i

Steigende geschäftliche Risiken durch verschärfte Datenschutzrichtlinien

Im Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft.

Während digitale Ökosysteme und die Bedrohungen, die sie erzeugen, treibende Kräfte für die Entwicklungen von Cybersecurity sind, ziehen technologische Entwicklungen ebenso regulatorische Maßnahmen weltweit nach sich. Diese Änderungen in der Gesetzgebung ebnen den Weg für Durchsetzungsmaßnahmen, Sammelklagen und Kontrollregelungen auf einem Rekord-Niveau.

Eine der einflussreichsten Regelungen ist die neue EU-Datenschutzgrundverordnung (EU-DSGVO), die nach zwei Jahren Übergangsphase am 25. Mai 2018 wirksam wird. Sie wird deutlich steigende Anforderungen an die Einhaltung der Privatsphäre stellen. Dies bringt einen ganz neuen Fokus auf den Datenschutz für Firmen mit sich: Unternehmen, die sich nicht an die EU-DSGVO halten, können mit Strafen von bis zu 4% des globalen Jahresumsatzes belegt werden.

Das in Artikel 18 der DSGVO geregelte Recht auf Datenportabilität ist eine echte Neuerung, aus der ein Anspruch des Betroffenen auf Herausgabe seiner im Rahmen eines Vertrages oder einer Einwilligung übertragenen personenbezogenen Daten vom Vertragspartner in einem „strukturierten, gängigen und maschinenlesbaren Format“ zu erhalten. Der Nutzer wird sogar verlangen können, dass der bisherige Verwender seiner Daten diese direkt an den neuen Anbieter übermittelt – soweit technisch möglich. Aus dieser Regelung werden sich nachhaltige Konsequenzen für die Interoperabilität von Systemen ergeben.

Artikel 23 wiederum verpflichtet die Hersteller zu datenschutzfreundlichen Grundeinstellungen und von „Privacy by Design“. Auch hier sind sicher grundlegende Veränderungen im Bereich der eingesetzten Software zu erwarten, um dieser Anforderung gerecht werden zu können.

Als Unternehmen sind Sie zukünftig verpflichtet, den Nachweis zu erbringen, dass Sie, je nach Art der Daten, „geeignete technische und organisatorische Maßnahmen“ ergriffen haben, um sicherzustellen und den Nachweis dafür zu erbringen., dass personenbezogene Daten in Übereinstimmung mit den neuen EU-Regelungen verarbeitet werden. Bisher musste ein Betroffener vor Gericht selbst den Nachweis erbringen, dass das Unternehmen oder die Behörde als verantwortliche Stelle für eine fehlerhafte Verarbeitung von Daten haftbar ist. Nun kommt es defacto zu einer Beweislastumkehr, was von vielen Unternehmen bisher nicht berücksichtigt wurde.

Die DSGVO wird zukünftig jedoch Methoden bereitstellen, um die Einhaltung dieser Rechenschaftspflichten zu vereinfachen, insbesondere durch Zertifizierungsverfahren oder genehmigte Verhaltensregeln. So lässt sich die Einhaltung der Pflichten nach aussen besser dokumentieren.

Auch hinsichtlich der Datensicherheit erfolgen neue Vorgaben durch die DSGVO. Es bleibt zwar dabei, dass Unternehmen abhängig vom Schutzbedarf der Daten und der wirtschaftlichen Zumutbarkeit technische und organisatorische Maßnahmen zur Datensicherheit zu treffen haben. Zu gewährleisten ist nun aber zusätzlich die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, mit denen personenbezogene Daten verarbeitet werden. Denkbar ist etwa eine Zertifizierung nach derzeit aktuellen Standards der Informationssicherheit wie der internationalen Norm ISO/IEC 27001.

Die DSGVO sieht außerdem vor, dass Unternehmen künftig bei risikobehafteten Datenverarbeitungen eine „Datenschutz-Folgenabschätzung“ nach bestimmten Kriterien durchzuführen haben. Doch nicht nur das: Falls sich aus der Folgenabschätzung ergibt, dass ein Risiko für die Betroffenen besteht, müssen Unternehmen oder Behörden die für sie zuständige Aufsichtsbehörde darüber informieren. Diese soll dann binnen acht Wochen schriftliche Empfehlungen an das Unternehmen zur Risikominimierung geben; sie darf die Datenverarbeitung aber auch untersagen.

Compliance mit der EU-Datenschutzgrundverordnung wird also für viele Unternehmen eine Herausforderung sein, für die nur proaktiv agierende Unternehmen gewappnet sein werden. So ist ein fortgesetzter Compliance-Monitoring-Prozess unabdingbar, um sich vor hohen Schadenersatzforderungen und existenzbedrohenden Strafen zu schützen.

In anderen Ländern ist ebenfalls mit harten Strafen bei Verstössen gegen Datenschutzrichtlinien zu rechnen:

  • In Südkoreas „Personal Information Protection Act“ (PIPA) werden Strafen von bis zu 100 Millionen KRW (entspricht ca. 88.000 USD) und/oder bis zu 10 Jahren Gefängnis angedroht.
  • In Honkong Strafen von bis zu einer Million Hongkong-Dollar, also ca. 130.000 USD und Gefängnis von bis zu 5 Jahren angekündigt.

Sie sollten also als im Ausland tätiger Unternehmer stets auch die lokal geltenden Richtlinien für den Datenschutz beachten, wenn Sie internationale Geschäfte tätigen.

Weitere Informationen zum Thema erhalten Sie unter www.datenschutz.org.

Herzlichst

Ihr Olaf Köster

Schreiben Sie uns!

Senden Sie uns einfach eine Mail. Wir antworten Ihnen schnellstmöglich!

Cookie Präferenzen

Bitte wählen Sie eine Option. Sie erhalten weitere Informationen über die Konsequenzen Ihrer Auswahl auf Hilfe.

Wählen Sie, um fortzufahren.

Ihre Auswahl wurde gespeichert!

Hilfe

Hilfe

Um fortzufahren müssen Sie eine Auswahl treffen. Unten finden Sie eine Erklärung zu den verschiedenen Optionen und ihrer Bedeutung.

  • Alle Cookies (inklusive Drittanbietern) akzeptieren:
    Alle Cookies wie zum Beispiel auch Tracking und Analytics Codes von Facebook oder Google.
  • Nur notwendige Cookies zulassen:
    Nur Cookies von dieser Website. Es werden KEINE Cookies von Drittanbietern gesetzt.
  • Keine Cookies zulassen:
    Keine Cookies ausser jenen, die zum technischen Betrieb der Website zwingend erforderlich sind.

Sie können Ihre Cookie Einstellunge jederzeit hier ändern: Datenschutzerklärung.

Zurück

security lupe