Datenschutz ist großes Thema – auch auf EU-Ebene. Doch abseits täglich wechselnder Aufregungen über abgehörte Handys und und Netzknotenpunkte gibt es beim Datenschutz auch Bewegungen, die den Geschäftsalltag der Unternehmen sehr konkret beeinflussen werden: Die neue EU-Datenschutzgrundverordnung nimmt Gestalt an.
Die geltende EU-Richtlinie zum Datenschutz stammt aus dem Jahr 1995. Damals tröpfelten die Daten oft noch mit 28.8 kBit/s durch das Modem in den Rechner. Und mit ähnlicher Geschwindigkeit schien sich auch die Nachfolgeverordnung über die verschlungenen Pfade der europäischen Gesetzgebung zu bewegen. Immerhin – sie hat das EU-Parlament erreicht und wurde dort in einer Kompromissfassung beschlossen .
Verabschiedet sehen will die zuständige Kommissarin, Viviane Reding, die neue Datenschutzverordnung bis April 2014 – das ist sehr ambitioniert. Aber im Mai 2014 sind EU-Wahlen. Und nachdem das Datenschutzthema nun dank Angela Merkels Smartphone endgültig die Schlagzeilen beherrscht, scheint vieles möglich. Es könnte sich also mittelfristig einiges ändern für IT-Unternehmen.
Der jetzige Text der Vereinbarung ist noch längst nicht der Stand, der dann irgendwann auch in Kraft tritt – vorher müssen EU-Kommission und die Regierungen der Mitgliedsstaaten zustimmen. Und allein bis jetzt gab es schon über 3.000 Änderungsanträge, wie Matthias Spielkamp auf iRights.info berichtet.
Interessante Regelungen enthält die Vorlage in jedem Fall:
- Unternehmen, die von der Verordnung erfasst werden, müssen einen Datenschutzbeauftragten ernennen, eine Risikoanalyse zur Datenverarbeitung erstellen und sich alle zwei Jahre einer Überprüfung unterziehen. Aus Sicht des Risikomanagements ist das eine Risikoerhöhung. Wenn der Audit nicht bestanden wird, drohen ja Geschäftsausfälle.
- Gelten soll die Verordnung für Unternehmen, wenn sie die Datensätze von mehr als 5000 Nutzern speichern – das ist schnell erreicht. Demgegenüber wollte die EU-Kommission die Schwelle durch eine Mitarbeiterzahl 250 festlegen. Das ist natürlich ein großer Unterschied. Denn auch kleine Unternehmen haben schnell 5000 Newsletter-Abonnenten, Bestelladressen oder Datensätze in der von ihnen verwalteten Kundendatenbank.
- Wie immer die Schwelle bestimmt wird: Firmen unterhalb davon brauchen keinen Datenschutzbeauftragten mehr. Das deutsche Datenschutzrecht schreibt im Moment vor, dass ein – externer oder interner – Datenschutzbeauftragter berufen werden muss, wenn mindestens zehn Mitarbeiter mit der Verarbeitung persönlicher Nutzerdaten zu tun haben. (Andererseits: Mit dem Datenschutzbeauftragten ist das Unternehmen die Haftung für Datenschutzverstöße ohnehin nicht los. Die bleibt im Zweifelsfall direkt bei der Geschäftsleitung – wo sie übrigens auch jetzt schon ist.)
- Auch noch umstritten ist die Frage, wie hoch die Sanktionen bei Verstößen ausfallen. Dieser Aspekt ist aus aus Sicht des Risikomanagements natürlich besonders interessant. Die EU-Kommission wollte Strafen für Unternehmen auf eine Million Euro oder bei zwei Prozent des Jahresumsatzes deckeln. Die Parlamentsvorlage ist deutlich schärfer und legte die Grenze bei 100 Millionen Euro und fünf Prozent vom Umsatz fest. Der „Preis” für Datenschutzverstöße hat natürlich sehr direkte Auswirkungen darauf, wie teuer die Prämien der Vermögensschadenhaftpflicht oder der D&O- (Managerhaftpflicht)-Policen werden.
- Geregelt wird auch das Recht auf Auskunft über gespeicherte Daten und auf deren Löschung. Beides schreibt das deutsche Datenschutzrecht im Grundsatz ja auch schon vor. Neu wäre aber, dass ein Unternehmen auch dafür verantwortlich ist, alles „Vertretbare“ zu unternehmen, um Dritte, welche die Daten verarbeitet haben, davon in Kenntnis zu setzen, dass der Betroffene die Löschung seiner Daten und damit auch Verlinkungen verlangt. Hier kündigen sich möglicherweise neue Haftungsrisiken an, die durch entsprechende Verträge mit Geschäftspartnern, aber auch durch Anpassung der eigenen Haftpflichtversicherung aufgefangen werden müssen.
- Persönliche Daten dürfen nur mit Einwilligung erfasst oder verarbeitet werden. Allerdings gibt es eine etwas schwammige Ausnahmeregelung, die bei Datenschutzaktivisten Protest auslöst. Mal abwarten, wie dieser Punkt am Ende gefasst wird.
- Auch nicht ohne ist für die Anbieter das Recht aus Datenportabilität: Selbst erstellte Profile und Inhalte soll der Nutzer von einem Dienst zum anderen mitnehmen können wie die Rufnummer beim Wechsel des Mobilfunkvertrags. Die bisher genutzte Plattform muss dann die gespeicherten, möglicherweise bereits veröffentlichten und von anderen Nutzern geteilten Inhalte löschen. Auch das ein neues Haftungsrisiko.
- Datenschutzverstöße wie Datendiebstahl müssen den Betroffenen ohne Verzögerung, mindestens innerhalb 72 Stunden, mitgeteilt werden. Das begründet wiederum mögliche Ansprüche von Kunden, die zu spät über Datenverluste informiert werden.
- Datenschutzrechtliche Ansprüche von EU-Bürgern werden durch die EU-Verordnung vereinheitlicht. Zur Zeit können Services mit Sitz in den USA sich auf dortige Bestimmungen zurückziehen, auch bei deutschen Kunden. Das wird dann Vergangenheit sein – auch US-Dienste müssen sich an die EU-Vorschriften halten, wenn sie EU-Nutzer haben. Ob das auch durchsetzbar ist, muss man allerdings abwarten.
Wie gesagt: Noch ist vieles im Fluss, die große Schlacht der Lobbyisten, Aktivisten und Einflussgruppen ist noch lange nicht vorbei. Aber eines ist sicher: Datenschutz hat einen Preis, und den zahlen unter anderem die Unternehmen. Zum Beispiel in Form erhöhter Versicherungsprämien für Policen mit erweiterter Deckung. Um so wichtiger ist es, die Versicherungsverträge optimal zu gestalten, um weder Geld zu verschenken noch von Deckungslücken bedroht zu werden.