Die EU Datenschutz-Grundverordnung (EU-DSGVO) ist eine Verordnung der Europäischen Union deren Ursprünge in das Jahr 1995 zurückreichen. In diesem Jahr trat die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in Kraft.
Mit der neuen Grundverordnung regelt die EU einheitlich die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des europäischen Binnenmarktes gewährleistet werden.
Wir starten hier den Versuch einer Erläuterung der Neuregelung und der Auswirkungen auf Internetaktivität unserer Kunden.
Wichtig: Die neuen Regelungen gelten ab 25.Mai 2018.
Was sind personenbezogene Daten
Der Begriff „personenbezogenen Daten“ ist in Artikel 4 wie bereits in der Richtlinie 95/46/EG sehr weit gefasst:
„personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
Wann ist die Verarbeitung personenbezogener Daten erlaubt
Generell ist eine Verarbeitung personenbezogener Daten nur nach Einwilligung erlaubt. Auch dies stellt keine generelle Neuerung dar. Das DSGVO führt dazu in Artikel 6 aus:
- Die betroffene Person hat ihre Einwilligung gegeben;
- eine Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich;
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
- eine Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt;
- eine Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.
- In Summe stellt dies keine grundlegende Änderung zu den bisherigen Regelungen des Bundes Datenschutzgesetzes (BDSG) dar. Änderungen im Detail sind aber durchaus zu beachten.
Verarbeitungsgrundsätze
In Artikel 5 führt das DSGVO eine Reihe von Grundsätzen auf, die bei der Verarbeitung personenbezogener Daten zu beachten sind:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung d.h. Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke
- Datenminimierung also „dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt“
- Richtigkeit also „es sind alle angemessenen Maßnahmen zu treffen, damit unrichtige personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“
- Speicherbegrenzung d.h. Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es erforderlich ist“
- Integrität und Vertraulichkeit „angemessene Sicherheit der personenbezogenen Daten, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“
Verzeichnis von Verarbeitungstätigkeiten
Wie auch schon bisher müssen Unternehmen mit mehr als 250 Mitarbeitern oder mit einem Geschäftszweck der die Verarbeitung persönlicher Daten vorsieht, insbesondere von Gesundheits- oder Religionsdaten, ein schriftliches oder elektronisches Verzeichnis führen, das die Verarbeitungstätigkeiten von personenbezogenen Daten vollständig beinhaltet (im BDSG bisher „Übersicht“ genannt).
Im Gegensatz zur aktuellen Bundesgesetzgebung kann allerdings nicht mehr jedermann in dieses Verzeichnis Einsicht verlangen. Dies bleibt den Vertretern der Aufsichtsbehörden vorbehalten. Dies ist allerdings nicht zu verwechseln mit der Auskunftspflicht zu den personenbezogenen Daten (s.u.)
Marktortprinzip
Die DSGVO gilt für alle Unternehmen die innerhalb der EU aktiv sind, auch wenn sich ihr Sitz außerhalb der EU befindet.
Notwendigkeit einer Einwilligung
Bei der Einwilligung ist die Anforderung des DSGVO gegenüber den bisherigen BDSG reduziert. Die Schriftform ist nicht mehr die Regel, auch eine stillschweigende Einwilligungserklärung ist nach Erwägungsgrund zulässig. Das Problem dabei ist, dass die Eindeutigkeit gefordert wird was vom Verarbeiter nur schwerlich nachzuweisen sein wird. Aufgrund dieses Nachweis wird die Schriftform doch gängig bleiben. Für besondere personenbezogene Daten ist sie weiterhin vorgeschrieben.
Datenminimierung
Im BDSG wurde noch von einer allgemeinen Datensparsamkeit ausgegangen, diese wurde durch die zweckgebundene Datenminimierung ersetzt, was Big-Data Massendatenverarbeitung ermöglicht
Transparenz
Jeder hat Anspruch auf vollständige Datentransparenz. D.h. die Einsicht in die persönlichen Daten eines jeden Individuum muss gewährt werden. Dieser Anspruch wird in Artikel 15 formuliert.
Für Unternehmen wird dabei Artikel 12 eine Hürde werden, da diese in leicht zugänglicher Form, verständlich, transparent und in einfacher Sprache zu liefern sind. Ergänzend wird in den Artikeln 13 und 14 verlangt, dass jede betroffene Person bei einer Datenerhebung umfangreich Auskunft über den Zweck, Verwendung, Dauer informiert werden zudem wird gefordert, dass Recht der Berichtigung einzuräumen. Die betroffene Person muss die Möglichkeit haben ihre Daten für Profiling zu sperren oder zu löschen und zu guter Letzt muss informiert werden, wenn sich der Verwendungszweck ändert.
Diese Punkte dürften für Unternehmen die im Internet aktiv sind die größten Hürden darstellen.
Recht auf Vergessen werden
In Artikel 17 wird dieses Recht genau so benannt. Dies beinhaltet zum einen, dass eine Person Datenlöschung verlangen kann sofern der Grund der Datenspeicherung erloschen ist, zum anderen muss eine Unternehmen oder eine Behörde Daten von Personen aktiv löschen, nachdem dieser Grund nicht mehr vorliegt.
Recht auf Datenübertragbarkeit
Dieses wird in Artikel 20 des DSGVO festgehalten und sichert zu, dass die eigenen Daten in einem gängigen, strukturierten und maschinenlesbaren Format zu erhalten, insbesondere mit dem Zweck diese Daten an Dritte zu übertragen. Der Datenerfasser darf den Besitzer der Daten dabei nicht behindern. Dieser Artikel dürfte sicher Auswirkungen auf das Gesundheitswesen haben.
Data Protection by Design, Data Protectionby Default
Der Erwägungsgrund (78) führt die Begriffe „data protection by design“ und „data protection by default“ ein. Diese werden gerne auch als „Privacy by Design“ und „Privacy by Default“ bezeichnet.
Diese Grundätze werden noch größere Verwerfungen in der Softwarebranche verursachen. Durch Sie wird gefordert, dass die Verwendete Technik so entworfen wird, dass Sie dem Datenschutz genügt (=by Design) und dass Voreinstellungen so getroffen werden, dass sie den Datenschutzgrundsätzen ebenfalls genüge leisten (=by Default).
In den Ländern kann mittels sogenannten Öffnungsklauseln im engen Rahmen von den Vorgaben des DSGVO abgewichen werden, aber dieses sind so ausgelegt, dass alle nationalen Gesetze einer einheitlichen Europäischen Vorgabe genügen.
Im Vergleich zu den bisherigen Busgeldern für Datenschutzverletzungen wurde die Stellschraube der Sanktionen massiv angezogen. Es lohnt sich schon daher, die neuen Vorgaben zu beachten.
Hinweis: Die Auszüge aus dem DSGVO sind nicht immer wörtlich, sondern sinngemäß wiedergegeben.