Am 27. April 2016 wurde vom Europäischen Parlament in Straßburg relativ unbemerkt von der Öffentlichkeit ein Gesetz verabschiedet, das massiven Einfluss auf Unternehmen haben und die Rechte von Konsumenten stärken wird: die EU Datenschutzgrundverordnung (Verordnung 679/2016), abgekürzt DSGVO (oder GDPR in englischen Publikationen für „General Data Protection Regulation“).
Der Verabschiedung dieses Gesetzes ging ein langer Diskussionsprozess voraus. Der Trilog aus Experten und Mitgliedern des Europäischen Parlaments, der EU-Kommission und des Europäischen Rates hatte die Aufgabe die Anforderungen, Wünsche und Bedenken der EU-Mitgliedsstaaten, der Industrie und diverser Bürgerrechtsorganisationen mit den EU-Rechtsgrundlagen, der technischen Entwicklung und den jüngsten Enthüllungen über missbräuchliche Datenverwendung (Stichwort Edward Snowden) in Einklang zu bringen.
Das Ergebnis ist ein fast 90 Seiten langes Rechtsdokument aus mehr als 170 erklärenden Erwägungsgründen und 99 Gesetzesartikeln, das hier in allen Amtssprachen der EU eingesehen werden kann.
Die im Gesetz definierten sehr hohen Strafen von bis zu 20 Millionen Euro oder 4% des globalen Jahresumsatzes eines Unternehmens (es zählt der jeweils höhere Wert!) zeigen den Stellenwert, der dem Thema Datenschutz gegeben wird.
Geschichte und Entstehung der DSGVO
Als EU-Verordnung gilt dieses Gesetz in allen EU-Mitgliedsstaaten unmittelbar und ohne weitere Bestätigung der nationalen Parlamente. Ebenso können die Mitgliedsstaaten nur sehr begrenzt in genau definierten Bereichen Konkretisierungen einzelner Punkte vornehmen. Diese geringen Abänderungsmöglichkeiten sind insofern nachvollziehbar, als die Mitgliedsstaaten ohnehin im Rahmen des Trilogs ausführlich Einfluss nehmen konnten.
Warum jedoch wird dem Datenschutz plötzlich so viel Aufmerksamkeit gewidmet? Und was müssen Unternehmen zur Erfüllung der DSGVO berücksichtigen?
Zur Beantwortung der ersten Frage muss man sich die Geschichte der Datenschutzgesetze ansehen. Die aktuellen Datenschutzgesetze, auch das österreichische DSG 2000, gehen auf eine EU-Richtlinie aus dem Jahr 1995 zurück. In den mehr als 20 Jahren, die seit der Verabschiedung dieser Richtlinie vergangen sind, gab es bekanntermaßen viele technische Veränderungen und unser heutiges Leben ist voller digitaler Prozesse, die zu einem großen Teil auch mit unseren personenbezogenen Daten arbeiten. Dieser technischen Entwicklung musste durch ein neues, umfassenderes Gesetz Rechnung getragen werden.
Das ist jedoch nur ein Teil der Antwort, der Rest liegt in der gescheiterten EU-Verfassung aus dem Jahr 2004. Damals wurde versucht eine einheitliche, umfassende Verfassung für die Europäische Union zu erstellen. Dieses Vorhaben scheiterte jedoch am Widerstand einiger Mitgliedsländer. Als „kleiner Ersatz“ wurde der Vertrag von Lissabon erstellt, der im Dezember 2009 in Kraft getreten ist. Dieser Vertrag enthält auch die damals feierlich proklamierte „Charta der Grundrechte der Europäischen Union“. Auf gleicher Ebene wie dem Recht auf Eigentum, der Religionsfreiheit oder dem Verbot der Todesstrafe ist darin auch das Recht auf Schutz der persönlichen Daten genannt.
Das erklärt, wieso der Gesetzgeber hier ein so umfassendes, strenges und in allen Mitgliedsstaaten in gleicher Form geltendes Datenschutzgesetz erlassen hat. Grundrechte sind ein Thema, das man auf keinen Fall ignorieren sollte, denn sie sind die Basis für das Funktionieren einer Gesellschaft.
Datenschutz ist viel mehr als IT-Sicherheit
Die Pflichten für Unternehmen, die aus diesem Gesetz entstehen, sind umfassend und vielfältig. Sie betreffen nicht nur die naheliegenden Themen wie die IT-Sicherheit, sondern reichen viel weiter in die Organisation, das Marketing und die Kundenbetreuung.
Jedes Unternehmen ist gut beraten, die nicht gerade üppige Übergangsfrist bis zur Gültigkeit der DSGVO (25. Mai 2018) zu nutzen, um die entsprechenden Vorbereitungen zu treffen. Vieles davon lässt sich am besten in Kooperation mit Partnern aus dem juristischen und technischen Bereich umsetzen. So sind zum Beispiel oft umfassende Änderungen in den digitalen Prozessen von CRM-Systemen notwendig, die idealerweise von einem erfahrenen System-Partner durchgeführt werden.
In den nächsten Beiträgen dieser Artikelserie werde ich zeigen, welche Überlegungen Unternehmen zur Erfüllung der DSGVO-Vorgaben anstellen müssen und wieso die Einführung dieser Maßnahmen nicht nur eine Bürde, sondern auch eine Chance auf wertvolle Kundenbeziehungen ist, die durch Transparenz, Wertschätzung und Verantwortungsbewusstsein gekennzeichnet sind.
Mehr zur Datenschutz-Grundverordnung
COSMO CONSULT und data.mill GmbH haben mit diesem Beitrag eine Blogserie rund um das Thema Datenschutz gestartet. Lesen Sie hier am Blog immer die neuesten Beiträge und erfahren Sie Schritt für Schritt, was die DSGVO für Ihr Unternehmen und für Sie als Privatperson bedeutet. Eine Übersicht über aktuelle Workshops und Veranstaltungen von data.mill zum Thema erhalten Sie mit Klick auf den Button.
Keywords
Weitere passende Blogbeiträge
Fündig geworden?
Starten Sie jetzt Ihre intelligente Suche