Ende der Datenschutz-Schonfrist
Safe-Harbor-Aus: Unternehmen proben Balance-Akt
Schon heute könnten zahlreiche Unternehmen aus Sicht von Datenschützern in Deutschland gegen geltendes Recht verstoßen. Denn am 1. Februar läuft das Memorandum der EU-Datenschützer aus, das seit dem Fall des Safe-Harbor-Abkommens im Oktober den Datenaustausch mit den USA übergangsweise auf Basis der alten Regeln toleriert hat. Trotz entsprechender Planung und Versprechen ist ein neues, verbindliches Regelwerk vorerst nicht in Sicht. Von dem nun entstehenden rechtlichen Vakuum sieht das Institut der deutschen Wirtschaft (IW) in Köln europaweit tausende Unternehmen betroffen.
Foto: wavebreakmedia - shutterstock.com
Datenschützer: Exempel statuieren
Datenschützer wollen nun Fakten schaffen und Exempel statuieren, wenn Daten ohne eine gültige rechtliche Grundlage in die USA transferiert werden. Branchenvertreter sehen dagegen die Handlungsfähigkeit vieler Unternehmen in Gefahr. "Die europäischen Datenschutzbehörden müssen nun den Druck auf die Verhandlungen erhöhen und entschlossen gegen rechtswidrige transatlantische Datentransfers vorgehen", forderte Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft.
Nur auf diese Weise werde sich in den Verhandlungen die Einsicht durchsetzen, dass Reformen der geheimdienstlichen Befugnisse unausweichlich seien. Seit der Entscheidung des EuGH sei klar, dass das vordergründigste Problem in den nahezu unbeschränkten gesetzlichen Zugriffsbefugnissen der US-Geheimdienste liege.
Auch die europäische Verbraucherorganisation BEUC fordert die nationalen Datenschützer auf, Verstöße gegen EU-Datenschutzrecht konsequent zu verfolgen. "Wenn unsere persönlichen Daten aus den EU herausfließen, dann sollte dies nur entsprechend dem geltenden EU-Recht garantierten Schutz geschehen", sagte Monique Goyens, Generaldirektorin des BEUC. Unabhängig davon, ob es ab der kommenden Woche eine neue Regelung geben werde, müssten die europäischen Datenschutzbehörde sicherstellen, dass Unternehmen geltendes EU-Recht befolgten.
- Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps. - Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden. - "Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können. - Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor. - Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können. - Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.
EuGH-Urteil: Unternehmen in der Pflicht
Seit dem Jahr 2000 hatte das Safe-Harbor-Abkommen Unternehmen in Europa ermöglicht, personenbezogene Daten gemäß europäischer Datenschutzbestimmungen mit den USA auszutauschen. Die USA wurden dabei als "sicherer Hafen" eingestuft. Überraschend wurde das Abkommen im Oktober nach einer Klage des Datenschutzaktivisten Max Schrems vom Europäischen Gerichtshof ohne Übergangsregelung gekippt und für ungültig erklärt. In den USA seien Datensammlungen von EU-Bürgern in großem Umfang möglich, ohne dass diese ausreichend geschützt seien, urteilte das Gericht.