Ab dem 25.05.2018 ist die neue Datenschutzgrundverordnung in Europa verpflichtend

Computer key, security

Die neue Datenschutzgrundverordnung (DSGVO) trat 2016 in Kraft. Durch die (DSGVO) werden die Regeln zur Verarbeitung personenbezogener Daten innerhalb der Europäischen Union vereinheitlicht. Aufgrund des Aufwands für die Umsetzung wurde eine Übergangsregelung geschaffen, sodass die Anwendung erst ab dem 25. Mai 2018 verpflichtend ist. Derzeit bleibt den Betroffenen ein Monat, um die Vorgaben umzusetzen.

Ziel der DSGVO ist es die Datensicherheit im 21. Jahrhundert zu gewährleisten. Dadurch, dass der nationale Gesetzgeber in bestimmten Bereichen, den sogenannten Öffnungsklauseln, ergänzende oder konkretisierende Vorschriften erlassen kann, wurde das bisher in Deutschland geltende Bundesdatenschutzgesetz (BDSG) entsprechend angepasst. Die neue Verordnung schützt jede natürliche Person, sobald ihre personenbezogenen Daten ganz oder teilweise automatisiert in einer strukturierten Ablage, wie einem Mitgliederverzeichnis oder Datenbank, verarbeitet werden. Unter personenbezogenen Daten versteht man alle Daten, die in irgendeiner Form einer Person zugeordnet werden können. Dazu gehören Name, Geburtsdatum, Lokalisierung, Online-Kennung, Gesundheitsdaten, Einkommen und sonstige persönliche Profildaten. Neben den öffentlichen Institutionen gelten die Vorschriften der DSGVO in erster Linie für Unternehmen, egal ob Ein-Personen-Unternehmen oder Großkonzern, aber auch für (gemeinnützige) Vereine und Organisationen, die Daten sammeln, speichern und verwenden. Das heißt auch Unternehmen, die Kundendateien führen oder Lieferantendaten speichern, fallen unter die Verordnung. Ausgenommen wird hingegen der private und familiäre Lebensbereich, also beispielsweise der private Schriftverkehr einer natürlichen Person, ein privates Anschriftenverzeichnis oder die private Nutzung von sozialen Netzwerken. Eine der wesentlichen Neuerungen sind die umfangreichen Informations-, Zugriffs-, Widerspruchs- und Löschrechte für jede natürliche Person. Ein prominentes Beispiel dafür ist das Recht, vergessen zu werden. Darüber hinaus muss auf der Website eine Datenschutzerklärung des Betreibers zu finden sein. Die Erklärung muss möglichst einfach und klar gestaltet sein, den Verantwortlichen explizit benennen und die Rechtsgrundlage zur Bearbeitung personenbezogener Daten aufführen. Darüber hinaus muss sie die Fälle benennen, in welchen eine Einwilligung des Nutzers erforderlich ist, warum und wie lange die jeweiligen Daten gespeichert werden und ob Daten an Dritte weitergegeben werden. Schließlich muss sie auch alle Auskunfts- und Interventionsrechte des Betroffenen auflisten. Neu ist außerdem, dass zukünftig eine Datenschutzfolgenabschätzung bei risikobelasteter Verarbeitung durchgeführt werden muss. Dabei müssen unter anderem die Risiken und Folgen für die betroffene Person bewertet, eine Verhältnismäßigkeitsprüfung durchgeführt und Sicherheitsvorkehrungen und Verfahren sichergestellt werden. Das ist beispielsweise bei groß angelegten Überwachungen öffentlicher Räume oder Verarbeitung biometrischer Daten der Fall. Bei Datenschutzverletzungen, welche ein Risiko für die Rechte und Freiheiten des Betroffenen darstellen, müssen die Aufsichtsbehörden möglichst binnen 72 Stunden informiert werden und unter Umständen auch der Betroffene. Ein weiterer Punkt ist die Benennung oder Einstellung eines Datenschutzbeauftragten, zur Beratung über datenschutzrechtliche Pflichten und zur Überwachung sowie zur Überprüfung der Vorschriften. Allerdings besteht diese Pflicht nur dann, wenn die Kerntätigkeit der Einrichtung in der umfangreichen Verarbeitung sensibler Daten liegt oder eine regelmäßige und systematische Überwachung der betroffenen Personen erfolgt, wie beispielsweise bei Versicherungen. Ein Unternehmen, welches zum Beispiel im Rahmen einer lokalen Werbeaktion Kunden einmal im Jahr anschreibt, ist ausgenommen. Außerdem muss ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden. Einzutragen sind dort die Kontaktdaten der datenverarbeitenden Stelle, die Gründe für die Verarbeitung, die Fristen für die Löschung, jede Übermittlung von Daten an andere Stellen, eine Beschreibung der Sicherheitsmaßnahmen sowie der datenschutzfreundlichen Voreinstellungen. Auf Antrag ist das Verzeichnis den Aufsichtsbehörden vorzulegen. Unternehmen, Vereine und andere Organisationen sind nur dann von der Führung eines Verzeichnisses befreit, wenn sie unter 250 Mitarbeiter beschäftigen, die Datenverarbeitung nur gelegentlich erfolgt und die Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Hinzu kommt, dass externe Datenverarbeiter gegenüber ihren Auftraggebern bei Datenpannen stärker in die Verantwortung genommen werden können. Zusätzlich besteht die Pflicht zur Installation geeigneter technischer und organisatorischer Maßnahmen, um einen effektiven Datenschutz zu gewährleisten. Damit ist sowohl der Datenschutz durch Technik (data protection by design) als auch durch datenschutzrechtliche Voreinstellungen (data protection by default) gemeint. Unter anderem könnte der Datenverarbeitende die personenbezogenen Daten pseudonymisieren oder den betroffenen Person eine Datenüberwachung ermöglichen.

Bei Verstößen gegen die neue Datenschutzgrundverordnung kann die Bestrafung je nach Auswirkung der Umstände des einzelnen Verstoßes sowie von der Bewertung der jeweiligen Datenschutzbehörde unterschiedlich ausfallen. Dies kann von einer Verwarnung des sich falschverhaltenden Unternehmens, über eine Beschränkung der Verarbeitung der Daten, bis hin zu Geldbußen, die auch die aktuell in Deutschland geltende Bußgeldhöhe von maximal 300.000 Euro überschreiten, bedeuten. Die standardmäßige Evaluierung der DSGVO beginnt fünf Jahre nach Erlass der Gesetzgebung. In Anbetracht der rasanten technologischen Weiterentwicklungen ist eine Überarbeitung der DSGVO in einigen Jahren durchaus möglich. Daher kann dieser Text nur einen ersten unverbindlichen Überblick über die neuen Pflichten bei der Verarbeitung von persönlichen Daten anbieten. Ein strukturierter Abgleich des aktuellen Zustandes mit dem zukünftigen Soll-Zustand kann als Ausgangspunkt für mögliche Anpassungen dienen. Insbesondere sollten bereits geltende Verträge mit Auftragsdatenverarbeitern analysiert und gegebenenfalls angepasst werden, damit gewährleistet ist, dass die Vertragspartner ebenfalls gemäß der DSGVO handeln. Weitere Informationen und Hilfestellungen finden Sie auf der Seite der Europäischen Kommission und auf der Seite des Bundesbeauftragten für den Datenschutz und der Informationsfreiheit:

http://ec.europa.eu/justice/smedataprotect/index_de.htm

https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Reform/ReformEUDatenschutzrechtArtikel/ReformEUDatenschutzRecht.html