Mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) steigen die Anforderungen an Unternehmen, Kanzleien, Vereine, Behörden im Umgang mit personenbezogenen Daten. In diesem Beitrag versucht unsere Expertin für Datenschutz etwas Licht in diese Anforderungen zu bringen.
Am 26. Mai 2016 trat die von der EU-Kommission verabschiedete EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Nach der Übergangsfrist von zwei Jahren, wird diese nun am 25. Mai 2018 rechtskräftig.
Die EU-Datenschutz-Grundverordnung betrifft alle Unternehmen, Vereine, Kanzleien, Institute und Betriebe, die ihren Sitz in der EU haben und oder am Datenverkehr des Europäischen Binnenmarktes beteiligt sind. In der Verordnung wird der generelle Umgang mit Daten, für alle EU Mitgliedsstaaten, einheitlich geregelt. Neben den allgemeinen Themen des Datenschutzes, geht die Verordnung auch auf neuere Entwicklungen wie das Cloud Computing und Big Data ein.
Wesentliche Inhalte der DSGVO
- In der DSGVO geht es nicht um den Schutz der Daten, sondern um den Schutz der Personen, die diese Daten hervorbringen. Der Schutz dieser Persönlichkeitsrechte der Betroffenen wird durch die neue Verordnung gestärkt.
- Sobald mindestens zehn Personen stetig mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind, besteht die Benennpflicht eines betrieblichen Datenschutzbeauftragten. Als Ergänzung zu den bisherigen Aufgaben des Datenschutzbeauftragten dem Hinwirkungs- und Sicherstellungsauftrag, kommen die Überwachungs- und Kontrollpflicht hinzu.
- Die auch in der Vergangenheit erforderlichen wirksamen Datenschutzrichtlinien und Schulungen der Mitarbeiter, werden dadurch verschärft, dass die Einhaltung dieser nun auch nachgewiesen werden muss. Das erfordert bei vielen Unternehmen die Einführung eines effektiven Datenschutz-Managementsystems.
- Bei der Einführung neuer Techniken oder Systeme zur Datenverarbeitung, haben die Unternehmen zukünftig die Pflicht zur Datenschutz-Folgeabschätzung. Diese beinhaltet das Erkennen, Abschätzen und Bewerten von Risiken für die betroffenen Personen, um so Grundrechtsverletzungen zu verhindern. Sollte die Vermutung bestehen, dass hohe Risiken für die Betroffenen bestehen, müssen die Unternehmen eine umfassende Prüfung durchführen und diese auch dokumentieren.
- Die von Unternehmen gestellten IT-Systeme müssen zukünftig dem Grundsatz der Erforderlichkeit und Zweckbindung entsprechen. Dies beinhaltet, dass nur die personenbezogenen Daten gesammelt werden dürfen, die zur Zweckerfüllung notwendig sind. Dabei sind die Grundsätze „data protection by default“ (datenschutzfreundliche Voreinstellungen) und „data protection by design“ (Datenschutz durch Technik) zu berücksichtigen.
- Die Verschärfung des Kopplungsverbots besagt, dass Unternehmen keine Dienste mehr geknüpft an eine Bedingung anbieten dürfen, wenn die Datenverarbeitung nicht speziell für den entsprechenden Dienst notwendig ist (z.B. Webtracking).
- Eine Einwilligung der Nutzer erfordert nach der neuen DSGVO eine eindeutige und freiwillige Handlung. Das Ankreuzen eines Kästchens ist hierbei ausreichend. Wenn das Kästchen bereits angekreuzt ist, liegt keine Einwilligung vor. Des Weiteren muss die Einwilligung für unterschiedliche Datenverarbeitungsvorgänge gesondert eingeholt werden.
- Durch das neue Recht auf Vergessenwerden müssen die Unternehmen gewährleisten, dass sobald Daten veröffentlicht werden, die technischen Maßnahmen gegeben sind, um auch Drittparteien über einen Löschungswunsch betroffener Personen informieren zu können. Somit bekommen die Nutzer nun das Recht Informationen über sich, wieder löschen lassen zu können. Zudem müssen die Empfänger der zu löschenden Daten über die Löschung unterrichtet werden.
- Die Datenportabilität gewährleistet den betroffenen Personen den Anspruch, eine Kopie der über sie verarbeiteten Daten zu verlangen. Das Format in dem die Daten übergeben werden, muss dabei gängig, strukturiert und maschienenlesbar sein.
- Zukünftig haben die Verbände das Recht zu klagen. Dies betrifft nicht nur wie bisher Verstöße gegen die Allgemeinen Geschäftsbedingungen, sondern in diesem Zusammenhang auch die Verwendung von Daten für kommerzielle Zwecke.
Bei nicht-Einhaltung der EU-Datenschutz-Grundverordnung drohen gerichtlichen Verfahren und auch Verfahren der Datenschutzbehörden sowie Bußgelder von bis zu vier Prozent des weltweiten Umsatzes. Da Unternehmen mit einer Website oder einem Online-Shop eine volle Außenwirkung haben, ist es für Aufsichtsbehörden ein leichtes durch diese den Datenschutz anfänglich zu überprüfen. Zudem besteht auch die Gefahr, Abmahnungen von Wettbewerbern zu erhalten. Dementsprechend ist davon abzuraten die neue EU-Datenschutz-Grundverordnung nicht ausreichend ernst zu nehmen.