Datenschutz in Zeiten der Digitalisierung – Sind Sie bereit für die neue Grundverordnung?

Digitale Disruption
Blogreihe »Digitale Disruption«: Technologien und Anwendungsfelder mit Disruptions­potenzial: »Das Bessere ist des Guten größter Feind« – frei nach diesem alten Sprichwort von Voltaire lädt das Fraunhofer IAO zu einer Blogreihe ein, in der unsere Wissenschaftlerinnen und Wissenschaftler disruptive Trends und Technologien vorstellen und deren Potenziale für Wirtschaft und Gesellschaft aufzeigen. Diskutieren Sie mit!

Ab 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (EU-DSGVO). Unternehmen bleiben also nicht einmal mehr 12 Monate, um entsprechende Maßnahmen zu ergreifen. Die Dokumentationspflichten bei der Verarbeitung personenbezogener Daten werden massiv ausgeweitet und Kunden erhalten unter anderem weitgehende Schutz-, Informations-, Auskunfts- und Löschrechte hinsichtlich ihrer personenbezogenen Daten. Wer diese Rechte nicht respektiert und seinen Pflichten nicht nachkommt, muss zukünftig mit erheblich angehobenen Bußgeldern von bis zu 10 Millionen Euro, in schweren Fällen sogar 20 Millionen Euro, bzw. von zwei Prozent und in schweren Fällen von vier Prozent des Jahresumsatzes rechnen.

Neues EU-Datenschutzrecht mit unmittelbarer Wirkung für deutsche Unternehmen

Der disruptive, branchenübergreifende Trend zur Digitalisierung und Vernetzung der letzten Jahre führte zu einem starken Anstieg der Menge an gesammelten personenbezogenen Daten, der neue gesetzliche Regelungen bezüglich des Datenschutzes und der Datensicherheit erforderlich machte. Die bisher gültige EU-Datenschutzrichtlinie stammt aus dem Jahr 1995 und somit aus einer Zeit vor der Dominanz von Unternehmen wie Google und Facebook als Technologien wie Big-Data-Analysen, Cloud-Computing und smarte Dienste noch weit entfernt schienen. Mitte der 90er-Jahre existierten schlicht die notwendigen Werkzeuge nicht, um Nutzerdaten im heutigen Ausmaß zu sammeln, zu verknüpfen und auszuwerten. Die am 25. Mai 2016 in Kraft getretene EU-DSGVO ist Teil der europäischen Datenschutzreform, durch die EU-weit einheitliche und an die Anforderungen der heutigen Zeit angepasste Datenschutzstandards eingeführt werden sollen. Im Gegensatz zur bisher gültigen Datenschutzrichtlinie ersetzt die EU-DSGVO die nationale Gesetzgebung.

Viele Unternehmen noch nicht vorbereitet

Um den Anforderungen dieser disruptiven Veränderung der EU-Gesetzgebung zum Thema Datenschutz gerecht zu werden, müssen Unternehmen aktiv werden und ihre Geschäftsprozesse auf rechtliche Konformität hin prüfen und erforderliche Maßnahmen umsetzen. Erste Umfragen des Fraunhofer IAO haben gezeigt, dass vor allem kleine und mittlere Unternehmen bisher kaum vorbereitet sind. Eine der wesentlichen Änderungen der EU-DSGVO gegenüber der bisher gültigen Gesetzgebung im Rahmen des Bundesdatenschutzgesetzes (BDSG) sind signifikant erhöhte Bußgelder, die bei einem Verstoß die Unternehmen treffen. Bisher belief sich die Höchstgrenze im BDSG auf 50.000 oder 300.000 Euro. Die Höchstgrenzen werden nun, je nach Schwere des Verstoßes, in der EU-DSGVO mit 10 Millionen oder 20 Millionen Euro bzw. bei Unternehmen mit bis zu vier Prozent des Jahresumsatzes angegeben. Ab dem 25. Mai 2018 gilt die EU-DSGVO unmittelbar in allen EU-Mitgliedsstaaten. Unternehmen müssen bis zu diesem Zeitpunkt alle erforderlichen Maßnahmen umgesetzt und dokumentiert haben.

Bestimmte Branchen besonders stark betroffen

Je nach Sensitivität der personenbezogenen Daten werden gemäß der EU-DSGVO strengere oder weniger strenge Schutzmaßnahmen vorgeschrieben. Bestimmte Branchen, bzw. Berufsgruppen wie Steuerberater, Notare, Anwälte oder Ärzte sind dabei besonders stark von der neuen Gesetzgebung betroffen. Für die in der Gesundheitsbranche verarbeiteten Daten gilt vorwiegend ein hohes Schutzniveau. Diese schließen Patientendaten wie gestellte Diagnosen, durchgeführte Untersuchungen, verschriebene Medikamente, aber auch die reine Konsultation eines Arztes ein. Aus der Patientensicht gilt es, die verarbeiteten bzw. erfassten personenbezogenen Daten nicht nur vor dem Zugriff unberechtigter Dritter, sondern auch vor dem Zugriff anderer Institutionen und Organisationen wie z. B. Behörden, Versicherungen und Unternehmen zu schützen. Neben dem Schutz der Patientendaten vor Missbrauch gilt es außerdem, die Privatsphäre der Patienten zu schützen und die Betroffenenrechte wie beispielsweise das transparente Auskunftsrecht sicherzustellen.

Erforderliche Prozessanalyse birgt auch Chancen

Um fit für die EU-DSGVO zu werden, ist eine strukturierte Erfassung der datenschutzrelevanten Prozesse im Unternehmen unabdingbar. Diese ist zum einen erforderlich, da die Verarbeitungstätigkeiten in einem Verarbeitungsverzeichnis zu dokumentieren sind. Zum anderen ist auf Basis dieser Prozesse eine Risikoanalyse sowie eine Datenschutz-Folgenabschätzung durchzuführen. Doch die Prozessanalyse ist nicht nur eine aufwändige und mitunter kostspielige Notwendigkeit, die sich aus dem verschärften rechtlichen Rahmen ergibt. Die strukturierte Analyse erfasster und verarbeiteter Daten bietet vielmehr auch bedeutende ökonomische Chancen. Auf dieser Basis lassen sich Prozessoptimierungen erarbeiten und – im Einklang mit den Vorgaben der EU-DSGVO – vielleicht sogar Potenziale zur Nutzung der Daten für Big Data Analysen und Smart Services identifizieren. So kann die EU-DSGVO zum Anstoß genommen werden, um das Unternehmen in Richtung Digitalisierung weiterzuentwickeln.

Leselinks:

Kommentar hinzufügen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.