Die neue EU-Datenschutz-Grundverordnung und ihre Folgen

Unternehmen müssen sich in Zukunft an strengere Datenschutzregeln halten, wenn sie nicht empfindliche Bußgelder bezahlen möchten.

Am 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung in Kraft. Sie vereinheitlicht EU-weit die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Gewährleisten soll diese Verordnung einerseits den Schutz personenbezogener Daten, andererseits aber auch den „freien Datenverkehr“ innerhalb des Europäischen Binnenmarktes.

Die neue EU-Datenschutz-Grundverordnung gilt ab Ende Mai 2018 – und zwar oft auch für Unternehmen, die ihren Sitz nicht in der Europäischen Union haben. (Foto: EC – Audiovisual Service / Christian Lambiotte)

Neuerungen

Die neuen Regelungen unterscheiden sich in vielen Bereichen gar nicht so sehr von den bisher geltenden Vorschriften. Es gibt allerdings einige wichtige Änderungen:

Beispielsweise müssen Unternehmen bei Verletzungen des Schutzes personenbezogener Daten nun in wesentlich mehr Fällen unverzüglich sowohl die Aufsichtsbehörde als auch die betroffenen Menschen benachrichtigen.

Die Vorschrift „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ fordert erstens, dass die technischen Maßnahmen zur Verarbeitung von personenbezogenen Daten von Anfang an so angelegt sein müssen, dass die Datenschutzgrundsätze umgesetzt werden. Und zweitens, dass Software und Geräte so voreingestellt sind, dass lediglich Daten verarbeitet werden, die für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind.

Ebenfalls bedeutsam: Die EU-Datenschutz-Grundverordnung gilt auch für Unternehmen, die zwar ihren Sitz außerhalb der Europäischen Union haben, deren Angebote sich aber an EU-Bürger richten. Das hat Konsequenzen für IT-Giganten wie Google, Facebook und Apple.

Wen betrifft es?

Wer zu rein privaten Zwecken Briefe schreibt, Adressenlisten führt oder soziale Netze nutzt, der kann die neuen Regelungen getrost ignorieren. Dagegen gibt es jedoch kaum Unternehmen oder Betriebe, die von der Datenschutz-Grundverordnung nicht betroffen sind.

Wie viel Aufwand dies für die einzelnen Unternehmen bedeutet, das hängt davon ab, wie früh oder spät sie damit angefangen haben, sich um das Umsetzen der Regelungen zu kümmern. Im September 2017 hatten laut einer Befragung des Branchenverbands Bitkom erst 13 Prozent der deutschen Unternehmen erste entsprechende Maßnahmen umgesetzt. Und nur 19 Prozent der Unternehmen gingen davon aus, dass sie die Vorgaben der Verordnung bis Ende Mai vollständig umgesetzt haben werden.

Gut ist das nicht. Denn: „Wer den Kopf in den Sand steckt, verstößt demnächst gegen geltendes Recht und riskiert empfindliche Bußgelder zu Lasten seines Unternehmens“, erläutert Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Bitkom.

In der Tat: Auch der Bußgeldrahmen bei Verstößen wurde erheblich erhöht, um dafür zu sorgen, dass die Bußen „wirksam, verhältnismäßig und abschreckend“ sind. Liegt die maximale Bußgeldhöhe bislang noch bei 300.000 Euro, so können Bußgelder in Zukunft bis zu 20 Millionen Euro betragen oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens.

Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Branchenverband Bitkom: „Wer den Kopf in den Sand steckt, verstößt demnächst gegen geltendes Recht und riskiert empfindliche Bußgelder zu Lasten seines Unternehmens.“ (Foto: Bitkom)

Intelligente Schlösser mit integriertem Datenschutz

Ein schönes Beispiel für ein frühzeitiges Umsetzen der Datenschutzverordnung findet sich im Produktsortiment des österreichischen Unternehmens EVVA, das vor allem durch sein digitales Schließsystem „AirKey“ bekannt ist.

Dieses Schließsystem musste nicht erst in letzter Zeit an die neuen Datenschutzregelungen angepasst werden – weil der Hersteller bereits von Anfang an darauf geachtet hat, ein richtlinienkonformes System zu entwickeln.

Was bedeutet das konkret? Beispielsweise kann der Administrator in der Software des Systems sehr einfach festlegen, welche Daten die Schlösser sammeln. Die Bandbreite reicht dabei von vollkommener Anonymität über die gesetzlichen Vorschriften bis hin zu betrieblich vereinbarten Datenschutzrichtlinien.

Diese Einstellungen lassen sich entweder für die gesamte Schießanlage festlegen – oder aber für einzelne Schlösser. Auch das nachträgliche Anonymisieren der gesammelten Daten ist möglich.

„Meines Wissens nach ist AirKey das einzige bestehende System derzeit, das dezidiert darauf achtet, dass diese Datenschutzvorgaben eingehalten werden“, so der Datenschutzexperte Dr. Christof Tschohl.

Das elektronische Schließsystem „AirKey“ erlaubt es dir, dein Smartphone als Schlüssel für Haus- und Wohnungstüren zu verwenden. (Grafik: EVVA)

AirKey: Smartphone als Hausschlüssel

Das „AirKey“-Schließsystem ermöglicht es dir, Türen (beispielsweise Haus- und Wohnungstüren) aufzuschließen, einfach indem du dein Smartphone an das Schloss hältst. Das funktioniert sowohl mit Android-Smartphones als auch mit iPhones.

Die Voraussetzung für diese Bequemlichkeit: Du baust einen „AirKey“-Schließzylinder (erhältlich ab etwa 390 Euro) in die Tür ein. Das lässt sich innerhalb weniger Minuten erledigen.

Es ist sogar vorgesehen, Zutrittsberechtigungen online an andere Smartphones zu schicken, um diese Geräte in Schlüssel für bestimmte Schlösser zu verwandeln.

Und auch ohne Smartphone kannst du dir Zutritt verschaffen. Denn es ist darüber hinaus möglich, zum Öffnen der Türen spezielle Schlüsselkarten oder Schlüsselanhänger zu benutzen.