Brauchen wir die neue Datenschutz-Grundverordnung?

Ich denke, dass wir die neue Datenschutz-Grundverordnung der Europäischen Union etwas differenzierter und optimistischer betrachten sollten. Wenn die neue Verordnung im Mai 2018 in Kraft tritt, ersetzt sie das undurchsichtige Dickicht aus veralteten regionalen Vorschriften, das seit der Datenschutzrichtlinie von 1995 entstand. Anstelle des Dickichts tritt ein einziges, einheitliches Gesetz, das die Rechte der EU-Bürger stärkt und die Pflichten von Organisationen, die personenbezogene Daten nutzen oder verarbeiten, in Bezug auf Datenschutz und Sicherheit klar regelt.

Die Branche hat auf die Ankündigung dieser Verordnung bisher mit Schwarzmalerei und einem gerüttelt Maß an Angst, Unsicherheit und Zweifel reagiert. Sie fühlt sich geradezu erdrückt von der zusätzlichen Last der Compliance-Vorschriften für die Organisationen, die Daten verarbeiten, sowie von den erheblich höheren Strafen für Vorschriftenverstöße. Das ist durchaus verständlich, da die Verordnung einen großen Bereich abdeckt und weitreichende Folgen hat. Die Datenschutz-Grundverordnung bringt folgende Änderungen mit sich:

  • EU-Bürger erhalten umfangreichere Rechte, auf die sie betreffenden personenbezogenen Daten zuzugreifen, sie zu korrigieren bzw. zu löschen. Das gilt auch dann, wenn die Daten nicht innerhalb eines EU-Mitgliedsstaates verarbeitet werden.
  • Datenverantwortliche und Datenverarbeiter werden verpflichtet, technische und verfahrenstechnische Maßnahmen zum Schutz der personenbezogenen Daten zu implementieren.
  • Die Voraussetzungen, unter denen die Erfassung und Nutzung personenbezogener Daten zulässig ist, werden eingeschränkt und klar definiert. Das schließt strenge Anforderungen an die Einwilligung und die Möglichkeit des Widerrufs ein.
  • Datenverantwortliche und Datenverarbeiter müssen durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Datenschutzmaßnahmen in ihre Produkte oder geschäftlichen Abläufe integrieren.

 

  • Organisationen müssen das Vorhandensein von Schutzmaßnahmen nachweisen können, die die Daten schützen und die Einhaltung der Vorschriften gewährleisten.
  • Im Falle einer Datenschutzverletzung müssen Aufsichtsbehörden und betroffene Personen sofort benachrichtigt werden.
  • Bei Verstößen gegen die Bestimmungen werden Geldbußen von bis zu 20 Millionen EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

 

Von Sicherheitsexperte zu Sicherheitsexperte frage ich Sie nun: Entsprechen diese Anforderungen nicht vollständig den empfohlenen Vorgehensweisen, die wir bereits befolgen? Sind das nicht die gleichen Ziele, die wir uns selbst setzen? Sind wir nicht bestrebt, die von uns verarbeiteten Informationen zu schützen und die Rechte sowie die Privatsphäre der jeweiligen Personen zu schützen? Hält uns nicht die Sorge nachts wach, dass eine ernsthafte Datenkompromittierung erhebliche finanzielle Folgen nach sich ziehen und dem Ruf unseres Unternehmens schaden könnte? Tun wir nicht jetzt schon alles, um unsere geschäftlichen Abläufe, unseren Arbeitgeber, unsere Kollegen und unsere Kunden zu schützen?

Was hält uns dabei zurück? Woran scheitern wir zuweilen? Liegt die Ursache nicht häufig in den fehlenden Ressourcen, der fehlenden Unterstützung der Vorgesetzten sowie in einer Unternehmensstrategie, die völlig auf Gewinnmaximierung, Profit und Aktienrendite ausgelegt ist und der Informationssicherheit eine untergeordnete Rolle beimisst?

Ich glaube, dass die Datenschutz-Grundverordnung genau das richtige Mittel ist, um endlich die ungeteilte Aufmerksamkeit der Management-Ebene zu erhalten. Sie definiert Prioritäten für Datenschutz und Sicherheit, die hervorragend zu den uns bereits vertrauten Anforderungen und Schwachstellen passen. Sie gibt uns zeitliche Vorgaben, an denen wir unseren Fortschritt messen können, und setzt finanzielle Anreize, die kein Finanzvorstand ignorieren kann. Vielleicht ist diese Verordnung ja für beide Seiten das Zuckerbrot und die Peitsche, die uns zu den zusätzlichen Mitarbeitern oder Budgets verhilft, mit denen wir die schon immer gesteckten Ziele erreichen können.

Wir sollten in der Datenschutz-Grundverordnung also nicht mehr eine Last, sondern eine Chance sehen.

Leave a Comment

eighteen − 12 =