Die Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679) ist ein neuer Satz an Richtlinien, mit dem das Europäische Parlament, der Europäische Rat und die Europäische Kommission beabsichtigen, den Datenschutz für Individuen innerhalb der Europäischen Union (EU) zu stärken und zu vereinheitlichen. Die Verordnung befindet sich derzeit in einer 2-jährigen Übergangsphase und wird offiziell am 25. Mai 2018 in Kraft treten.
Die DSGVO trifft auf alle 28 Mitgliedsstaaten der EU und der personenbezogenen Daten ihrer Staatsangehörigen zu – ungeachtet dessen, ob diese innerhalb oder außerhalb der EU gesammelt, gespeichert oder verarbeitet werden. Die Verordnung zielt in erster Linie ab, die Kontrolle über die personenbezogenen Daten der Staatsangehörigen zu stärken und den Regelungsrahmen internationaler Geschäfte durch Vereinheitlichung der Steuerung personenbezogener Informationen über die EU hinweg zu vereinfachen.
Durch die neue Verordnung werden Staatsangehörige der EU eine Reihe an Rechten im Rahmen ihrer personenbezogenen Daten erlangen. Des Weiteren werden Unternehmen mit stärkeren Einschränkungen rechnen müssen, wie diese auf Informationen zugreifen und mit diesen umgehen. Im Folgenden sind die wichtigsten Veränderungen aufgelistet, die aus der DSGVO herausgehen:
Die derzeitige Definition personenbezogener Daten ist sehr weitläufig und umfasst verschiedene Typen von Information. Beispielsweise könnte eine Organisation durch Nachverfolgung und Speicherung der IP-Adresse eines Individuums „personenbezogene Informationen“ verarbeiten. Nach dem Inkrafttreten der DSGVO, müssen alle verschiedenen Arten personenbezogener Daten, die von Organisationen gesammelt und gespeichert werden, genau definiert werden.
Innerhalb der Gesetzeslage der DSGVO werden Individuen im Rahmen ihrer personenbezogenen Daten mehr Rechte eingeräumt werden. Mit Inbegriffen ist:
Die DSGVO wird Unternehmen dazu verpflichten, so wenige Daten wie nötig in einem kürzestmöglichen Zeitraum möglichst wenige zu speichern. Haben die personenbezogenen Daten ihren Zweck erfüllt, werden Unternehmen aufgefordert, diese so schnell wie möglich zu löschen. Diese Regeln sind besonders für Marketingabteilungen relevant, die allgemein große Datenmengen an Kundendaten sammeln und speichern, um deren Ziele zu erfüllen und deren Wirkungsbereich auszuweiten.
Durch die neuen Regelungen werden Organisationen dazu verpflichtet, sich eine eindeutige wie auch ausführliche Einwilligung von Individuen einzuholen, bevor ihre Daten bearbeitet und gespeichert werden können. Eine Einwilligung kann auf keine andere Art ersucht werden. Beispielsweise kann die Nichtbeantwortung einer Frage oder dessen Versäumnis durch ein Individuum nicht als Einwilligung verwendet werden. Alle Fragen, die darauf abzielen, sich die Erlaubnis eines Individuums einzuholen um auf dessen Daten zuzugreifen, diese zu bearbeiten oder zu speichern, müssen klar vorgelegt werden. Einmal eingeholt, sollte die Einwilligung als künftige Referenz innerhalb der Organisation gespeichert werden.
Die DSGVO verlangt von Organisationen, Datensicherheitsverstöße innerhalb von 72 Stunden des Vorfalls an die zuständigen Behörden und an alle betroffenen Individuen zu melden. Jegliche Datensicherheitsvorfälle müssen zeitnah analysiert, genaustens beobachtet und an die zuständigen Behörden gemeldet werden, damit diese die betroffenen Individuen dabei unterstützen, die aus dem Verstoß ihrer personenbezogener Daten resultierenden Risiken zu verringern. Angriffe auf personenbezogene Daten können häufig auftreten – sogar in namhaften Organisationen. Unerlässlich ist daher die Vorbereitung eines offiziellen Reaktionsplans, der den Vorfall rasch auflösen wird. Ein gutes Beispiel einer namhaften Organisation, dessen Daten Opfer einer Cyberattacke waren, finden Sie hier.
Einschließlich der Voraussetzung, Organisationen einen Datenschutzbeauftragten (DSB) einsetzen zu lassen, wird die DSGVO einige neue Kontrollregeln beinhalten. Der DSB wird für die Untersuchung alltäglicher Auswirkungen auf den Datenschutz seines Unternehmens zuständig sein. Im Falle einer Datenschutzverletzung liegt es in der Verantwortung des DSB, die geeigneten Behörden und alle betroffenen Individuen über den Vorfall in Kenntnis zu setzen.
Die Nichtbeachtung der neuen Verordnung kann zu schwerwiegenden Sanktionen führen. Strafen für den Verstoß gegen die Bedingungen der DSGVO können sich auf bis zu 20 Millionen Euro oder aber 4 % des weltweiten jährlichen Umsatzes einer Organisation belaufen – welcher davon auch immer größer ausfällt.