Nach einer langen Wartezeit und einigen Feinschliffen in den akuten Bestimmungen ist sie beschlossen: Die europäische Datenschutz-Grundverordnung (EU-DSGVO). Zum 25.05.2018 wird diese anwendbar, wohlgemerkt mit einer zweijährigen Schonfrist für europäische Unternehmen.
Datenschutz für Anwender wird größer geschrieben als zuvor
Die Europäische Union setzt in der verabschiedeten Verordnung einen klaren Fokus auf Datenschutz zugunsten von Privatpersonen. Um diesen zu gewährleisten, beinhaltet die Verordnung einige Neuerungen und strengere Forderungen an Unternehmen. Ein wesentlicher Anspruch ist dabei, dass personenbezogene Daten zukünftig innerhalb der Grenzen der europäischen Union bleiben sollen beziehungsweise nach den datenschutzrechtlichen Bestimmungen und Vorgaben gespeichert und behandelt werden. Dies bedeutet für Unternehmen, die entsprechende Daten selbst speichern, dass Inhouse- oder externe Datenschutzexperten die vorliegenden Bedingungen eingehend prüfen und Nachbesserungen getätigt werden müssen. Ein mit Kosten verbundener Aufwand, der sich angesichts der drohenden Sanktionen bei Verstößen jedoch bewährt: Laut der EU-DSGVO drohen Strafen in einer Höhe von bis zu vier Prozent des Jahreseinkommens des verantwortlichen, also die Personendaten aufnehmenden und bearbeiteten Unternehmens.
Gleichbedeutend damit müssen Unternehmen sicherstellen, dass Drittanbieter, bei denen sie die Daten ablegen, die EU-Bestimmungen einhalten. Dies wird in jenen Fällen relevant, in denen Kundendaten in Public Clouds abgelegt werden. Da dieses Vorgehen mittlerweile nicht unüblich ist und nahezu unabhängig von der Branche die Vorteile der Cloud wahrgenommen und genutzt werden, betrifft dieses Element der Verordnung wohl viele Unternehmen.
Server-Standorte als wichtiges Merkmal
Da im kommenden Mai alle EU-Länder der neuen Verordnung unterliegen, bieten sich ab dato vermehrte Rückgriffe auf Cloud-Dienstleister an, die innerhalb der EU mit eigenen Servern operieren. Tatsächlich sind sogar Neugründungen zu erwarten, die eine denkbare erhöhte Nachfrage abfangen. Die entsprechenden Anbieter unterliegen den regulativen Forderungen der EU, obgleich Unternehmen explizit aufgetragen wird, sicherzustellen, dass die von ihnen gewählten Dienstleister den Ansprüchen der europäischen Datenschutzverordnung gerecht werden. Alternativ können Unternehmen natürlich auch eigene Cloud-Hosting-Systeme entwerfen und selbst kleinere Server-Cluster aufstellen. Für die notwendige Neuanschaffung von Systemen und Serverschränken stellen Vertriebe spezialisierte Solutions zur Verfügung, beispielsweise der Shop 19power. Um einfacher sicherzustellen, dass Drittanbieter den Richtlinien der EU gerecht werden, hat das Bundesministerium für Wirtschaft und Energie ein Zertifikat entwickelt. Mit dem sogenannten Trusted Cloud Datenschutz-Profil (TCDP) existiert nunmehr ein Prüfstandard, mit dem sich entsprechende Dienstleister zertifizieren lassen können.
Mehr Rechte für Dateninhaber, mehr Pflichten für Datenverarbeiter
Grob zusammengefasst werden mit dem DSGVO das Informationsrecht, Auskunfts- und Widerspruchsrecht und das Recht auf Datenlöschung von Rechteinhabern gestärkt. Einzelpersonen müssen damit beispielsweise über jede Datenerhebung ausdrücklich und ausführlich informiert werden. Die Transparenz in Sachen Umgang mit den eigenen Daten durch Dritte innerhalb der EU wird für Privatpersonen also erheblich gestärkt. Durch das Recht auf Berichtigung und Löschung wird auch die Handlungsreichweite von Rechteinhabern erhöht. Daten, die innerhalb der EU gespeichert wurden, müssen auf angemessenes Verlangen hin möglichst unverzögert gelöscht oder berichtigt werden.