08 Feb Europäische Datenschutz-Grundverordnung – Was ändert sich 2018?

Reizthema Datenschutz

Der Datenschutz ist für jeden Webseiten-Betreiber ein sensibles, dank 28 verschiedener nationaler Gesetze in Europa, mitunter auch ein sehr kompliziertes Thema. Dies soll sich am 25.05.2018 ändern, wenn die Datenschutzrichtlinie 95/46/EG aus dem Jahre 1995 von der einheitlichen europäischen Datenschutz-Grundverordnung (DSGVO) abgelöst wird.

Was bleibt beim Alten?

Nicht alles ändert sich mit der neuen europäischen Datenschutz-Grundverordnung. Maßgebliche Bestimmungen, die Sie bereits kennen sollten sind z. B.:

Verbot mit Erlaubnisvorbehalt

Die Erhebung, Nutzung und Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es existiert eine Erlaubnis durch Gesetz (z. B. aus dem BDSG, TMG, EU-DSGVO) bzw. eine Einwilligung der betreffenden Person.

Datensparsamkeit

Erhoben werden dürfen nur die Daten, die zur Verarbeitung tatsächlich benötigt werden.

Zweckbindung

Erhobene Daten dürfen nur für den Zweck verwendet werden, für den die Erlaubnis gegeben wurde. Weitere Verwendungszwecke bedürfen einer zusätzlichen Erlaubnis.

Datenrichtigkeit

Erhobene Daten müssen inhaltlich und sachlich richtig und aktuell gehalten werden.

Was ist neu?

Meldepflicht

Für Unternehmen und Organisationen besteht mit Inkraftsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) eine Meldepflicht für Datenschutzverstöße, durch die ein Risiko für den Betroffenen entstanden sein könnte. Ebenfalls muss der Betroffene so schnell wie möglich informiert werden, damit dieser -im Falle von Verstößen die mit hohem Risiko behaftet sind- entsprechende Maßnahmen einleiten kann.

Stärkere Durchsetzung der DSGVO

Vorsicht ist geboten! Verlassen Sie sich nicht auf rechtliche Grauzonen und gönnen Sie sich eine ausführliche Rechtsberatung (die dieser Text natürlich nicht ersetzen kann)! Neben stärkeren Kontrollen können die Aufsichtsbehörden Bußgelder von bis zu 20 Millionen Euro verhängen. Bei großen Unternehmen droht sogar der Verlust von bis zu 4 % vom weltweiten Umsatz des Vorjahres
Bußgelder von bis zu 20 Millionen Euro können die Aufsichtsbehörden verhängen. Bei großen Unternehmen und Konzernen drohen sogar noch größere Geldbußen: bis zu 4 % vom weltweiten Konzernumsatz des Vorjahres.

Einheitliches europäisches Datenschutzrecht

Die Datenschutz-Grundverordnung (DSGVO) löst 28 verschiedene Gesetze aus den Mitgliedsstaaten der EU ab. Dies dient nicht nur zur Vereinfachung der Materie, sondern hat ebenfalls einen positiven Nebeneffekt. Nach einer Schätzung lassen sich mit Inkrafttreten der DSGVO 2,3 Milliarden Euro im Jahr einsparen.

Datenschutz fängt bei der Technik an

Im Artikel 25 DSGVO wird beschrieben, dass datenschutzrechtliche Voreinstellungen sicherstellen sollen, dass grundsätzlich nur für den zutreffenden Zweck notwendige personenbezogene Daten erhoben und verarbeitet werden. Neben einer eingehenden rechtlichen Beratung, wie sie z. B. unser Partner e-Recht 24 anbietet, können also organisatorische und vor allem technische Maßnahmen notwendig werden, um die Rechte der Anwender statutengemäß zu schützen. Datenschutzfreundliche Voreinstellungen und Pseudonymisierung der Daten
Es sind also technische und organisatorische Maßnahmen und Verfahren zu treffen, damit die Rechte der betroffenen Personen geschützt werden. Ein Beispiel dafür ist die Pseudonymisierung der Daten. Außerdem schreibt die Verordnung datenschutzfreundliche Voreinstellungen vor. Die Pseudonymisierung ist eine durch die DSGVO zugelassene Methode, die es ermöglicht, personenbezogene Daten zu codieren und so teilweise außerhalb der Zuständigkeit der europäischen Datenschutz-Grundverordnung agieren zu können. Personenbezogene Daten werden durch Zufallscodes ersetzt, wodurch der Anwender gewissermaßen ein Pseudonym für den vakanten Vorgang erhält.

Dokumentationspflicht der verarbeitenden Stellen

Nach Art. 30 DSGVO muss ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden. Wer jetzt denkt, dass dies keine Neuigkeit ist, wird schnell eines Besseren belehrt. Denn neu ist z. B. der Umstand, dass ein Fehlen dieses Verzeichnisses mit Bußgeld geahndet werden kann! Folgende Fragen sollten mit dem Verzeichnis von Verarbeitungstätigkeiten zu beantworten sein:

1. Welche personenbezogene Daten werden wann erhoben?
2. Wo werden die personenbezogenen Daten verarbeitet?
3. Wie werden die personenbezogenen Daten erhoben?
4. Warum und von wem genau werden die personenbezogenen Daten verarbeitet?

Ob Informationen tatsächlich verarbeitet oder nur gespeichert werden, ist nicht von Belang. Mit der europäischen Datenschutz-Grundverordnung sind auch sogenannte Auftragsdatenverarbeiter verpflichtet, ein Verzeichnis nach Artikel 30 DSGVO zu führen. Einzig Kleinstunternehmen mit weniger als 250 Mitarbeitern, können unter strengen Voraussetzungen (wie z. B.: die Verarbeitung erfolgt nicht nur gelegentlich) von der Führung des Verzeichnisses befreit werden.

Gut zu wissen: Zwar sind die notwendigen Inhalte des Verzeichnisses von Verarbeitungstätigkeiten vorgegeben, eine Vorschrift zur Form existiert allerdings nicht.

Gute Recherche ist nicht gleich gute Rechtsberatung! Wenden Sie sich bei der Umsetzung der europäischen Datenschutz-Grundverordnung in jedem Fall an einen Experten!