Geplante EU-Datenschutzrichtlinie nimmt Unternehmen in die Pflicht

Datenschutz

25.01.2012 – Eine strengere EU-Datenschutzrichtlinie könnte europäische Unternehmen bald dazu zwingen, ihre Daten besser zu schützen und Sicherheitsvorfälle zu melden.

Darauf weist Iron Mountain, ein Anbieter von Services für das Informationsmanagement, anlässlich des europäischen Datenschutztages am 28. Januar hin. Demnach sollen die Pläne für die neuen Bestimmungen die EU-Datenschutzrichtlinie 95/46 ablösen, die seit 13 Jahren für europäische Unternehmen gelte.

Mehr Pflichten und härtere Strafen bei Verstößen

Der bürokratische Aufwand zur Einhaltung von so genannten Compliance-Richtlinien werde sich dadurch wahrscheinlich reduzieren. Gleichzeitig würden Unternehmen mit großer Wahrscheinlichkeit stärker in die Pflicht genommen, ihre Daten zu schützen und Sicherheitsvorfälle zu melden bzw. zu bestätigen.

Außerdem kommen mit der neuen Richtlinie laut Iron Mountain härtere Strafen auf diejenigen zu, die gegen die Bestimmungen verstoßen. Der durchgesickerte EU-Vorschlagsentwurf umfasse drei Hauptanforderungen, die die Geschäftsprozesse vieler europäischer Unternehmen beeinflussen würden.

Iron Mountain zeigt, auf welche Anforderungen sich Verantwortliche besonders vorbereiten sollten:

1. Meldepflicht für Sicherheitsvorfälle

Laut dem Vorschlag müssten die zuständigen Datenschutzbehörden sowie sämtliche betroffene Personen innerhalb von 24 Stunden von einem Sicherheitsvorfall in Kenntnis gesetzt werden. Dazu zählen auch die unbefugte Vernichtung und der Verlust von Daten.

Die Datenschutzbehörden müssen selbst dann informiert werden, wenn bei einem Vorfall kein unmittelbares Risiko für die Daten besteht. Es sei jedoch offen, ob es auf die Anzahl gestohlener Datensätze oder die Dokumente ankommt oder auf die Art der Informationen. Unternehmen sollten für beide Möglichkeiten gerüstet sein.

Wenn Unternehmen keine vollständige Kontrolle leisten können, müssen sie in Zukunft mit regelmäßigen Prüfungen durch Aufsichtsbehörden rechnen.

2. Ernennung von Datenschutzbeauftragten

Alle Unternehmen mit mehr als 250 Mitarbeitern und alle öffentlichen Einrichtungen wären EU-weit dazu verpflichtet, einen Datenschutzbeauftragten zu bestimmen. In Deutschland ist die Ernennung eines Datenschutzbeauftragten bereits im Bundesdatenschutzgesetz verankert.

Die Regelung betrifft Firmen, in denen personenbezogene Daten wie beispielsweise Adress- oder Kontoinformationen automatisiert verarbeitet werden und durch die Hände von mindestens zehn Mitarbeitern gehen.

3. Deutlich höhere Strafen

Mit der neuen Richtlinie könnten Regulierungsbehörden bei Verstößen in Zukunft deutlich höhere Strafen verhängen. Bei öffentlichen Institutionen und Behörden sind Bußgelder von bis zu einer Million Euro geplant, bei Unternehmen sollen sogar Strafen von bis zu fünf Prozent der weltweiten Einnahmen verhängt werden können.

Unternehmen sollten sich vorbereiten

Hans-Günter Börgmann, Geschäftsführer der Iron Mountain Deutschland GmbH: "Die geplante Datenschutzrichtlinie ist in vielerlei Hinsicht positiv für die Verbraucher. Sie zwingt Unternehmen aber auch dazu, ihr bestehendes Informationsmanagement und die entsprechenden Sicherheitsmaßnahmen kritisch unter die Lupe zu nehmen. Unternehmen müssen keine Angst vor der neuen EU-Richtlinie haben – sollten aber gut vorbereitet sein."

Wer klare Richtlinien zur Datenerfassung und Nutzung von Daten einführe und die eigenen Mitarbeiter entsprechend schule, sei in Sachen Datenschutz auf dem richtigen Weg. (uqrl)