Datenschutz-Grundverordnung

Was die EU-Richtlinie für Software und Dienste bedeutet

| Autor / Redakteur: Ariane Rüdiger / Stephan Augsten

Wer persönliche Informationen erhebt, muss künftig genau Auskunft darüber geben, welche Informationen zu welchem Zweck benötigt werden.
Wer persönliche Informationen erhebt, muss künftig genau Auskunft darüber geben, welche Informationen zu welchem Zweck benötigt werden. (Bild: Archiv)

Viele Unternehmen wollen in der Cloud und mit Kundendaten Geld verdienen. Durch Compliance-Richtlinien wie die geplante Datenschutz-Grundverordnung der EU verschärfen sich aber die Spielregeln. Applikationen und Geschäftsprozesse müssen demnächst wohl auf die Anforderungen angepasst werden.

Datenschutz und -sicherheit erscheinen in den meisten Studien als wichtige Hemmfaktoren für Technologien wie Big Data und Cloud Computing. Unternehmen müssen in Zukunft nicht mehr nur darauf achten, ihre Daten wirksam vor unbefugten Eindringlingen zu schützen. Mehr als bisher müssen sie auch dafür sorgen, Daten ihrer Kunden nur in dem Umfang für ihre Aktivitäten zu nutzen, wie das der neue Rechtsrahmen vorschreibt.

Momentan sieht das Datenschutzrecht in jedem europäischen Land anders aus – teuer und unbefriedigend für Unternehmen und Nutzer. Deshalb arbeiten die europäischen Gremien schon seit geraumer Zeit an einer aktualisierten Datenschutzverordnung. Die alte Richtlinie 95/46/EG (engl.: 95/46/EC) stammt aus dem Jahr 1995, als nahezu alle der Technologien (Cloud, Mobile, Big Data, Social), die man derzeit unter dem Begriff „dritte Plattform“ zusammenfasst, noch nicht existierten.

Die neue Verordnung steht nun unmittelbar vor der Verabschiedung. Da es sich um eine Verordnung handelt, gelten die dort festgelegten Regeln unmittelbar, die einzelnen Staaten haben also keinen Spielraum, selbst abweichende Regelungen zu implementieren. Vermutlich dauern die Verhandlungen deshalb sehr lang, der erste zur Kommentierung freigegebene Entwurf löste 2012 Tausende Änderungsvorschläge aus.

Sicherheit und Datenschutz von Grund auf mitdenken

Wenn nicht noch etwas Unvorhergesehenes passiert, soll die Direktive spätestens Anfang 2016 in Kraft treten. Dann bleiben Unternehmen in der Regel zwei Jahre, ihr Geschäftsgebaren daran anzupassen. Die Umsetzung der Vorgaben wird die Gestaltung von Software und Benutzerschnittstellen verändern. „Security/Data Protection by Default und by Design“ heißt das neue Mantra.

Das hat auch Auswirkungen auf Entwicklungsumgebungen, wie Rob Steward, Chefentwickler bei Progress, betont: „Wir werden unsere Entwicklungssoftware so umstellen, dass bei Applikationen, die mit unseren Lösungen entwickelt werden, grundsätzlich die höchste statt wie bisher die niedrigste Sicherheitsstufe voreingestellt ist“. Selbst Buttons müssen entsprechend umgestaltet werden. Bei anderen Anbietern von Entwicklungsplattformen dürften ähnliche Überlegungen stattfinden.

Bei nachgewiesener Nicht-Compliance mit der neuen Verordnung drohen Strafzahlungen – bis zu 100 Millionen Euro oder fünf Prozent des globalen Umsatzes sind möglich, auch für Unternehmen mit Sitz im Ausland. Denn die Verordnung gilt für Firmen, die Kunden aus der EU bedienen, unabhängig davon, wo das Rechenzentrum oder die Cloud sich befinden.

Betroffen von den neuen Datenschutzregeln sind alle Informationen, mit denen sich ein Individuum identifizieren lässt (persönliche Daten). Für die Nutzung von Daten außerhalb „legitimer Interessen und kompatibler Zwecke“ muss vorher explizit die konkrete Einwilligung eingeholt werden. Alle über eine Person gespeicherten Daten müssen portabel sein, um sie dem Anwender auf Verlangen auszuhändigen.

Sicherheitsvorfälle und Datenschutzverstöße müssen innerhalb eines vorbestimmten Zeitraumes an die Behörden und auch an betroffene Bürger gemeldet werden – letzteres, wenn sie negative Effekte zu befürchten haben. Die Meldefrist ist Thema heißer Debatten. Derzeit sind 72 Stunden im Gespräch. Typische Anwendungsfelder sind Datenanalysen fürs Marketing, Kunden- und Lieferdatenbanken, Garantiedaten, aber auch Falldaten aus Medizin, Versicherungen oder dem öffentlichen Sektor.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43759407 / Recht und Datenschutz)