Mit der neuen Verordnung will die EU die Unternehmen für die von ihnen gespeicherten, personenbezogenen Daten stärker verantwortlich machen. Sie müssen in Zukunft nachweisen können, dass sie geeignete Maßnahmen ergriffen haben, um ihre personenbezogenen Daten zu schützen. Das gilt auch für Firmen, die ihren Hauptsitz außerhalb der EU haben, sich mit ihren Angeboten aber an europäische Bürger richten. Bei Verstößen gegen den Datenschutz drohen Strafen von bis zu vier Prozent des Jahresumsatzes sowie verstärkte Kontrollen.
Mitte Dezember vergangenen Jahres haben sich die Europäische Kommission, das Europäische Parlament und der Europäische Rat auf die Grundzüge der geplanten Datenschutz-Grundverordnung geeinigt, die voraussichtlich im Juni 2018 in Kraft treten wird. Ein endgültig ausformulierter Entwurf liegt momentan noch nicht vor. Auf Deutsch existiert jedoch seit Januar ein Vorschlag für das Gesetz, der sich bis zur Abstimmung im EU Ministerrat am 21. April höchstens noch in einigen sprachlichen Details verändern wird.
Die Datenschutz-Grundverordnung der EU ersetzt die Datenschutzrichtlinie 95/46/EG aus dem Jahr 1995. Im Unterschied zu dieser handelt es sich nicht um eine Vorgabe, die von den Parlamenten der Mitgliedsstaaten in nationales Recht umgesetzt wird. Stattdessen ist sie direkt in allen Ländern der EU gültig.
Zu den wichtigsten Regelungen der Datenschutz-Grundverordnung gehört unter anderem ein Recht auf Vergessenwerden, das jeder Person einen Anspruch auf Löschung ihrer personenbezogenen Daten einräumt. Weiterhin schreibt die Verordnung ein Recht auf Portabilität fest, das eine Möglichkeit zum Übertragen von persönlichen Daten von einem Anbieter zu einem anderen sicherstellt. Wichtig ist weiterhin die Verpflichtung, schwere Verstöße gegen den Datenschutz wie etwa einen erfolgreichen Hackerangriff unverzüglich den Behörden zu melden.
Es zeichnet sich zudem ab, dass auch die Nutzung von Cloud-Angeboten durch die Mitarbeiter in die Verantwortung der Unternehmen fällt. Wenn sie etwa personenbezogene Daten bei Cloud-Dienstleistern ablegen oder auf diesem Weg mit anderen austauschen, wird dafür in Zukunft die Firma in die Pflicht genommen werden, und zwar selbst dann, wenn es sich um keine offiziell genehmigte Nutzung, sondern um eine Form der Schatten-IT handelt. Das gilt im Übrigen auch für Mobilgeräte wie Notebooks, Tablets oder Smartphones, die von den Mitarbeitern mit nach Hause genommen werden.
Firmen sollten nach Wegen suchen, den Zugriff auf nicht autorisierte Dienste beispielsweise über entsprechende Filterregeln zu unterbinden und strikte Regelungen für den Umgang mit personenbezogenen Daten auf privat genutzten Geräten formulieren. Bei den vom Unternehmen eingesetzten Cloud-Diensten muss zudem überprüft werden, ob sie den Vorschriften der Datenschutz-Grundverordnung entsprechen.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Der ganze Artikel: Datenschutz-Grundverordnung nimmt Unternehmen in die Pflicht