Datenschutz-Grundverordnung

Innerhalb des Trilogs – bestehend aus Parlament, Kommission und Ministerrat – hat sich die EU nun nach jahrelangem Ringen auf eine Datenschutzreform geeinigt; eine formale Verabschiedung gilt nur noch als Formsache. Die neuen Regeln sollen die Richtlinie aus dem Jahre von 1995 ablösen und stellen eine Herausforderung für Unternehmen dar. Dies muss Unternehmen aber nicht in Unruhe versetzen, wie die UIMC findet.
Die EU will durch ihre neue Datenschutz-Grundverordnung – die in allen EU-Staaten gleichermaßen auch für außereuropäische Unternehmen gelten, wenn sie Services innerhalb der EU anbieten – den digitalen Herausforderungen und der Internationalität der Datenverarbeitung entsprechend Rechnung tragen. Der Flickenteppich mit verschiedenen länderspezifischen Vorschriften soll damit der Vergangenheit angehören, da die Grundverordnung nicht in nationales Recht umgesetzt werden muss, wobei es aber weiterhin nationale „Öffnungsklauseln“ geben soll (wie beispielsweise bei der Frage bzgl. der Bestellpflicht eines Datenschutzbeauftragten). Die Reform beinhaltet u. a. folgende Aspekte:

• Stärke Berücksichtigung von Risiken    
  (Angemessenheit von Maßnahmen und Vorschriften sollen sich verstärkt an Risiken orientieren);
• One-Stop-Shop    
  (Verhandlung nur mit einer Datenschutzkontrollbehörde auch bei länderübergreifenden Fragestellungen);
• Berücksichtigung von KMU-Anforderungen
  (Ausnahmeregelungen bei Meldung, Bestellungspflichten oder Vorabkontrollen bzw. Risikofolgeabschätzungen);
• Erhöhung der Umsetzungstreue durch hohe Maximalstrafen, die sich am weltweiten Umsatz orientieren sollen („Nicht-Datenschutz“ soll nicht mehr dahingehend belohnt werden, dass die Strafen geringer als die internen Aufwände für Datenschutzaktivitäten sind).

Die neue Datenschutz-Verordnung wird viele Unternehmen vor Herausforderungen stellen, wie es bei Gesetzesänderungen grundsätzlich der Fall ist. Die Prozesse müssen durchleuchtet werden und Änderungen aufgrund der Reform umgesetzt werden. „Hier bedarf es eines professionellen Change-Managements, um eine möglichst pragmatische und effiziente Umsetzung der Reform sicherzustellen“, wie Dr. Heiko Haaz feststellt, Partner der UIMC und vielfach bestellter Datenschutzbeauftragter. „Diese Herausforderungen brauchen aber nicht als beängstigend angesehen zu werden; schließlich sind gerade deutsche und österreichische Unternehmen – zumindest die uns näher bekannt sind – durch das bestehende hohe Datenschutzniveau bereits gut vorbereitet.“ Auch ist aufgrund der Übergangsfrist bis Anfang 2018 genügend Zeit. Die Datenschutzreform bietet aber auch Chancen. Durch die Grundverordnung gelten künftig in allen EU-Staaten die gleichen Datenschutz-Anforderungen. Auch wenn die in der Öffentlichkeit viel genannten Internet-Konzerne wie Facebook und Google vermutlich unter den Neuregelungen leiden werden, gilt für viele Unternehmensverbünde und -konzerne, dass sie nicht mehr in jedem europäischen Land separate Prüfungen durchführen müssen. „Dies wird sicherlich zu Vereinfachungen in vielen Unternehmen führen.“, so UIMC-Geschäftsführer Dr. Jörn Voßbein, mehrfach bestellter Datenschutzbeauftragter in international operierenden Unternehmen. Nach der politischen Einigung im Trilog wird die Grundverordnung aller Voraussicht offiziell vom Europäischen Parlament und Rat Anfang 2016 verabschiedet. Während der zweijährigen Übergangsphase wird die UIMC die Unternehmen über die neuen Anforderungen informieren und bei der Umsetzung im Rahmen des speziell hierfür entwickelten UIMChange-Programms tatkräftig unterstützen.