Die neue Daten­schutz-Grund­verord­nung (EU-DSGVO), die 2016 vom Europäis­chen Par­la­ment ver­ab­schiedet wurde, regelt ein­heitlich für alle Mit­gliedsstaat­en, wie per­so­n­en­be­zo­gene Dat­en von Unternehmen und öffentlichen Stellen ver­ar­beit­et wer­den dür­fen. Dabei wird ins­beson­dere die Pri­vat­sphäre der Nutzer bess­er geschützt. 

Diese erhal­ten nun erweit­erte Beschw­erde- und Rechtss­chutz-möglichkeit­en. Inter­net-Nutzern wer­den mehr Rechte gegenüber Anbi­etern eingeräumt. Das Recht auf „Vergessen wer­den“ gehört eben­so dazu sowie die Daten­mit­nahme von einem zum näch­sten Anbi­eter (Porta­bil­ität). Eine Ein­willi­gung zur Ver­ar­beitung der per­sön­lichen Dat­en ist kün­ftig erst Per­so­n­en mit 16 statt 13 Jahren möglich.

An die neuen Regeln müssen sich nicht nur europäis­che Unternehmen und Behör­den, son­dern auch alle Fir­men, die in der EU eine Nieder­las­sung unter­hal­ten und im Rah­men ihrer Tätigkeit in der EU Dat­en erhal­ten und ver­ar­beit­en, zwin­gend hal­ten. Hier spielt auch keine Rolle, ob sie Dat­en in oder außer­halb der EU Ver­ar­beit­en Art. 2 und Art. 3 DSGVO). Die neue Verord­nung soll Anfang 2018 in Kraft treten. In Deutsch­land erset­zt die Verord­nung die bish­erige EG-Daten­schutzrichtlin­ie aus dem Jahr 1995 und weite Teile des Bun­des­daten­schutzge­set­zes. Dabei gel­ten in Deutsch­land weit­er­hin die Regelun­gen für einen Daten­schutzbeauf­tragten. Nach Art. 37 Abs. 6 DSGVO kann weit­er­hin ein extern­er Dien­stleis­ter beauf­tragt wer­den. Seine Kon­tak­t­dat­en sind zu veröf­fentlichen und der Auf­sichts­be­hörde mitzuteilen. Fern­er muss eine Doku­men­ta­tion der Daten­ver­ar­beitung ent­lang der Unternehmen­sprozesse erfol­gen, denn die EU-Daten­schutzre­form beste­ht weit­er­hin auf umfan­gre­iche Doku­men­ta­tion­spflicht­en. So ist bspw. ein Verze­ich­nis aller Ver­ar­beitungstätigkeit­en von per­so­n­en­be­zo­ge­nen Dat­en zu führen. Dies kön­nte je nach Unternehmensgröße und Geschäfts­feld neben Per­son­al- und Kun­den­dat­en auch Zulief­er­er und Dien­stleis­ter betr­e­f­fen. Außer­dem müssen die Dat­en kün­ftig in einem gängi­gen For­mat gut les­bar zur Ver­fü­gung ste­hen. Darüber hin­aus müssen Unternehmen einen stren­geren Rah­men bei meldepflichti­gen Vor­fällen berück­sichti­gen, also schneller über Daten­lecks oder Daten­miss­brauch informieren. 

Damit liegt ein funk­tion­ieren­des Sicher­heits­man­age­ment im Daten­schutzweit­er­hin in der Man­agerver­ant­wor­tung. Wer gegen die neuen Richtlin­ien ver­stößt, dem dro­hen Strafen von bis zu vier Prozent des weltweit­en Jahre­sum­satzes. Unternehmen, die sich bish­er noch nicht inten­siv mit dem The­ma beschäftigt haben, kön­nen sich über die neue Verord­nung auch bei ihrem Dien­stleis­ter aus dem Bere­ich Arbeits- und Gesund­heitss­chutz informieren. Diese ver­fü­gen i.d.R. auch über umfassenden Infor­ma­tio­nen und Leis­tun­gen rund um das The­ma Datenschutz.