Data Privacy Act
Woran der Datenschutz im Unternehmen krankt
Viele Unternehmen sammeln und verarbeiten riesige Datenmengen über Kunden und Nutzer. Damit können sie ihre Angebote an deren individuelle Bedürfnisse und Vorlieben anpassen. Obwohl vor allem Privatkunden häufig ein mulmiges Gefühl beschleicht, erwarten sie andererseits aber die Auswertung ihrer persönlichen Daten, um optimal bedient zu werden. Jedoch ist inzwischen allen Beteiligten klar, dass diese Praxis auch das Risiko von Datenspionage oder der unbeabsichtigten Veröffentlichung persönlicher Informationen deutlich erhöht.
Hinzu kommt, dass inzwischen viele Firmen ihre Geschäfte über Landesgrenzen hinweg tätigen. Viele Datenschutzgesetze sind jedoch landesspezifisch und werden in der heutigen globalen Business-Welt kaum beachtet. Denn die Aufsichtsbehörden sind oft machtlos, die Vorgaben bei international tätigen Unternehmen durchzusetzen. Entsprechend schwierig ist es auch, jemanden zur Verantwortung zu ziehen, wenn es zu einer Datenpanne kommt.
Datenschutz in Deutschland und Europa
Wie sieht die Situation hierzulande konkret aus? Deutschland besitzt mit dem Bundesdatenschutzgesetz (BDSG) eine der fortschrittlichsten Regelungen in Europa, da sie persönliche Daten berücksichtigt. Der Fokus liegt dabei auf der "Primärnutzung" dieser Daten und dem entsprechenden Schutz. Dies betrifft vor allem Daten, die zur Erbringung von Dienstleistungen erfasst und verarbeitet werden, etwa zum Führen eines Bankkontos.
Allerdings werden die Regelungen im operativen Geschäft nicht ausreichend bei der "Sekundärnutzung" der persönlichen Daten berücksichtigt. Dazu gehört zum Beispiel deren Verwendung für Test- und Forschungszwecke oder für Analysen. Dabei ist in Deutschland jedoch die Sekundärnutzung in der Gesetzgebung genauso abgedeckt wie die Primärnutzung.
Da es auch in Europa unterschiedliche Ländergesetze gibt, arbeitet die Europäische Union (EU) derzeit an einer neuen Direktive - dem Data Privacy Act. Dieser soll die Gesetzgebung in den EU-Mitgliedstaaten vereinheitlichen. Für deutsche Nutzer bedeutet dies, dass ihre Daten dann nicht nur im eigenen Land, sondern auch europaweit sicher sind - oder zumindest sicherer als jetzt. Sobald dieser Act im jeweiligen Land umgesetzt ist, müssen die dort tätigen Unternehmen eine moderne und durchgängige Datensicherheit gewährleisten. In der Regel dürften sie etwa zwei Jahre dafür Zeit bekommen, doch da große Teile der Regelungen bereits auf Landesebene zur Verfügung stehen, könnte der Zeitraum auch kürzer sein.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)