Ende Mai trat die EU-Datenschutzgrundverordnung in Kraft. Sie ersetzt die alte europäische Datenschutzrichtlinie 95/46/EG, die noch aus den Kindertagen des WWW stammt: dem Jahr 1995. Außerdem werden deutsche und andere nationale Datenschutzgesetze ersetzt. Das Ziel ist ein EU-weiter Standard für die Datenverarbeitung, der den Schutz personenbezogener Daten und den freien Datenverkehr gleichermaßen fördert.
Unternehmen haben jetzt zwei Jahre Zeit, sich auf die neuen Regelungen einzustellen. Nach Ablauf der Übergangsfrist am 25. Mai 2018 wird es ernst. Dann werden eventuell vorhandene Einwilligungserklärungen für die Datenverarbeitung hinfällig, Verträge mit Dienstleistern müssen neu getroffen werden, interne Prozesse angepasst und Datenschutzhinweise aktualisiert werden.
Was sich ändert
Die EU-Datenschutzgrundverordnung soll den Datenverkehr innerhalb der EU harmonisieren und für einen fairen Wettbewerb sorgen. Die neue Regelung gilt für alle Unternehmen, die innerhalb der EU operieren, also beispielsweise auch für Konzerne, die Daten über EU-Bürger speichern, ihren Sitz aber außerhalb der EU haben.
Die Rechte der Nutzer sollen mit der EU-Datenschutzgrundverordnung gestärkt werden. Eine Datenverarbeitung darf nur mit Einwilligung des Betroffenen erfolgen, wobei es allerdings beim Mindestalter für die Zustimmung Unterschiede in den Mitgliedsstaaten geben kann. Umfangreiche Auskunftspflichten für Unternehmen sehen vor, dass Kunden erfahren dürfen, welche Informationen über sie gespeichert werden. Unternehmen müssen die Nutzerdaten auf Wunsch des Betroffenen löschen. Auch ein Umzug zu einem anderen Anbieter soll leichter werden: Unternehmen müssen in diesem Fall die Daten für die Migration bereitstellen.
Sollte es zu einem Datenleck, zum Beispiel durch einen Angriff, kommen, sind Unternehmen verpflichtet, die Betroffenen darüber informieren. Bei Verstößen drohen Unternehmen jetzt härtere Strafen. Bis zu vier Prozent des Jahresumsatz kann ein Datenschutzverstoß eine Firma kosten. Als Beschwerdestelle dienen nun die jeweiligen Landesbehörden des Nutzers, nicht wie bisher die Datenschutzbehörden am Standort eines Unternehmens.