Die neue Datenschutz-Grundverordnung (EU-DSGVO), die 2016 vom Europäischen Parlament verabschiedet wurde, regelt einheitlich für alle Mitgliedsstaaten, wie personenbezogene Daten von Unternehmen und öffentlichen Stellen verarbeitet werden dürfen. Dabei wird insbesondere die Privatsphäre der Nutzer besser geschützt.
Diese erhalten nun erweiterte Beschwerde- und Rechtsschutz-möglichkeiten. Internet-Nutzern werden mehr Rechte gegenüber Anbietern eingeräumt. Das Recht auf „Vergessen werden“ gehört ebenso dazu sowie die Datenmitnahme von einem zum nächsten Anbieter (Portabilität). Eine Einwilligung zur Verarbeitung der persönlichen Daten ist künftig erst Personen mit 16 statt 13 Jahren möglich.
An die neuen Regeln müssen sich nicht nur europäische Unternehmen und Behörden, sondern auch alle Firmen, die in der EU eine Niederlassung unterhalten und im Rahmen ihrer Tätigkeit in der EU Daten erhalten und verarbeiten, zwingend halten. Hier spielt auch keine Rolle, ob sie Daten in oder außerhalb der EU Verarbeiten Art. 2 und Art. 3 DSGVO). Die neue Verordnung soll Anfang 2018 in Kraft treten. In Deutschland ersetzt die Verordnung die bisherige EG-Datenschutzrichtlinie aus dem Jahr 1995 und weite Teile des Bundesdatenschutzgesetzes. Dabei gelten in Deutschland weiterhin die Regelungen für einen Datenschutzbeauftragten. Nach Art. 37 Abs. 6 DSGVO kann weiterhin ein externer Dienstleister beauftragt werden. Seine Kontaktdaten sind zu veröffentlichen und der Aufsichtsbehörde mitzuteilen. Ferner muss eine Dokumentation der Datenverarbeitung entlang der Unternehmensprozesse erfolgen, denn die EU-Datenschutzreform besteht weiterhin auf umfangreiche Dokumentationspflichten. So ist bspw. ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten zu führen. Dies könnte je nach Unternehmensgröße und Geschäftsfeld neben Personal- und Kundendaten auch Zulieferer und Dienstleister betreffen. Außerdem müssen die Daten künftig in einem gängigen Format gut lesbar zur Verfügung stehen. Darüber hinaus müssen Unternehmen einen strengeren Rahmen bei meldepflichtigen Vorfällen berücksichtigen, also schneller über Datenlecks oder Datenmissbrauch informieren.
Damit liegt ein funktionierendes Sicherheitsmanagement im Datenschutzweiterhin in der Managerverantwortung. Wer gegen die neuen Richtlinien verstößt, dem drohen Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes. Unternehmen, die sich bisher noch nicht intensiv mit dem Thema beschäftigt haben, können sich über die neue Verordnung auch bei ihrem Dienstleister aus dem Bereich Arbeits- und Gesundheitsschutz informieren. Diese verfügen i.d.R. auch über umfassenden Informationen und Leistungen rund um das Thema Datenschutz.