Der Countdown läuft: In 24 Monaten tritt die Datenschutz-Grundverordnung in Kraft

In 24 Monaten wird mit der Datenschutz-Grundverordnung (General Data Protection Regulation, kurz GDPR) eine neue Rechtsvorschrift eingeführt, die in allen EU-Staaten bindend ist. Vereinfacht ausgedrückt bringt die GDPR sowohl für Nutzer als auch für Unternehmen Vorteile, denn schließlich zählen Vertrauen und Sicherheit im heutigen digitalen Zeitalter zu den wichtigen Schlüsselaspekten eines erfolgreichen Geschäftes. Außerdem freuen wir uns über diese Aktualisierung des europäischen Datenschutzrechts, weil die GDPR eine frühere „Richtlinie“ (95/46/EC) ersetzt, die vor mehr als 20 Jahren entworfen wurde – also zu einer Zeit als nur ein Prozent der Europäer überhaupt Zugriff auf das Web hatte. Mit der formellen Verabschiedung der GDPR am 14. April 2016 hat nun der Countdown zu ihrem Inkrafttreten begonnen. Bis zum 25. Mai 2018 haben Unternehmen, die in einem oder mehreren der 28 EU-Mitgliedsstaaten aktiv sind, Zeit, um sich auf die Umsetzung vorzubereiten; andernfalls drohen ihnen Bußgelder in Höhe von bis zu vier Prozent ihres weltweiten Umsatzes.

Das Ziel der GDPR ist es, die Datenschutzbestimmungen an die heutigen digitalen Herausforderungen anzupassen, einheitliche Voraussetzungen innerhalb der EU zu schaffen, Durchsetzungsbefugnisse zu stärken und die Kontrolle der Nutzer über ihre persönlichen Daten zu verbessern. Auch wenn sie nicht makellos ist, hat uns die Datenschutz-Grundverordnung näher an diese Ziele herangebracht. Bei einigen Passagen liegt der sprichwörtliche Teufel im Detail und es bleibt abzuwarten, wie sie sich in der Praxis auswirken.

Davon abgesehen bringt die Grundverordnung zahlreiche Neuerungen mit sich, von denen wir an dieser Stelle fünf hervorheben möchten:

  1. Weniger ist mehr: Wir begrüßen die erneute Bestätigung der zentralen Privatsphäre-Grundsätze, denen zufolge Unternehmen beim Sammeln von Daten sparsam vorgehen und sich rechtfertigen sollen, weshalb sie sie überhaupt erheben. Bei Mozilla handeln wir entsprechend dieses Prinzips und setzen uns dafür ein, dass Unternehmen sogenannte Lean Data Practices einführen.
  2. Mehr Transparenz sorgt für informationsbasierte individuelle Entscheidungen: Ein großes Lob möchten wir dafür aussprechen, dass die Datenschutz-Grundverordnung Transparenz und das Informieren der Nutzer als Schlüsselfaktoren einordnet.
  3. Privatsphäre als Grundvoraussetzung: Unternehmen, die mit Daten arbeiten, müssen Privatsphäre in Zukunft während ihres gesamten Produkt- und Dienstleistungszyklus berücksichtigen. Konkret bedeutet das, dass schon in der Frühphase der Produktentwicklung die Achtung der Privatsphäre mitgedacht muss. Es heißt aber auch, dass ein hohes Maß an Privatsphäre immer die „Standardeinstellung“ sein sollte.
  4. Privatsphäre und Wettbewerb verstärken sich gegenseitig: Durch zusätzliche Kontrollmöglichkeiten, wie zum Beispiel die Mitnahme persönlicher Informationen, bleiben Nutzer immer die Eigentümer ihrer Daten – selbst dann, wenn sie eine Dienstleistung nicht mehr nutzen möchten. Dadurch werden Anbieterwechsel einfacher, was wiederum den Wettbewerb ankurbelt und dafür sorgt, dass Nutzer nicht an eine Online-Plattform gebunden sind.
  5. Was für den Nutzer gut ist, ist auch gut für’s Geschäft: Bessere Datenschutz- und Sicherheitsvorkehrungen reduzieren auch die Risiken, die durch das Sammeln und Verarbeiten personenbezogener Daten entstehen – sowohl für Nutzer als auch für Unternehmen. Deren Auswirkungen sind nicht unerheblich: 2015 hat Datenmissbrauch betroffene Firmen im Durchschnitt 3,79 Millionen US-Dollar gekostet; ganz abgesehen vom Kundenvertrauen, das durch solche Fälle verloren gegangen ist.

Über ihre unmittelbaren Auswirkungen hinaus hat die GDPR großes Potenzial, neue Standards zu setzen. Sie ist deutlich mehr als eine regionale Vorschrift – sie hat globale Bedeutung. Jedes Unternehmen, das innerhalb der EU Produkte oder Dienstleistungen anbietet, muss sie einhalten und zwar unabhängig davon, ob sich ihr Firmensitz in der EU befindet.

In den kommenden 24 Monaten bis zum Inkrafttreten der GDPR werden wir die Auswirkungen, die sie mit sich bringt, weiter beobachten und jede Möglichkeit nutzen, an der Ausarbeitung der letzten Einzelheiten mitzuarbeiten. Die europäischen Internetnutzer und Unternehmen überall auf der Welt möchten wir explizit darin bestärken, sich uns anzuschließen sowie die Gedanken und Updates zu verfolgen, die wir dazu auf diesem Blog veröffentlichen werden.