Vor allem Unternehmer, aber auch Privatpersonen sollten sich jetzt intensiv mit der neuen EU-DSGVO auseinander setzen. Denn diese tritt am 25. Mai diesen Jahres in Kraft und bringt einige Änderungen zum bisher gültigen BDSG (Bundesdatenschutzgesetz) mit sich. Unternehmer, die diese Änderungen nicht oder erst verspätet umsetzen, müssen mit hohen Bußgeldern rechnen.
Die neue DSGVO soll den Datenschutz innerhalb der EU vereinheitlichen
Sowohl das BDSG als auch die EU-Datenschutzrichtlinie werden am 25. Mai 2018 durch die neue DSGVO der Europäischen Union ersetzt. Um diese DSGVO zu konkretisieren, wird außerdem ein deutsches Ergänzungsgesetz (DSAnpUG – Datenschutz-Anpassungs- und –Umsetzungsgesetz) wirksam. Des Weiteren gilt ab diesem Datum für Internet- und Telemedien eine e-Privacy-Verordnung.
Alle diese Artikel haben zum Ziel, das Datenschutzrecht innerhalb der Europäischen Union zu vereinheitlichen. Betroffene, also diejenigen, deren Daten verarbeitet werden, sollen somit bessere Kontrollmöglichkeiten und Rechte bekommen.
Im Großen und Ganzen bleiben die bisherigen Elemente des BDSG zwar erhalten, dennoch müssen die Änderungen gewissenhaft beachtet werden, will man als Unternehmer nicht riskieren, ein saftiges Bußgeld entrichten zu müssen.
Die Rechte der Betroffenen (also der Nutzer) werden gestärkt. Sie haben mit der neuen Verordnung einfacher Zugang zu ihren personenbezogenen Daten. Außerdem haben sie ein Recht auf Information, wofür ihre Daten verwendet werden. Auch das Recht auf Löschung der Daten wird mit der Verordnung eingeräumt und geregelt.
Den Unternehmen werden zeitgleich einige neue Pflichten auferlegt. So wird es eine Pflicht geben, datenschutzfreundliche Voreinstellungen bei elektronischen Geräten oder auch Anwendungen vorzunehmen. Des Weiteren sind Unternehmen verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn besondere Risiken für die gesammelten Daten bestehen.
Die DSGVO gilt außerdem für Unternehmen, die ihren Hauptsitz zwar nicht in der EU haben, deren Leistungen und Angebote jedoch auch an EU-Bürger gehen. Somit sind auch Unternehmen wie Google und Facebook betroffen, deren Sitz in den USA ist.
Das bereits erwähnte saftige Bußgeld kann bis zu 4 % des Jahresumsatzes betragen. Der Bußgeldrahmen für Verstöße wurde also erheblich erhöht.
Für die DV muss eine ausdrückliche gesetzliche Erlaubnis vorliegen
Hier ändert sich im Vergleich zum bisherigen BDSG kaum etwas. So gilt weiterhin, dass eine ausdrückliche gesetzliche Erlaubnis vorliegen muss, um Daten zu verarbeiten. Diese Erlaubnis ist gegeben, wenn
Geändert hat sich lediglich, dass der Betroffene informiert werden muss, wenn seine Daten später zu anderen Zwecken genutzt werden. Dies ist wiederum nur erlaubt, wenn diese anderen Zwecke mit den ursprünglichen Zwecken kompatibel sind. Eine Nutzung zu statistischen Zwecken zählt ausdrücklich dazu.
Wie auch schon im BDSG gibt es auch in der neuen DSGVO bei den Daten besondere Kategorien, die ein Unternehmen erst mal nicht verarbeiten darf. Hierzu zählen Daten, die beispielsweise die rassische oder ethnische Herkunft einer natürlichen Person beschreiben, die politische Meinungen oder religiöse Überzeugungen erläutern oder aus denen Informationen über den Gesundheitszustand oder das Sexualleben hervorgehen. Auch biometrische Daten, wie etwa der Fingerabdruck oder die Stimmerkennung fallen darunter.
Die Verarbeitung ist nur dann zulässig, wenn ein Ausnahmetatbestand erfüllt ist. Das heißt, entweder muss die betroffene Person einwilligen oder die Verarbeitung ist aus rechtlichen, bzw. gesetzlichen Gründen notwendig. Dies kann dann der Fall sein, wenn Rechte oder Ansprüche geltend gemacht oder abgewehrt werden müssen.
Ein Unternehmen muss folgende Informationen an den Nutzer weitergeben:
Die Rechte der Nutzer wurden gestärkt
Erhebt ein Unternehmen Daten bei einem Betroffenen, so muss dieser unmittelbar bei der Erhebung entsprechend informiert werden. Diese Information muss schriftlich (auch elektronisch) erfolgen. Die Sprache ist so zu wählen, dass alle Informationen genau und leicht verständlich beim Nutzer ankommen.
