Wie passt das zusammen?

Brexit und EU-Datenschutz-Grundverordnung

Die im Vereinigten Königreich gefällte Volksentscheidung über den Austritt aus der Europäischen Union (Brexit) sorgt für Zündstoff: Auch im Hinblick auf die ab Mai 2018 in Kraft tretende EU-Datenschutz-Grundverordnung sind noch Fragen offen.

Brexit trifft auf EU-Datenschutz

Was bedeutet der Brexit für die EU-Datenschutz-Grundverordnung?

Die EU-Datenschutz-Grundverordnung (General Data Protection Regulation, GDPR) ist für viele Unternehmen ein wichtiges Thema. Denn für diejenigen, die sich nicht an die Regeln halten, bedeutet die neue Regelung hohe Bußgelder oder Sanktionen. Bis zu 20 Millionen Euro oder vier Prozent der weltweiten Jahreseinnahmen können als maximale Strafe bei der Verletzung der Richtlinien erhoben werden. Eine Summe, die für die meisten Unternehmen schwere Zeiten und für einige sogar das Ende bedeuten könnte. Doch was geschieht mit Daten aus Unternehmen, die ihren Sitz in Großbritannien haben?

Zunächst steht fest, dass auch Finanzdienstleister aus Großbritannien Strategien entwickeln müssen, um die Anforderungen der Datenschutz-Grundverordnung umzusetzen zu können, denn bisher liegt kein Antrag von Großbritannien nach Artikel 50 des Vertrages von Lissabon, der den Austrittsprozess regelt, vor. Zwar möchte man diesen bis März 2017 präsentieren, allerdings kann sich der Prozess des EU-Ausstiegs in die Länge ziehen. Streng genommen muss der Austrittsprozess von Großbritannien nach zwei Jahren abgeschlossen sein. Ohne die formale Beantragung des Austritts nach Artikel 50 kann der Prozess nicht starten.

Mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung gewinnen Bürger mehr Kontrolle über ihre Daten, indem sie beispielsweise bestimmen können, wann und welche persönlichen Daten komplett gelöscht werden. Dies betrifft alle Organisationen, die über Daten von EU-Bürgern verfügen – unabhängig des Brexit-Zeitrahmens. Ebenfalls wichtig an dieser Stelle zu erwähnen ist, dass sich die Grundverordnung auf den Datenschutz für alle EU-Bürger bezieht. Bürger sind nicht nur Kunden, sondern gleichzeitig auch Mitarbeiter – das heißt, die Datenschutz-Grundverordnung gilt nicht nur für Kundendaten.

Was genau bedeutet das für die persönlichen Daten von Bürgern, die sich innerhalb Großbritannien befinden?

Eines ist klar: Solange Großbritannien ein vollständiges EU-Mitglied ist, gelten die Richtlinien der GDPR-Grundverordnung auch für alle Daten, die sich im eigenen Unternehmensbesitz befinden. Der wichtigste Unterschied nach dem „Brexit“ ist, dass zwar die persönlichen Daten von Bürgern aus Großbritannien nicht mehr unter die Datenschutz-Grundverordnung fallen; aber die Daten aller anderen EU-Bürger schon. Die Konsequenz daraus ist, dass Unternehmen unterscheiden müssen, welche Daten von EU-Bürgern stammen und welche nicht. In Zukunft müssen neue Regelungen festgelegt werden, die den Datenschutz von persönlichen Informationen inner- und außerhalb des Vereinigten Königreichs regeln.

Mit dem Inkrafttreten der Grundverordnung ab Mai 2018 müssen die einzelnen Regelungen der Datenschutz-Grundverordnung innerhalb von 22 Monaten umgesetzt worden sein. Sobald Großbritannien Artikel 50 aktiviert, dauert es ca. noch bis zu 24 Monate, bis der Austritt vollständig vollzogen ist. Was bleibt, ist eine Zeitspanne von zwei Monaten, in denen Unternehmen die Grundverordnung erfüllen müssen, denn sonst drohen hohe Sanktionen und Bußgelder.

Die Vorbereitungen laufen auf Hochtouren. Was müssen Unternehmen alles beachten, um Daten von EU- und nicht-EU-Bürgern zu trennen?

Daten sind überall – in den unterschiedlichsten Formaten an den verschiedensten Quellen. Ob Datensilos oder digitale Fußabdrücke, das Aufspüren aller wichtigen Daten ist Pflicht. Wie sonst können Unternehmen feststellen, ob sie im Besitz von Daten von Nicht-EU-Bürgern sind? Mit dem richtigen Wissen gewappnet, müssen auch Richtlinien, die den Datenzugriff regeln, implementiert werden – inner- und außerhalb des Unternehmens. Neu ist: Mit dem „Recht auf Vergessenwerden“ gewinnen Kunden mehr Kontrolle über ihre eigene Daten. Die Kenntnisse darüber, wie oft es in Anspruch genommen wird, sollten Entscheidungsfindungen beeinflussen. Es muss auch beachtet werden, dass die Entfernung von Daten innerhalb verschiedener Systeme und unterschiedlicher Formate zeit-und kostenintensiv ist. Hier müssen Wege gefunden werden, die Kosten, Risiken und Zeitaufwand so niedrig wie möglich halten. Zusammengefasst sollten Unternehmen auf folgende Bereiche einen zweiten Blick werfen:

  • Data Intelligence: Automatisierte Prozesse, die alle relevanten Kundendaten über alle Anwendungen und Datenspeicher eines Unternehmens hinweg, aufspüren und so bei der Trennung von EU und Nicht-EU Bürgern Daten unterstützen. Flexible und skalierbare Scan-Techniken bestimmen schnell und genau alle Orte, an denen sich Kundendaten befinden und visualisieren diese mithilfe von Dashboards und Reports.
  • Data Masking: Das höchste Gebot für sensible Daten ist der Schutz. Mit Data Masking wird der Zugang zu Kundendaten nur für autorisierte Personen freigelegt. So sind die persönlichen Informationen vor Fremden geschützt und können nicht für Fremde Zwecke genutzt werden.
  • Master Data Management: Mithilfe von Master-Data-Management-Prozessen werden Daten aus dem gesamten Unternehmen gesammelt und mithilfe verschiedener Techniken Kunden zugeordnet. Damit werden Informationen aus allen unterschiedlichen Systemen unter einem Kunden zusammengeführt.
  • Information Lifecycle Management: Durch festgelegte Parameter wird festgelegt welche Daten, wann und wie gelöscht werden. Somit kann sichergestellt werden, dass das „Recht auf Vergessenwerden“ auch wirklich vollzogen wird.

* Der Autor Dirk Häußermann ist Geschäftsführer EMEA Central bei Informatica.

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok