Die Datenschutzbestimmungen ändern sich seit einigen Jahren immer wieder. Doch nun steht die weitreichendste Revision der europäischen Rechtsvorschriften über den Datenschutz und die Wahrung der Privatsphäre unmittelbar bevor. Sie wird eine stärkere Regulierungskontrolle für die personenbezogenen Daten der EU-Bewohner durchsetzen und alle globalen Unternehmen dazu zwingen, den Umgang mit Daten wesentlich zu verändern. Die Strafen für die Nichteinhaltung sind hoch. Sie ist in der EU schon seit gut einem Jahr in Kraft, doch die Unternehmen haben noch bis nächsten Mai Zeit, sich darauf einzustellen.
- Analysiert der Betreiber einer Website das Nutzerverhalten seiner Besucher, ist er verpflichtet, die Einwilligung für die Verwendung der Nutzerdaten einzuholen. Diese Einwilligung muss freiwillig und unmissverständlich sein. Ein Hinweis in den AGBs wird nicht mehr reichen. Betroffen sind auch die HR-Bereiche oder Kundendaten.
- Ab einer Firmengrösse von 250 Mitarbeitern oder wenn ein Unternehmen systematisch mit Personendaten arbeitet, muss ein Datenschutzbeauftragter bestimmt werden. Diese Stelle rapportiert direkt an die Geschäftsleitung, muss aber unabhängig genug sein, um unverzüglich Meldung an die Behörden zu erstatten, falls es zu einer Datenschutzverletzung kommt. Diese Meldung muss innerhalb von 72 Stunden erfolgen. Zudem müssen in allen Fällen auch die betroffenen Personen über den Vorfall informiert werden.
- Die Unternehmen müssen künftig schon bei der Entwicklung neuer Produkte und Dienstleistungen dem Schutz von Personendaten Rechnung tragen («privacy by design and by default»). Vor allem IoT-Produkte wie z.B. Fitnesstracker werden davon betroffen sein.
Vor allem, wenn Firmen über Jahre hinweg personenspezifische Daten angesammelt haben, aber nicht genau über deren Umfang Bescheid wissen, drängt sich Handlungsbedarf auf. In diesen Fällen wird geraten, die Unterstützung eines externen Spezialisten in Anspruch zu nehmen.