 2014 europaweit 850 IT-Verantwortliche befragt, darunter 100 aus Deutschland.

Nur 64 Prozent der Unternehmen in Europa sind sich bewusst, was mit der Datenschutzverordnung der EU auf sie zukommt (Grafik: Trend Micro).

Stellungnahme des Bitkom

Ein Teil des Missvergnügens bei den Plänen für die EU-Datenschutzverordnung, ist darauf zurückzuführen, dass Unternehmen die Mehrausgaben für den Datenschutz fürchten. Diese Art von Skepsis klingt beispielsweise bei einer Stellungnahme des Branchenverbands Bitkom durch. Zwar vermeidet man offene Kritik am geplanten Datenschutzrecht – wer will schließlich schon zugeben, dass er Datenschutz für nicht so wichtig hält. Doch der Verband fordert, das “europäische Datenschutzrecht müsse an die Erfordernisse des digitalen Zeitalters angepasst werden, damit die Möglichkeiten der modernen Datenverarbeitung für den wirtschaftlichen und gesellschaftlichen Fortschritt in Europa genutzt werden können.”

Da klingt die Sorge durch, die Datenschutzverordnung könnte zu einseitig an den Bedürfnissen der Verbraucher orientiert sein. Böse Zungen mutmaßen, die kritische Stellungnahme des Bitkom sei auch darauf zurückzuführen, dass dessen zahlende Mitglieder wie IBM, Amazon, Adobe oder Microsoft von der drastischen Verschärfung der europäischen Datenschutzregeln ganz und gar nicht begeistert sind. Allerdings argumentiert die EU-Kommission genau andersherum. Sie verweist darauf, dass ein funktionierender Datenschutz das Vertrauen der Bürger in Onlineshops und Dienstleistungen aus dem Web wieder verbessern und damit letztlich den Umsatz der Anbieter ankurbeln könne.

Günter Untucht, europäischer Chefjustiziar bei Trend Micro, will dabei aber auch die Politik und die Regierungen in die Pflicht nehmen. Diese sollten nun “Beratungsstellen einrichten, die Unternehmen dabei helfen, die Bedeutung der Gesetzgebung zu verstehen und auch, welche Technik und Prozesse einzuführen sind.” Ob die Politiker das auch so sehen und den Unternehmen bei der Vorbereitung auf die EU-Datenschutzverordnung zur Seite springen, wird man sehen. IT-Manager sollten sich nicht darauf verlassen. Denn die Sache mit dem Datenschutz wird langsam ernst.

Tipp der Redaktion: Max Schrems war vor drei Jahren Jurastudent in Wien – einer von vielen. Das änderte sich, nachdem er durch seine Klage gegen Facebook bekannt geworden war. Er warf dem Konzern vor, zu emsig Daten zu sammeln. Mit “Kämpf um deine Daten” hat er jetzt sein erstes Buch vorgelegt – ein Weckruf für alle Internet-Nutzer.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

View Comments

Recent Posts

Sophos: Automotive-Lieferant wird dreimal Opfer von Cybererpressern

Innerhalb von rund zwei Wochen kompromittieren die Gruppen LockBit, Hive und BlackCat das Netzwerk. Anscheinend…

3 Stunden ago

Deutsche Telekom bleibt auf Kurs

Konzernumsatz klettert zwischen April und Juni um fast sechs Prozent auf rund 28 Milliarden Euro.

4 Stunden ago

Cisco meldet Hackerangriff

Unbekannte dringen in das Netzwerk des Unternehmens ein. Zuvor hacken sie das Google-Konto eines Cisco-Mitarbeiters…

5 Stunden ago

Im Blindflug in Richtung Nachhaltigkeit

Eine Mehrheit der deutschen Unternehmen will klimaneutral werden. Aber wie? Für eine Antwort fehlen ihnen…

19 Stunden ago

Unternehmen unterschätzen Cyberrisiken durch vernetzte Partner und Lieferanten

Firmen stufen Sicherheitsrisiken ihrer Partner in digitalen Ökosystemen und Lieferketten als wenig besorgniserregend ein.

20 Stunden ago

Silicon DE im Fokus Podcast: Microsoft und der Mittelstand

Im Silicon DE Podcast erläutert Oliver Gürtler, Leiter des Mittelstandsgeschäfts bei Microsoft Deutschland, im Gespräch…

22 Stunden ago