Regulatorische Veränderungen schlagen hohe Wellen
Nicht nur die Märkte sind im Wandel, sondern auch die Anforderungen an die Unternehmenscompliance. In diesem Jahr hat knapp ein Viertel aller Unternehmen mehr als einen Arbeitstag pro Woche damit verbracht, alle regulatorischen Veränderungen zu erfassen, wie Thomson Reuters prognostizierte. Die europäische Datenschutz-Grundverordnung (EU-DSGVO) stellt nur eine dieser Veränderungen dar. Sie allein hat weitreichende Konsequenzen für Organisationen.
Die EU-DSGVO gilt ab dem 25. Mai 2018 für alle Unternehmen und öffentlichen Stellen, die personenbezogene Daten von EU-Bürgern verarbeiten. Sie betrifft auch internationale Unternehmen, die Geschäftsbeziehungen im europäischen Binnenmarkt unterhalten. Im Fokus dieser Regulation steht ein verbesserter Datenschutz für EU-Bürger: Privatpersonen wird mehr Transparenz und Handlungsspielraum im Umgang mit ihren personenbezogenen Daten zugesprochen. Wie wirken sich diese Veränderungen auf Kundendaten in Unternehmen und öffentlichen Stellen aus?
Zwischen informationeller Selbstbestimmung und Compliance: Die Verarbeitung personenbezogener Daten
Die neue europäische Datenschutz-Grundverordnung wandelt die Richtlinien für die Verarbeitung personenbezogener Daten von EU-Bürgern. Das bedeutet für Sie im Umgang mit europäischen Kundinnen und Kunden:
1. Einwilligung
Ihre Kundinnen und Kunden müssen explizit in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Die betroffenen Privatpersonen, also Ihre Kunden, müssen der Verarbeitung und Speicherung ihrer Daten zustimmen; und zwar, bevor Ihr Unternehmen sie erhebt. Diese Einwilligung muss Ihr Unternehmen jederzeit nachweisen können.
2. Auskunftsrecht
Ihre Kunden haben das Recht, zu erfahren, ob personenbezogene Daten von ihnen verarbeitet werden. In diesem Fall können sie eine Auskunft einfordern. Sobald eine Kundin oder ein Kunde Einsicht in alle von ihnen verarbeiteten Daten verlangt, sind Sie verpflichtet, sie ihnen auf Anfrage zur Verfügung zu stellen. Hier hilft es, wenn Sie auf eine gut strukturierte und leicht zugängliche Dokumentation zugreifen können.
3. Recht auf Löschung
Ihre Kundinnen und Kunden können die vollständige Löschung ihrer personenbezogenen Daten verlangen. Bestehen sie auf das Recht, vergessen zu werden, sind Sie verpflichtet, auf Anfrage alle relevanten Daten, die in Ihrem Unternehmen vorliegen, zu bündeln und zu löschen.
4. Widerruf der Einwilligung
Ihre Kundinnen und Kunden können der Verarbeitung ihrer Daten zum Zweck der Profilbildung widersprechen. Dies erfordert eine erhöhte Transparenz für Unternehmen: Sie stehen in der Pflicht, ihr Einverständnis zur Datenverarbeitung einzuholen und im Falle eines Widerspruches die richtigen Prozesse anzustoßen, um die betreffenden Privatpersonen von der weiteren Verarbeitung personenbezogener Daten auszuschließen.
5. Datenübertragung
Alle EU-Bürger/innen haben das Recht auf eine einfache Datenübertragung zwischen den Dienstleistern. Dies beeinflusst unmittelbar den Datenaustausch über verschiedene Organisationen hinweg: Wenn Ihre Kundinnen und Kunden den Dienstleister wechseln möchten, können sie verlangen, dass Sie ihre Daten sicher an andere Unternehmen übertragen.
6. Privacy by design
Insgesamt sind alle Unternehmen und öffentlichen Einrichtungen, die personenbezogene Daten von EU-Bürgern verarbeiten, nach EU-DSGVO zu mehr Transparenz und einem einfachen Datenzugriff verpflichtet. Darunter fällt auch die empfohlene Pseudonymisierung personenbezogener Daten.
Gefährliches Fahrwasser: Datenschutz heute
In Zeiten von Big Data, CRM- und ERP-Systemen und personalisierten Marketing-Kampagnen erfordern diese regulatorischen Veränderungen ein Umdenken – und zwar in verschiedenen Bereichen einer Organisation. Das Spektrum personenbezogener Daten, auf die eine Organisation Zugriff hat, kann von Kontaktinformationen über Fotos und Kontodaten bis hin zu IP-Adressen und anderen sensiblen Daten reichen. Eine Herausforderung der EU-DSGVO liegt nicht zuletzt darin, diese Informationen in ihrer Vielzahl aus den einzelnen Unternehmensbereichen heraus zu bündeln. Denn laut Erhebungen der internationalen Forschungsplattform AIIM sind 80% aller Informationen in den Unternehmen heutzutage unstrukturiert – gefährliches Fahrwasser in Bezug auf den Datenschutz.
Um den Herausforderungen der EU-DSGVO zu begegnen, sind deshalb klare Verantwortlichkeiten, dokumentierte Prozesse und eine Compliance-Kultur im gesamten Unternehmen wichtig. Denn Organisationen sollten jederzeit beantworten können: Welche Daten von welchen Privatpersonen sind an welcher Stelle gespeichert? Welche Schritte sind nötig, um diese Daten zu löschen oder auf Anfrage an die betreffenden Personen herauszugeben?
Ob diese Fragen die Unternehmenscompliance von Organisationen in Zukunft ins Wanken bringen können? Darauf deuten aktuelle Befragungen hin.
Wer nimmt das Ruder in die Hand? Die Mehrheit der Unternehmen ist kaum auf EU-DSGVO vorbereitet
Die Mehrheit der Unternehmen ist scheinbar noch nicht ausreichend auf die EU-DSGVO vorbereitet:
- Laut einer Studie der International Data Corporation (IDC) haben 44% der befragten deutschen Unternehmen im Oktober 2017 noch keine konkreten Maßnahmen ergriffen
- Das globale Forschungsunternehmen Gartner prognostiziert, dass zum Ende des Jahres 2018 rund die Hälfte aller weltweit von der EU-DSGVO betroffenen Unternehmen hinsichtlich diesen Anforderungen nicht compliant sein wird
- Die Forschungsplattform AIIM weist im Report „Understanding GDPR Readiness in 2017“ hin: Gerade einmal 6% aller Unternehmen sind vollständig auf die EU-DSGVO vorbereitet, während die anderen Unternehmen noch entsprechende Maßnahmen planen, auf dem Radar haben oder noch gar nicht auf die Veränderungen eingestellt sind
Dabei werden Datenschutzverletzungen ab Mai 2018 teurer für Unternehmen: Die Strafzahlungen können bis zu 4% des jährlichen weltweiten Umsatzes oder 20 Millionen Euro betragen. Um dies zu verhindern, wird es für Compliance-Verantwortliche höchste Zeit, ihre Prozesse in Sachen Datenschutz auf den richtigen Kurs zu bringen.
Sie wünschen weitere Informationen? In unserer Infografik sehen Sie die wichtigsten Informationen auf einen Blick:
Hinweis: Dieser Inhalt stellt eine unverbindliche Information dar und ersetzt keinesfalls eine Rechtsberatung.