22.08.2018

Die europäische Datenschutzgrundverordnung

Die europäische Datenschutzgrundverordnung

Das europäische Datenschutzrecht kann inzwischen auf eine mehr als zwanzigjährige Geschichte zurückblicken. Es findet seinen Ursprung in der EG-Datenschutzrichtlinie 94/46/EG von 1995. Als Richtlinie galt sie nicht unmittelbar, sondern erforderte zunächst die Umsetzung durch die EU-Mitgliedsstaaten. Eine uneinheitliche Umsetzung sowie eine unterschiedliche mitgliedstaatliche Auslegungspraxis der Richtlinie führten schließlich zur Unterbreitung des ersten Entwurfs der Kommission für ein harmonisiertes europäisches Datenschutzrecht. Ziel war es, den Datenschutz an die zwischenzeitliche technische Weiterentwicklung des Internets sowie die fortschreitende wirtschaftliche Globalisierung anzupassen.

Am 14. April 2016 verabschiedete das Europaparlament schließlich die sogenannte EU-Datenschutz-Grundverordnung (DS-GVO). Sie besteht aus 99 Artikeln und annähernd doppelt so vielen Erwägungsgründen, die der Erläuterung dienen sollen. Sie sieht an einigen Stellen Öffnungsklauseln vor, die den Mitgliedsstaaten gestatten, von der DS-GVO abweichende Regelungen zu treffen. Für die Umsetzung der DS-GVO ist eine zweijährige Übergangsfrist vorgesehen. Dieser Zeitraum dient den nationalen Gesetzgebern die bisher geltenden Gesetze wie das Bundesdatenschutzgesetz (BDSG) anzupassen. Dann gilt die DS-GVO unmittelbar - wie ein Gesetz. Das BDSG ist dann nur noch ergänzend heranzuziehen. D.h. Unternehmen müssen sowohl den Text der DS-GVO als auch das Nachfolgegesetz zum BDSG als Rechtsgrundlagen für den Datenschutz verwenden.

Am 5. Juli 2017 wurde das neue BDSG bereits verkündet (BGBl. I, 2097). Das Gesetz tritt - mit der DS-GVO - zum 25. Mai 2018 in Kraft. Es sieht insbesondere bei den Betroffenenrechten einige Erleichterungen für den Verantwortlichen vor. Damit müssen Unternehmen nunmehr nicht nur die DS-GVO, sondern auch das BDSG beachten.
Unternehmen müssen nun ihre internen Datenverarbeitungsprozesse auf Anpassungsbedarf überprüfen. Außerdem sollte bei Neuanschaffungen von Datensystemen darauf geachtet werden, dass diese, soweit zum jetzigen Zeitpunkt möglich, die neuen Datenschutzregelungen bereits berücksichtigen.
Art. 5 DS-GVO beinhaltet die Grundsätze, die bei einer Verarbeitung personenbezogener Daten zu beachten sind:
Verbot mit Erlaubnisvorbehalt
 

Da die Verarbeitung personenbezogener Daten in das verfassungsrechtlich geschützte Persönlichkeitsrecht eingreift, ist eine Datenverarbeitung grundsätzlich verboten. Nur, wenn sie z. B. gesetzlich erlaubt oder auf der Einwilligung der betroffenen Person beruht, ist sie erlaubt.
Rechtmäßigkeit
 

Die Verarbeitung ist dann rechtmäßig, wenn sie auf einerentspr echenden Grundlage beruht (Rechtsgrundlage, Einwilligung usw.) und der Zwecke der Verarbeitung von der Rechtsgrundlage bzw. der Einwilligung umfasst ist.
Transparenz
 

Die betroffene Person muss wissen, wer welche Daten für welchen Zweck verarbeitet. Daher gibt es umfangreiche Betroffenenrechte (z.B. Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht).
Zweckbindung
 

Die Daten dürfen nur für die genannten Zwecke verarbeitet werden.
Ausnahmen sind vorgesehen für sog. kompatible Zwecke, also
Zweckänderungen, die aber mit dem ursprünglichen Zweck eng
zusammenhängen.
Datenminimierung
 

Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind.
Richtigkeit
Die Daten müssen richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden.
Begrenzte Speicherung
 

Die Datensparsamkeit ist hierbei zu beachten, also die Frage, wann Daten nicht mehr benötigt und daher gelöscht werden können. Zudem sind alle Möglichkeiten zur Anonymisierung von Daten zu nutzen.
Integrität und Vertraulichkeit
 

Die DS-GVO verknüpft sehr stark den Datenschutz mit der Technik. Die IT-Verfahren müssen somit schon von Anfang an darauf ausgerichtet sein, möglichst wenig personenbezogene Daten verarbeiten zu können (privacy by design).
Rechenschaftspflicht
 

Das ist der wichtigste Aspekt der Grundsätze! Die verantwortliche Stelle, also das Unternehmen oder die Institution sind verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig – natürlich abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden und der Menge und der Qualität der Daten. Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können. Denn die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich: Bis zu 20 Mio. Euro oder 4 % des Umsatzes können von den Aufsichtsbehörden verhängt werden.

 

Quelle: www.ihk-ostbrandenburg.de