DSGVO | Das ändert sich 2018 durch die neue Datenschutzgrundverordnung

Die EU-Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Sie zielt darauf ab, für den Umgang mit personenbezogenen Daten durch Unternehmen und öffentliche Institutionen europaweit einheitliche Regelungen zu schaffen. Durch die Vereinheitlichung des Datenschutzes soll sie außerdem den freien Datenverkehr zwischen den EU-Mitgliedsländern sichern.Anders als die bisher geltende europäische Datenschutzrichtlinie 95/46 aus dem Jahr 1995 gilt die neue EU-Datenschutz-Grundverordnung unmittelbar in allen EU-Mitgliedsländern.

Die einzelnen EU-Staaten sind verpflichtet, ihre Datenschutzgesetze entsprechend anzupassen. Dabei ist es ihnen grundsätzlich nicht gestattet, die europäischen Regelungen zum Datenschutz durch nationale Gesetze abzuschwächen.

Welche Neuerungen bringt die DSGVO?

Viele bereits bestehende Regelungen für den Datenschutz werden auch in der neuen EU-Datenschutz-Grundverordnung beibehalten. So wird der Begriff der personenbezogenen Daten auch in Zukunft weit gefasst. Personenbezogen sind laut Artikel 4 der DSGVO alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Die Erhebung und Verarbeitung solcher Daten darf nur auf der Grundlage eines sogenannten Erlaubnistatbestands - also mit Einwilligung der betroffenen Person - erfolgen.

Neu ist insbesondere die Einführung des Marktortprinzips für den europäischen Datenschutz. Die DSGVO gilt demzufolge auch für Unternehmen aus Nicht-EU-Ländern, die Waren oder Dienstleistungen auf dem europäischen Markt anbieten und sich dafür im Besitz personenbezogener Daten von EU-Bürgern befinden. Ob die Verarbeitung dieser Daten innerhalb oder außerhalb der EU erfolgt, spielt für die Anwendung der DSGVO keine Rolle. Relevant sind in diesem Kontext beispielsweise Mitarbeiter- oder Kundendaten, aber auch personenbezogene Daten der Adressaten von Werbeaktivitäten.

Zu den wesentlichen Neuerungen gehört auch das "Recht auf Vergessen", das im Artikel 17 der Verordnung explizit formuliert wird: EU-Bürger haben das Recht, die vollständige Löschung ihrer Daten zu fordern, wenn die Gründe für deren Verarbeitung und Speicherung entfallen. Ebenso sind die Datenverarbeiter verpflichtet, nicht mehr benötigte Datenbestände proaktiv zu löschen.

Für Verstöße gegen das neue europäische Datenschutzgesetz sind ab Mai 2018 hohe Geldstrafen im Umfang von bis zu vier Prozent der Jahresumsätze des betroffenen Unternehmens mit einer Obergrenze von 20 Millionen Euro vorgesehen. Zum Vergleich: Das bisherige deutsche Datenschutzgesetz sah für Datenschutzverstöße Bußgelder von maximal 300.000 Euro vor.

EU-Grundsätze für den Datenschutz

Um die Rechte der EU-Bürger an ihren Daten zu stärken, formuliert die neue EU-Datenschutz-Grundverordnung verbindliche Grundsätze für den Datenschutz:

- Die Verarbeitung personenbezogener Daten muss auf Rechtmäßigkeit und Transparenz beruhen.
- Sie darf nur in zweckgebundener Form erfolgen.
- Die erhobenen und gespeicherten Daten müssen richtig sein.
- Für das Sammeln und Verarbeiten personenbezogener Daten gilt das Prinzip der Datenminimierung.
- Integrität und Vertraulichkeit erfordern Datensicherheit. Diese schließt den Schutz vor unbeabsichtigten Datenverlusten, Datenzerstörungen sowie vor Schädigungen durch eine unrechtmäßige Verwendung personenbezogener Daten ein.
- Der Grundsatz der Speicherbegrenzung schreibt vor, dass personengebundene Daten nur so lange gespeichert werden dürfen, wie es dafür sachliche Notwendigkeiten gibt.

Natürliche Personen besitzen auf der Grundlage der DGSVO im Hinblick auf ihre Daten ein volles Auskunftsrecht. Sie können Einschränkungen oder das Unterlassen der Verarbeitung ihrer personenbezogenen Daten verlangen und ihre Daten an Dritte übertragen. Zudem schreibt die neue EU-Datenschutz-Grundverordnung ausdrücklich vor, dass Entscheidungen über persönliche Belange nicht auf der Grundlage automatisch verarbeiteter Daten getroffen werden dürfen. Für besonders sensible Personendaten, die beispielsweise der Fähigkeits- und Leistungsbewertung der Betroffenen dienen sowie für "Big Data"-Anwendungen muss vor dem Beginn der Datenverarbeitung eine einer Datenschutzfolgen-Abschätzung (DSFA) vorgenommen werden.

Neue Datenschutzpflichten für Unternehmen

Zur Vorbereitung auf das Inkrafttreten der DGSVO sollten sich Unternehmen einen vollständigen Überblick über ihre Bestände an personenbezogenen Daten sowie die Gründe ihrer Erhebung und Verarbeitung verschaffen. Bereits implementierte Datenschutzmaßnahmen sind zu überprüfen und gegebenenfalls an die neuen rechtlichen Vorgaben anzupassen. Verträge mit Auftragsdatenverarbeitern - in kleinen und mittleren Unternehmen ohne eigene IT-Infrastruktur die Regel - sind hier ausdrücklich eingeschlossen. Die Vergabe solcher Aufträge an weitere Subunternehmer muss vom Auftraggeber ausdrücklich und schriftlich genehmigt werden.

Unternehmen müssen betroffene Personen künftig grundsätzlich über die Verarbeitung ihrer Daten informieren und dafür deren Einwilligung erhalten, werbliche Kontakte sind hier ausdrücklich eingeschlossen. Unternehmen mit mehr als 250 Mitarbeitern sind zu einer lückenlosen Dokumentation der Verarbeitung personenbezogener Daten verpflichtet. Datenschutzverstöße sind innerhalb von 72 Stunden nach ihrem Bekanntwerden an die Aufsichtsbehörden zu melden. Für kleinere Firmen gilt die lückenlose Dokumentationspflicht nicht, sofern sie personenbezogene Daten nur gelegentlich verarbeiten, daraus keine besonderen Risiken resultieren und es sich nicht um besonders sensible Informationen - beispielsweise Gesundheitsdaten - handelt.

Die neue EU-Datenschutz-Grundverordnung schreibt außerdem vor, dass Unternehmen künftig grundsätzlich einen Datenschutzbeauftragten bestellen müssen. Bei Firmen mit bis zu 250 Mitarbeitern kann diese Aufgabe auch ein externer Datenschutzexperte übernehmen, größere Firmen müssen hierfür jedoch grundsätzlich interne Kapazitäten schaffen. Ausländische Unternehmen ohne EU-Niederlassung sind verpflichtet, einen EU-Vertreter zu bestellen, falls sie regelmäßig personenbezogene Daten von EU-Bürgern verarbeiten oder mit einer gelegentlichen Datenverarbeitung besondere Risiken verbunden sind.

Weitere Informationen

  • Kategorie: News
  • Thema: Cyber Security

Aktuelle Meldungen und News