Sie kommt. Mit Riesenschritten. Sie betrifft uns alle. Und nur die wenigsten haben von ihr gehört: Die Europäische Datenschutzgrundverordnung (EU-DSGVO)! Sie ist zwar schon zwei Jahre alt, aber erst jetzt am 25. Mai wird sie „scharf gestellt“.
Datenschutz matters!
Wir haben uns ja eigentlich schon damit abgefunden, dass die Datenschutzrechte Einzelner immer weiter eingeschränkt werden. Doch diesmal ist es andersrum, weswegen es für jeden einzelnen von uns von größtem Interesse sein sollte, was da genau drinsteht. Schon von Berufs wegen muss ich mich damit beschäftigen, und bei meinen Recherchen bei allen, die von der Umsetzung betroffen sind, stellte ich fest, dass der Anteil derjenigen, die diesbezüglich nichts bzw. kaum was umgesetzt haben erschreckend groß ist. Zur Erinnerung, es sind nur noch gut zwei Monate, bis zur definitiven Deadline!
Übertriebene Panik? Kaum, denn die Strafen bei Nichtumsetzung haben sich gewaschen: 20 Millionen € oder 4% des weltweiten Umsatzes. Die höhere Summe zählt. In der Realität werden die Strafen wohl eh nicht ganz so hoch sein, aber für ein kleines oder mittelständisches Unternehmen können auch 10.000 € ein Desaster darstellen. Die Höhe richtet sich danach, ob der Betroffene seinen Schaden nachweisen kann.
Also schauen wir mal rein. Mal sehen was diese DSGVO bringt.
„Allgemeine Grundsätze”
Alles dreht sich um die „Allgemeinen Grundsätze“ des neuen Datenschutzes:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Rechenschaftspflicht des Verantwortlichen
Alle im Folgenden beschriebenen rechtlichen und technischen Maßnahmen drehen sich darum, diese Grundsätze einzuhalten. Wer jetzt denkt „easy-peasy“, gehört zu den rund 80%, die Datenschutz bisher auf die leichte Schulter genommen haben. Besonders in KMUs, Vereinen und „traditionell lokalen“ Unternehmen hat sich ein gemütliches, der Praxis unterworfenen Verhalten etabliert. Die Versendung, und Aufbewahrung von Versandlisten, Krankenständen, Bankdaten, Bestelllisten und vielem mehr, wurden bisher oft hemdsärmelig unbürokratisch gehandhabt. Wer auch immer gerade im Büro Zeit hat, greift auf die Excel-Tabelle zu, kopiert sie oder verschickt sie unverschlüsselt per Mail an den, der sie braucht. Die Krankschreibung wird in dem Ordner im unverschlossenen Schrank abgelegt, offen zugänglich für jeden, der im unbewachten Moment vorbeikommt. Kontaktdaten werden laut hörbar am Telefon besprochen. Die allgemeine Denke war immer, dass das ja eh keinen interessiert. Die DSGVO dreht den Spieß um: Es geht nicht darum, ob jemand Interesse an der illegalen Beschaffung von Daten hat, sondern dass die Daten Privateigentum der betroffenen Personen sind. Und wie jedes Privateigentum bedarf es eines verantwortungsvollen Schutzes. Wie dieser Schutz in der Praxis funktionieren soll, ohne die Betriebsabläufe zu stark zu behindern, stellt eine Herausforderung dar, die nur mit viel Organisation, Papierkram und Technik zu lösen ist.
World Wide Web
Doch betroffen sind nicht nur europäische Unternehmen. Bisher haben sich z.B. amerikanische Tech-Firmen damit rausgeredet, dass sie in der EU keinen physischen Standort haben, weder eine Niederlassung noch einen Server. Nun reicht alleine die Tatsache, dass sie personenbezogene Daten von EU-Bürgern verarbeiten, um sie der Rechtsprechung nach DSGVO zu unterwerfen. Damit wird der Tatsache Rechnung getragen, dass das Internet klassische Rechtsräume überschreitet. Facebook wird sich genau überlegen, ob es 4% seines weltweiten Umsatzes riskieren will, weil Nutzerdaten unsachgemäß verarbeitet werden.
In den folgenden Beiträgen dieser Serie werde ich einige Aspekte dieser Grundsätze und ihre praktischen Herausforderungen beleuchten.
