Die Datenschutz-Grundverordnung der Europäischen Union soll den Flickenteppich der Datenschutzbehörden in den 28 Mitgliedstaaten durch einen unionsweiten Rahmen ersetzen. Darüber hinaus gilt sie für alle Nicht-EU-Unternehmen, die mit den Daten von EU-Bürgern in der Union umgehen. Dies bedeutet, dass die größten Cloud- und Social-Media-Unternehmen wie Google, Facebook, Twitter, Microsoft, Apple die Vorschriften einhalten müssen.
Der erste Entwurf der Verordnung wurde 2012 von der Europäischen Kommission veröffentlicht. Es ist zu hoffen, dass bis Ende 2015 eine endgültige Einigung erzielt wird. Damit wird dann der Zweijahreszeitraum eingeleitet, vor dem die DSGVO in Kraft tritt, was bedeutet, dass sie theoretisch bis Ende 2017 in den 28 Mitgliedstaaten gelten sollte.
Eine große Veränderung für jedes Unternehmen, das mit personenbezogenen Daten umgeht, besteht darin, dass es die klare Zustimmung von Kunden, Mitarbeitern und Lieferanten zur Verwendung ihrer Daten einholen muss. Dies gilt sowohl für Daten, die nach der Umsetzung der Verordnung erhoben werden, als auch - was entscheidend ist - für Daten, die bereits vorhanden sind.
Bewährtes Verfahren: Alle vorhandenen Daten müssen geprüft werden, um sicherzustellen, dass sie dem neuen Standard entsprechen.
Der aktuelle Entwurf der Verordnung sieht vor, dass jede Organisation, die einen Verstoß erleidet, dies innerhalb von 72 Stunden der Datenschutzbehörde und allen von einem Verstoß Betroffenen melden muss.
Bewährtes Verfahren: Organisationen weltweit wären nach der DSGVO verpflichtet, EU-Bürger innerhalb von 72 Stunden über jede Datenschutzverletzung zu informieren.
Unternehmen, die mit den Daten von EU-Bürgern umgehen, müssen Daten "unverzüglich" löschen, wenn die Person sie dazu auffordert, wenn die Daten unrechtmäßig verarbeitet wurden oder wenn sie gesetzlich dazu verpflichtet sind.
Bewährtes Verfahren: Jede Organisation, die Daten von EU-Bürgern besitzt, muss darüber nachdenken, wie sie Prozesse zur rechtzeitigen Beantwortung von Anfragen zum "Recht auf Vergessenwerden" umsetzen kann.
Der aktuelle Vorschlag sieht Bußgelder von bis zu 1 Mio. EUR oder 2 Prozent des weltweiten Umsatzes vor, je nach Schwere des Verstoßes.
Auch wenn die Sprache und die Verfahren der Europäischen Union und ihrer Gesetzgeber eher eisig und undurchsichtig erscheinen mögen, ist die Zeit für Unternehmen in der gesamten EU und dem Rest der Welt von entscheidender Bedeutung. Es ist wichtig, dass Unternehmen die nächsten zwei Jahre nutzen, um ihre eigene Datenlandschaft wirklich kennenzulernen, um Bereiche zu identifizieren, die Aufmerksamkeit erfordern, und um die Technologien und Dienstleister zu finden, die ihnen helfen können, auf den Tag des Inkrafttretens der neuen Regelung vorbereitet zu sein.