Die EU-weite Datenschutz-Grundverordnung (DSGVO) tritt mit 25. Mai 2018 in Kraft. Wir haben uns umgehört und ein paar Infos zusammen getragen: Wem betrifft es? Wer sollte besser etwas unternehmen? Ist das ein weiterer bürokratischer Step um (kleine) Unternehmen zu bremsen?

EU-Datenschutz-Grundverordnung

Die neue Verordnung sorgt für Fragen und Spekulationen. Hier in Kürze ein paar Facts:

Argumente dafür

„Seit 1995 gab es keine Änderungen mehr“ wird von Datenschutz-Befürwortern gerne argumentiert. Das beste Argument für die neue Verordnung ist aber wohl „die Vereinheitlichung innerhalb der EU – ohne Ausnahmen“ – also egal ob große Industriebetriebe oder kleine KMUs, es werden alle gleich gesetzt.

Um was geht’s?

Um alle gesammelten und gespeicherten Daten, egal welcher Art:

  • personenbezogene Daten (Name, Adresse, Telefonnummer, Fotos, Stimme, …)
  • sensible Daten (Gesundheitszustand, politische Einstellung, …)
  • heikle Daten (Bankdaten, Passwörter, …)

Wem betrifft’s?

Grundsätzlich alle – egal ob Privatperson oder Firma: Wir alle sollten unser „Mindset“ ändern: Welche Daten gebe ich gerne bekannt? Was mache ich mit den gesammelten Daten? Wir alle wollen Klarheit! Klarheit darüber, welche Daten ich selbst abspeichere bzw. jemand anderer über mich abspeichert.

Gibt’s neue Schlagworte?

Zum Teil. Wir kennen bereits DVR-Nummer und protokollieren. Jetzt kommen auch noch Datensicherheitsmaßnahmen, „Social Hacking“ – also die Sorglosigkeit gegenüber Passwörtern (70 % menschliches Versagen) und „Schatten-IT“ – zB Cloud-Lösungen außerhalb der gesicherten Umgebung, um mal eben „etwas schneller“ zur Lösung zu kommen.

Was unterscheidet sich zu früher?

Datensicherheit wird nun groß (bzw. noch größer) geschrieben. Es geht noch mal mehr um Datenschutz in Kombination mit IT-Sicherheit. Was passiert, wenn Kundendaten (E-Mails, Termine, …) verloren gehen? Sind diese Daten sicher und befinden sich diese in einer geschützten Umgebung?

Geht es um die Stärkung des Kunden?

Zum Teil durchaus! Der Kunde hat ein Auskunftsrecht, welche Daten über ihn gespeichert werden. Dazu gibt es eine Frist von 4 Wochen. Das bereits bekannte „Recht auf Vergessen“ wird verstärkt mit einem „Recht auf Richtigstellung“. Ergänzt wird das ganze mit der sog. „Datenübertragbarkeit“, sodass die gesammelten Daten im gleichen Format wie bisher übertragen werden müssen.

Geht es um die Schwächung von Firmen?

Nur zum Teil! Die Verwaltungsstrafen wurden zwar angehoben (Höchststrafe 20 Mio. Euro), aber unserer Meinung nach wird das ohnehin nur „schwarze Schafe“ treffen.

Wie geht es weiter?

Es führt leider kein Weg vorbei, also sollte man das ganze positiv sehen. „Brave“ Firmen können das ganze als Qualitätskriterium verstehen, um sich in diesem Umfeld zu behaupten. Die gewohnten Informationspflichten bei Websites (zB Mediengesetz) und Webshops (zB Telekommunikationsgesetz) gelten natürlich weiterhin. Durch das sich zu verändernde „Mindset“ muss man sich aber in Zukunft mit neuen Fragen konfrontiert sehen, wie zB „Soll man die gesammelten Daten von ehemaligen Mitarbeitern nach 30 Monaten nicht endlich löschen, weil sie ohnehin nicht mehr gebraucht werden?

KEINE PANIK!

Weitere Auskünfte und Infos: