Vier Jahre wurde debattiert, nun hat die EU eine Reform des Datenschutzes beschlossen. Am 15.12.2015 verkündeten EU-Kommission, Europaparlament und Vertreter der einzelnen EU-Staaten, dass die neue Verordnung voraussichtlich Anfang 2018 in Kraft treten kann. Höchste Zeit für ein Update, bedenkt man, dass die derzeit gültigen Regelungen aus dem Jahr 1995 stammen und somit über 20 Jahre alt sind.

Vor allem soziale Medien wie z.B. Facebook, WhatsApp, etc. spielten in der alten Verordnung noch keine Rolle, das öffentliche Internet war ja gerade erst ein paar Jahre alt. Geradezu realitätsfern zeigen sich dann auch einzelne Bestandteile der neuen Gesetzgebung. So sollen Kinder und Jugendliche eben diese Online Dienste künftig nur noch mit Zustimmung ihrer Eltern nutzen dürfen, solange sie noch keine 16 Jahre alt sind. 

Von besonderer Bedeutung für Unternehmen ist allerdings, dass eine einheitliche Vorgabe innerhalb der einzelnen EU-Staaten bei Verstoß gegen Datenschutzvorgaben nun erreicht werden soll. Insbesondere können somit EU-Bürger nun davon ausgehen, überall in der EU ihre Klage einreichen und sich an ihre jeweilige Beschwerdestelle wenden zu können, ohne dass wie bisher nationale Eigenheiten (z.B. Sprachbarrieren oder nationale Sonderregelungen im Datenschutz) diesem Vorgehen entgegenstanden. Diese „Datenschutzgebiete“ mit für Unternehmen interessanten, da lascheren Regeln (z.B. in Irland) wird es daher zukünftig nicht mehr geben.

Weiterhin wird das Recht zur Löschung von Daten für EU-Bürger leichter durchsetzbar. Neben diesem „Recht auf Vergessen“ ist es umgekehrt aber auch einfacher, seine Daten bei einem Anbieterwechsel migrieren zu lassen (Recht auf Portabilität).

Richtig teuer kann es für Unternehmen im Zusammenhang mit den neuen Informationspflichten werden. Diese gelten für alle in der EU-tätigen Unternehmen und greifen bei festgestellten Datenlecks, um den Nutzer eine direkte Reaktion ermöglichen zu können (z.B. Sperren des Online-Zugangs). Dies deckt sich mit den Vorgaben des bereits in Kraft getretenen IT-Sicherheitsgesetzes, dass ebenfalls eine Informationspflicht für Unternehmen bei Sicherheitsverstössen vorsieht.

Hier können gegen Unternehmen bei Zuwiderhandlung gegen diese Informationspflichten Strafen bis zur Höhe von 4% des Jahresumsatzes verhängt werden. Gerade diese Neuerung wird eine Vielzahl von Unternehmen überraschen, zumal sie nicht nur auf Unternehmen mit Sitz in der EU beschränkt ist, sondern z.B. auch für US-Konzerne wie Facebook, Google und Co. gelten wird. Dazu müssen sich insbesondere Internet-Konzerne die Zustimmung zur Datennutzung ausdrücklich einholen und die Grundeinstellungen ihrer Internetprodukte datenschutzfreundlich, sprich streng nach EU-Datenschutz, voreinstellen.

Es bleibt abzuwarten, ob die jetzt beschlossene Reform auch in dieser Form 2018 umgesetzt wird oder sich wieder einige Fragestellungen ändern. Gerade das Mindestalter für soziale Medien, die hohen möglichen Strafen bei Datenschutzverstössen und die Voreinstellung von Internet-Diensten im Sinne von „Datenschutzfreundlichkeit“ bleiben spannende Diskussionsthemen für die nächsten zwei Jahre.

Verhandlungsführer des EU-Rates und des -Parlaments einigen sich auf gemeinsame Regeln zur Netzwerk- und Informationssicherheit (Cyber-Security)

Die Mitgliedsstaaten sollen insbesondere dazu angehalten werden, nationale Meldesysteme einzurichten und Informationen untereinander auszutauschen. Beteiligt werden sollen "kompetente Behörden" wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), sowie spezielle "Computer Security Incident Response Teams", die auch die Aufgaben von "Computer Emergency Response Teams" übernehmen sollen.

Die Auflagen sollen generell für Betreiber und Anbieter "essenzieller Dienste" etwa in den Bereichen Energie, Wasserversorgung, Transport, Finanzwesen, Gesundheit und Internet gelten. Dort werden konkret KRITIS-Unternehmen, sowie Online-Marktplätze, Suchmaschinen und Cloud-Anbieter genannt. Betreiber sozialer Netzwerke sind bisher nicht von den neuen Regelungen betroffen, werden jedoch mit dem neuen EU-Datenschutzgesetz in die Pflicht genommen, ihre Daten zukünftig besser zu schützen. (Nähere Informationen finden Sie hier).

Deutschland hat mit dem gültigen IT-Sicherheitsgesetz die Anforderungen aus der EU–Richtlinie bereits weitgehend in nationales Recht überführt. Darüber hinaus bestehen konkrete Vorgaben bei elektronischen Angriffen mit nachrichtendienstlichem Hintergrund.

Die Pflichten aus dem IT-Sicherheitsgesetz sollten bis spätestens 2017 für KRITIS-Unternehmen umgesetzt werden. Die betroffenen Unternehmen stehen somit vor der Herausforderung, ihre IT-Sicherheitskonzepte und -strukturen zu überarbeiten. Der Mindeststandard des BSI beinhaltet insbesondere folgende Vorgaben:

• Pflicht zur Einführung eines Mindeststandards für IT-Sicherheit gemäß gängigem Standard. Dies erfordert aufgrund der erhöhten IT-Sicherheitsanforderungen in der Regel eine Anpassung der Schutzziele und eine Neubewertung der IT-Sicherheitsvorgaben.
• Pflicht zur Durchführung regelmäßiger Audits zur IT-Sicherheit (mindestens alle 2 Jahre). Insbesondere müssen die IT-Systeme regelmäßig auf mögliche Lücken überprüft werden, um nachfolgend aufgetretene Lücken zeitnah schließen zu können (Härtung der Hardware-, Software- und Infrastrukturen).
• Meldepflicht von IT-Sicherheits- und Datenschutzverstößen, sowie von IT-Angriffen mit Schadenspotential (externe und interne Quellen) gegenüber dem BSI

Wenn die EU-einheitlichen Cybersicherheitsregelungen in der derzeitigen Form umgesetzt werden, stehen die nationalen Aufsichtsbehörden vor großen Herausforderungen. So muss der deutsche Gesetzgeber in jedem Falle darauf achten, dass es nicht zu Unstimmigkeiten zu dem erst kürzlich in Kraft getretenen nationalen IT-Sicherheitsgesetz kommt.