Viele haben von der neuen Verordnung aber noch gar nichts gehört. Untersuchungen zeigen, dass aktuell über 80 Prozent der Betroffenen darauf noch nicht vorbereitet sind. Und betroffen sind vor allem Unternehmen. Sie müssen zahlreiche Vorbereitungen treffen, um nicht gegen diese Verordnung zu verstoßen und dann möglicherweise zu einer Millionenstrafe verdonnert zu werden. Die neue Verordnung gilt aber wiederum auch nicht für alle Unternehmen. Für wie so vieles, was von der EU kommt, gilt darum auch hier: Es ist kompliziert.

Für wen gilt die neue Verordnung?

Die sogenannte Datenschutz-Grundverordnung gilt für Unternehmen, die personenbezogene Daten verarbeiten. Und zwar im Rahmen der Tätigkeiten einer in der EU ansässigen Zweigstelle. Das ist unabhängig davon, wo die eigentliche Datenverarbeitung stattfindet. Also auch wenn der Hauptsitz des Unternehmens nicht in der EU ist und die Verarbeitung der Daten dort stattfindet. Sie greift außerdem bei Unternehmen, die außerhalb der EU ansässig sind und Waren oder Dienstleistungen  in der EU anbieten. Die EU-Kommission nennt in einem Papier für Unternehmen dazu folgendes Beispiel: „Nehmen wir mal an, Sie betreiben ein Reisebüro. Wenn Sie die personenbezogenen Daten Ihrer Kunden erhalten, müssen Sie in einer klaren und einfachen Sprache erklären, weshalb Sie die Daten benötigen, wie Sie sie nutzen und wie lange Sie beabsichtigen, diese aufzubewahren.“

Gibt es Unterschiede bei KMUs?

Wenn das Unternehmen ein kleines oder mittleres Unternehmen (KMU) ist, das personenbezogene Daten im diesem Sinne verarbeitet, müssen die Bestimmungen der neuen Verordnung erfüllt werden. Wenn die Verarbeitung nicht zu den Kerntätigkeiten des Unternehmens gehört und die Tätigkeit keinerlei Risiko für Personen darstellt, gelten einige der Pflichten zumindest nicht verbindlich.

Was wird vorgeschrieben?

Unternehmen  müssen mit der neuen Verordnung bei der Verarbeitung von Daten mehrere Vorschriften beachten. Einige Beispiele:

• Es müssen bestimmte Zwecke für die Verarbeitung der Daten festgelegt sein und diese Zwecke den Personen, deren Daten Sie erheben, mittgeteilt werden. Ein Unternehmen darf personenbezogene Daten nicht zu unbestimmten Zwecken erheben. Die betroffenen Personen müssen der Speicherung der Daten zustimmen. Festgemacht am Beispiel des Reisebüros: Um ein Reise zu buchen, werden zwingend Daten wie Name, Alter, Reisezeit etc. benötigt. 
  
  

• Das Unternehmen darf ausschließlich die personenbezogenen Daten erheben und verarbeiten, die zur Erfüllung dieses Zwecks erforderlich sind.
  
  

• Das Unternehmen darf die personenbezogenen Daten nicht für andere Zwecke nutzen, die nicht mit dem ursprünglichen Zweck vereinbar sind. Das Reisebüro darf die Daten zum Beispiel dann nicht dazu nutzen, um Reiseprofile der Kunden zu erstellen und daraus beispielsweise Vorlieben für weitere Reisen ableiten sowie diese ungefragt anbieten.
  
  

• Das Unternehmen muss sicherstellen, dass personenbezogene Daten nicht länger als für die Zwecke, für die sie erhoben wurden, erforderlich gespeichert werden. Nehmen wir wieder das Reisebüro, bedeutet das, dass die expliziten Reisedaten nach Abschluss gelöscht werden müssen. Allerdings darf ein Reisebüro natürlich auch eine Kundendatei führen und dazu Daten speichern. Das muss dem Kunden aber vorher mitgeteilt werden.  

Was ist zu tun?  

Wenn die Kriterien, für die die Datenschutzverordnung Vorschriften macht, in dem Unternehmen zutreffen, dann müssen diese Unternehmen bis zum 25. Mai einige Vorbereitungen treffen.  So ist in vielen Fällen ein Datenschutzbeauftragter zwingend vorgeschrieben. Zum Beispiel dann, wenn das Unternehmen eine Sicherheitsfirma ist, die für die Überwachung von öffentlichen Plätzen verantwortlich ist. Das gilt aber unter anderem auch für Personalberatungsfirmen, die Profile von Personen erstellen.   Auch technisch müssen sich Unternehmen dann entsprechend vorbereiten. Durch Voreinstellungen müssen Unternehmen u. a. sicherstellen, dass personenbezogene Daten mit dem größtmöglichen Datenschutz verarbeitet werden, damit diese Daten von vornherein nicht einer unbestimmten Zahl von Personen zugänglich gemacht werden. Konkret sollten ausschließlich benötigte Daten verarbeitet werden, kurze Speicherfristen und begrenzte Zugänglichkeit vorgesehen werden. Zu leisten ist das z.B. durch Pseudonymisierung. Dazu werden die Daten, die eine Identifikation erlauben würden, durch ein Pseudonym ersetzt, beispielsweise durch einen Code. Dabei gibt es allerdings eine Verbindung zwischen den Daten und dem Pseudonym. Es bleibt also möglich, die Daten wieder zu identifizieren, wenn man diese (Daten-) Verbindung kennt.

Bei Verstoß kann eine Millionenstrafe drohen

Bei Verstößen gegen die Verordnung drohen zum Teil drastische Strafen. Das ist noch ein Grund mehr, warum sich Unternehmen bis zum Inkrafttreten auf jeden Fall mit dem Thema befassen sollten. Noch relativ problemlos ist eine offizielle Warnung. Sie hat keine größeren Konsequenzen. Härter könnte die Unternehmen ein vorübergehendes oder endgültiges Verbot der Verarbeitung der Daten treffen. Am Ende des Strafenkatalogs stehen hohe finanzielle Auswirkungen. Eine Geldbuße von bis zu 20 Mio. EUR bzw. 4 % des weltweiten jährlichen Gesamtumsatzes des Unternehmens sind möglich. Um ganz sicherzugehen, welche Bedingungen ein Unternehmen erfüllen muss, ist eine juristische Beratung sinnvoll. Sonst könnte es irgendwann eine ziemlich böse Überraschung geben.

Foto: pexels.com