Die EU-Datenschutzreform enthält eine Reihe von wichtigen Datenschutzregeln für Unternehmen. Nach Inkrafttreten der Verordnung müssen Unternehmen, die Daten sammeln, verarbeiten und verwalten strengere Datenschutzregeln einhalten. Neben der Frage wie diese neuen Regeln genau aussehen, ist die Frage nach den Sanktionen bei Nichteinhaltung – also was passiert wenn Unternehmen fahrlässig mit den gesammelten Daten von BürgerInnen umgehen und sie nicht ausreichend schützen – ein umkämpfter Verhandlungsgegenstand im Datenschutzpakets.
Selbstregulierung reicht nicht aus, es braucht Gesetze!
Die Sammlung, Speicherung und Verknüpfung von Daten nimmt immer mehr zu und ist zu einem lukrativen Geschäftszweig für Unternehmen geworden. Mit dem Wachsen der Datenberge wächst auch die unternehmerische Verantwortung zu einem verantwortungsvollen Umgang und Schutz der Daten. Hier reicht Selbstregulierung und Freiwilligkeit bei weitem nicht aus: Damit die persönlichen Daten geschützt werden, braucht es strenge gesetzliche Regeln und Vorgaben sowie Sanktionen bei Nichteinhaltung. BetreiberInnen müssen anhand von strengen gesetzlichen Regelungen die Sicherheit und den Schutz der von ihnen gesammelten und gehaltenen Daten garantieren.
Strafen, die den finanziellen Vorteil des Verstoßes übersteigen!
Verletzt ein Unternehmen wesentliche Pflichten des Datenschutzes und verstoßt gegen die Bedingungen zur Verarbeitung (Benachrichtigungspflichten bei Zugriff durch Dritte nicht nachgekommen wurde, Datenschutzsiegel missbräuchlich genutzt, unzulässig Daten außerhalb der EU übertragen oder gegen ein durch die Datenschutzbehörden ausgesprochenes Verarbeitungs- oder Übertragungsverbot verstoßen wurde, … ) sollen die Datenschutzaufsichtsbehörden dies mit abschreckenden Strafen ahnden können. Die in der Verordnung niedergeschriebenen Strafen sollen auf jeden Fall den finanziellen Vorteil des Verstoßes übersteigen und von derzeit zwei Prozent Höchststrafe bei schweren Vergehen auf die fünf Prozent des ursprünglichen Kommissionsentwurf (Artikel 79) angepasst werden.
Datendiebstahlsanzeige verschärfen nicht abschwächen!
Im EU-Recht war das bisher nicht vorgesehen, die neue Datenschutzverordnung sieht sie in Artikel 31 und 32 des Verordnungsvorschlages vor: Die sogenannte „data breach notification“. Ernsthafte Datendiebstähle müssen an die nationale Datenschutzbehörde und an die Betroffenen gemeldet werden. Die Benachrichtigung sollte ohne Verzögerung und wenn machbar innerhalb von 24 Stunden erfolgen, Unternehmen haben die dementsprechenden Vorkehrungen zu treffen, damit das möglich wird, schneller und umfangreicher über Datenverluste und Diebstähle informieren. Auch die Benachrichtigung der Öffentlichkeit durch eine gesammelte Veröffentlichung durch die Datenschutzbehörde und auch über die Medien ist in diesem Zusammenhang wichtig.
Datensicherheit beweisen statt vorzutäuschen!
Gerade im Zusammenhang mit Datenunsicherheit sind es Datenlecks von Firmen, welche Kettenreaktionen an Datenmissbrauch lostreten. Für den, die EinzelneN ist es kaum noch nachvollziehbar geschweige den nachweisbar, dass Betrugsfälle beispielsweise mit gestohlenen Bankdaten aus einer Datensammlung von Firma XY stammen. In solchen Fällen sollen Firmen zum Beispiel nachweisen, dass sie allen Datensicherheitspflichten nachgekommen sind. So wird ein Riegel vorgeschoben, dass NutzerInnen das Risiko aufgrund fehlender Sicherheitsvorkehrungen der Unternehmen zu tragen haben. Die Beweislast sollte bei der datenverarbeitenden Stelle liegen, da nur so gewährleistet ist, dass die Verantwortlichen zur Verantwortung gezogen werden. Die Verordnung geht zwar auf die Beweislast bei der datenverarbeitenden Stelle (zum Beispiel bei der Zustimmung in Artikel 7 oder auch in Artikel 12 bzw. 14 bei Informationen der betroffen Personen) ein, lässt sich aber noch verstärken.
Links zur EU-Datenschutzreform:
Mehr Informationen von MEP Josef Weidenholzer: „Household-Exemption limitieren?“ auf www.weidenholzer.eu/rl15
Stellungnahme der Digitalen Gesellschaft zu Datenschutz auf EU-Ebene
Verlauf & Players VO: http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2012/0011(COD)&l=en
Verlauf & Players RL: http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2012/0010(COD)&l=en
Alle Berichte/Amendments/WorkingDocs, etc.. hier – in den Sitzungsunterlagen zum Ausschuss: http://www.europarl.europa.eu/meetdocs/2009_2014/organes/libe/libe_20130121_1500.htm
Kommissionsseite zur Reform: http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
EU-Datenschutzpaket auf Twitter:#EUdateP