Ausnahmen dieser Pflicht entstehen dann, wenn der Betroffene diese bereits erhalten hat oder die Informationserteilung mit einem unverhältnismäßigen Aufwand verbunden wäre. Sollte dies der Fall sein, so muss jedoch eine öffentliche Bekanntmachung getätigt werden.
Wie auch schon im BDSG verankert, haben Betroffene auch durch die DSGVO ein umfangreiches Auskunftsrecht. Also Neuerung kommt jedoch das Recht hinzu, die Auskunft in elektronischer Form einzufordern und Kopien der Daten verlangen zu können.
Der Betroffene kann erfragen, woher die Daten stammen und wohin sie übermittelt werden. Außerdem hat er ein Recht zu erfahren, wofür seine Daten verwendet und wie lange sie gespeichert werden.
Von diesem Recht kann jedoch nur der Betroffene selbst Gebrauch machen. Ein Vertreter darf dies nur, wenn eine gerichtliche Vollmacht vorliegt.
Um einem Nutzer beispielsweise einen Anbieterwechsel zu vereinfachen, hat er das Recht, seine Daten auf einen anderen Anbieter zu übertragen (Datenportabilität). Die Daten müssen dann in einem Format übermittelt werden, das von Maschinen lesbar und gut strukturiert ist. Allerdings betrifft dies nur die Daten, die der Betroffene selbst dem Unternehmen zur Verfügung gestellt hat.
Auch das Recht auf Löschung der eigenen Daten wurde ausgebaut
Unter gewissen Voraussetzungen dürfen Betroffene die Löschung ihrer Daten fordern. Diese sind:
Keine Anwendung findet das Recht, wenn:
Im Gegensatz zu den unklaren Bestimmungen des BDSG, ist die Umsetzung der Löschpflicht in der neuen DSGVO detailliert festgesetzt. Des Weiteren verfügt der Nutzer auch über ein Recht auf Berichtigung seiner Daten.
Um die Datensicherheit und den Datenschutz gewährleisten zu können, müssen Unternehmen geeignete technische sowie organisatorische Maßnahmen treffen. Generell sollten nur so viele Daten erhoben werden, wie wirklich notwendig sind, also die dem Zweck dienen. Diese Daten müssen dann schnellstmöglich pseudonymisiert werden.
Neue und unbekannte Technologien gelten als riskant
Birgt ein Datenverarbeitungsverfahren ein besonders hohes Risiko für die Freiheiten und Rechte eines Betroffenen, so muss das Unternehmen eine Datenschutzfolgenabschätzung durchführen. Wird beispielsweise eine neue Technologie verwendet, so gilt dies als besonders riskant.
In diesem Fall müssen drei Stufen durchlaufen werden:
Die ganze Abschätzung muss schriftlich dokumentiert werden.
Sollte es zu Pannen in der DV kommen, so ist dies der Aufsichtsbehörde (in Deutschland dem Bundesbeauftragten für Datenschutz) innerhalb von drei Tagen mitzuteilen. Folgende Punkte müssen dabei übermittelt werden:
Außerdem muss auch die betroffene Person selbst über den Vorfall informiert werden, außer die Information bedeutet einen unverhältnismäßig hohen Aufwand oder die Gefahr besteht durch verschiedene Maßnahmen nicht (mehr).
Der DSB überwacht die Einhaltung der DSGVO
Unter gewissen Umständen muss ein Unternehmen einen betrieblichen Datenschutzbeauftragten (DSB) ernennen. Dazu gehören u.a. die Verarbeitung von Daten, die als besonders riskant gelten (z.B. medizinische Daten) oder wenn mindestens 10 Personen hauptsächlich mit der DV betraut sind. Der Datenschutzbeauftragte muss also solcher qualifiziert sein. Er darf sowohl ein interner Mitarbeiter sein, also auch eine von extern beauftragte Person.
Der Datenschutzbeauftragte hat dann folgende Aufgaben:
Er muss diese Tätigkeit nicht unbedingt als Haupttätigkeit ausüben. Ein Interessenkonflikt zwischen seiner anderen Tätigkeit und der Tätigkeit als DSB darf jedoch nicht bestehen.
Durch die neue DSGVO werden die altbekannten Pflichten für Unternehmen erweitert und die Anforderungen, die die betriebliche, rechtliche und die technisch-organisatorische Seite des Datenschutzes betrifft erhöht.
Insbesondere die verschiedenen Informationspflichten, sowie die Verpflichtung eine Datenschutzfolgenabschätzung bei erhöhten Risiko durchzuführen, sind neu. Auch die Gründe für den Einsatz eines Datenschutzbeauftragten sind erweitert worden.
Der Aufwand, um die neue Verordnung rechtskonform umzusetzen, ist vergleichsweise hoch. Und auch die Frist bis Mai 2018 ist recht kurz. Dennoch sollte die Umsetzung – nicht zuletzt wegen der drohenden hohen Bußgelder – nach bestem Wissen und Gewissen erfolgen.