Die EU-Datenschutzverordnung in a Nutshell

Der Vorschlag für die Datenschutz-Grundverordnung stellt mit 3.999 Änderungen und Ergänzungen auf seinem Weg zum Gesetz einen neuen Rekord auf. Nachdem der Vorschlag in einem langwierigen Verfahren gründlich geprüft worden war, stellte sich das EU-Parlament hinter die Datenschutzbemühungen und segnete die Datenschutz-Neuregelung im März 2014 nahezu einstimmig mit 621 Ja-Stimmen, 10 Gegenstimmen und 22 Enthaltungen ab. Auch wenn jetzt eine neuerliche Prüfung und Billigung durch den Rat der Europäischen Union ansteht, ist es wahrscheinlich, dass die zukünftige Gesetzgebung dem jetzigen Vorschlag folgt.

Wir greifen im Folgenden einige Artikel heraus, um beispielhaft zu erläutern, was der Vorschlag für den Schutz sensibler Daten vorsieht:

Artikel 305 betrifft die Sicherheit der Datenverarbeitung:

1. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik und der Implementierungskosten technische und organisatorische Maßnahmen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken unter Berücksichtigung der Ergebnisse der Datenschutz-Folgenabschätzung gemäß Artikel 33 angemessen ist.

1a. Eine solche Sicherheitspolitik umfasst – unter Berücksichtigung des Stands der Technik und der Implementierungskosten – Folgendes:

a) die Fähigkeit zu gewährleisten, dass die Vollständigkeit der personenbezogenen Daten bestätigt wird; b) die Fähigkeit, die Vertraulichkeit, Vollständigkeit, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit und den Zugang zu Daten rasch im Falle eines physischen oder technischen Vorfalls (…) wiederherzustellen (…)

1. Die in Absatz 1 genannten Maßnahmen bewirken zumindest, dass a) sichergestellt wird, dass nur ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten erhalten, b) gespeicherte oder übermittelte personenbezogene Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust oder unbeabsichtigter Veränderung und unbefugter oder unrechtmäßiger Speicherung oder Verarbeitung, unbefugtem oder unberechtigtem Zugang oder unbefugter oder unrechtmäßiger Weitergabe geschützt werden, und c) die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten gewährleistet wird.

Kurzum: Dieser Artikel schreibt vor, dass Unternehmen dem aktuellen Stand der Technik entsprechende technische Kontrollmechanismen zum Schutz von Daten einführen müssen. Der Artikel schreibt nicht vor, welche Technologien für diese Mechanismen verwendet werden sollen, aber in einem dritten Abschnitt heißt es, dass der Europäische Datenschutzausschuss das Recht hat, zu einem späteren Zeitpunkt „den aktuellen Stand der Technik für bestimmte Sektoren und Datenverarbeitungssituationen zu bestimmen“.

Bei einer Verletzung des Schutzes personenbezogener Daten schreibt Artikel 316 des Vorschlags vor, dass das Unternehmen unverzüglich die Aufsichtsbehörde benachrichtigt. Das Unternehmen ist unter Umständen verpflichtet, die von einer Verletzung des Schutzes ihrer personenbezogenen Daten betroffenen Personen zu benachrichtigen. In Artikel 327 heißt es:

1. Der für die Verarbeitung Verantwortliche benachrichtigt im Anschluss an die Meldung nach Artikel 31 die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten, die Privatsphäre, die Rechte oder die berechtigten Interessen der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird.
2. (…)
3. Die Benachrichtigung der betroffenen Person über die Verletzung des Schutzes personenbezogener Daten ist nicht erforderlich, wenn der für die Verarbeitung Verantwortliche zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er geeignete technische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Durch diese technischen Sicherheitsvorkehrungen sind die betreffenden Daten für alle Personen zu verschlüsseln, die nicht zum Zugriff auf die Daten befugt sind.

Wenn die Daten zum Zeitpunkt des Verlusts so geschützt waren, dass sie für unbefugte Personen unbrauchbar sind und das Unternehmen dies gegenüber der Aufsichtsbehörde nachweisen kann, muss das Unternehmen die Personen, deren Daten von dem Verlust oder Diebstahl betroffen sind, nicht benachrichtigen.

Wenn ein Unternehmen diese Vorschriften (d. h. Einführung interner Richtlinien und Umsetzung geeigneter Maßnahmen, um die Einhaltung der Bestimmungen zu gewährleisten und nachzuweisen, oder Benachrichtigung der Aufsichtsbehörde und gegebenenfalls der von der Verletzung des Schutzes personenbezogener Daten betroffenen Person) nicht erfüllt, sieht Artikel 798 („Verwaltungsrechtliche Sanktionen“) vor, dass die Aufsichtsbehörde befugt ist, mindestens eine der folgenden Sanktionen zu verhängen:

1. a) eine schriftliche Verwarnung im Fall eines ersten und nicht vorsätzlichen Verstoßes,
2. b) regelmäßige Überprüfungen betreffend den Datenschutz,
3. c) eine Geldbuße, bis zu 100 000 000 EUR oder im Fall eines Unternehmens bis zu 5 % seines weltweiten Jahresumsatzes, je nachdem, welcher der Beträge höher ist.

Kurz zusammengefasst: Wenn Sie nicht über die geeignete Technologie zum Schutz sensibler Daten verfügen, müssen Sie unter Umständen zahlen – direkt an die Aufsichtsbehörde und indirekt infolge einer Schädigung der Reputation, des Firmen-und Geschäftswerts und des Vertrauens der Kunden. Unternehmen hingegen, die ihre Daten verschlüsseln, schützen ihre Kunden – und sich selbst.