DATENSCHUTZVERORDNUNG FÜR UNTERNEHMEN

Die neue Datenschutzgrundverordnung der EU (DSGVO) trat am 25. Mai 2018 in Kraft.

Sie ersetzt die aus dem Jahr 1995 stammende EU-Datenschutzrichtlinie und beschäftigt sich mit den modernen Fragen zur fortschreitenden Digitalisierung von Wirtschaft sowie Gesellschaft.

Aufgrund der ständigen Weiterentwicklung der digitalen Welt, muss sich die DSGVO mit Themen wie „Big Data“ und Arten der Datenverarbeitung wie Webtracking, Profilbildung oder dem Cloud Computing stellen.

Die neue Datenschutzgrundverordnung ist also vor allem dazu da, den Umgang mit Daten europaweit einheitlich zu regeln.

Für die DSGVO gibt es außerdem noch weitere Ergänzungen.

Die EU-Verordnungen haben Vorrang vor nationalen Gesetzen und gehen bei Widersprüchen vor.

Jedoch ist es dem Staat aufgrund einiger Öffnungsklauseln, welche die Verordnung enthält, möglich, bestimmte Datenschutzregeln abzuschwächen oder zu verstärken.

Daher ist am 25. Mai 2018 das neue Bundesschutzgesetz (BDSG-neu) in Kraft getreten. Dieses Gesetz nutzt den Spielraum, den die DSGVO bietet, und schafft flankierende nationale Regeln für den Datenschutz.

Das Bundesministerium für Wirtschaft und Energie (BMWi) steht im Austausch mit betroffenen Verbänden und dem federführenden Bundesministerium des Inneren (BMI), um die Umsetzung der DSGVO und deren Wirkung in der Praxis für die Bundesregierung genau beobachten zu können.

Datenschutzaufsichtsbehörden, das BMI und einige Verbände treffen sich regelmäßig für ein Round-Table-Gespräch, um Praxiserfahrungen auszutauschen und die DSGVO umzusetzen.

Ziel dieser Bemühungen ist es, Probleme und Chancen zu diskutieren und somit die Umstellung für Unternehmen zu erleichtern.

Im folgenden Abschnitt erläutern wir die wichtigsten DSGVO-Prinzipien für Unternehmer.

• Verbot mit Erlaubnisvorbehalt

Jede Verarbeitung bzw. Weitergabe von personenbezogenen Daten ist nicht gestattet, es sei denn, es ist ausdrücklich erlaubt worden.

Dies war bisher schon so und ist nicht umstritten, da nicht alle Daten die gleiche Priorität haben.

Unter das Verbotsprinzip der DSGVO fallen jedoch unterschiedslos alle Daten mit Personenbezug.

• Datenminimierung

Das Prinzip der Datenminimierung schreibt vor, dass alle Unternehmen nur so wenig wie möglich bzw. so viel wie nötig erheben sollen.

Es dürfen also nur so viele Daten gesammelt werden, wie für die Ausführung des Erhebungszwecks notwendig ist. Dadurch wird verhindert, dass Unternehmen Daten „blind“ auf Vorrat erheben.

• Zweckbindung

Um Daten erheben und verarbeiten zu dürfen, muss ein bestimmter Zweck ausformuliert werden. Heißt also, Unternehmen dürfen Daten nur zweckgebunden verwenden.

Außerdem muss die zukünftige Verwendung der Daten dokumentiert werden.

• Vertraulichkeit

Unternehmen müssen die personenbezogenen Daten ihrer Kunden vor beispielsweise unbefugter Verarbeitung oder Veränderung, vor Diebstahl oder vor Vernichtung organisatorisch und technisch schützen.

• Transparenz

Mit der Neuerscheinung der DSGVO haben Nutzer umfangreiche Rechte erhalten.

Auf Anfrage müssen Unternehmen ihnen mitteilen, welche Daten ihnen vorliegen und wie sie diese verwenden.

Außerdem muss die Datenverarbeitung für die Betroffenen immer genau nachvollziehbar sein. Dies erfordert verständliche Datenschutzerklärungen.

In der Datenschutzgrundverordnung gibt es sechs Grundsätze, nach denen personenbezogene Daten verarbeitet werden müssen.

Der letzte Absatz stellt Ihnen die wichtigsten Bausteine der DSGVO vor.

• Europaweit einheitliches Datenschutzniveau

Durch die DSGVO wurde ein einheitliches Datenschutzniveau geschaffen, wodurch bestehende Wettbewerbsverzerrungen und Marktzugangsbarrieren infolge unterschiedlicher nationaler Datenschutzbestimmungen beseitigt wurden.

• Verschiedene Rechtsgrundlagen für Datenverarbeitungen

Datenverarbeitung wird nicht allein auf die Einwilligung des Betroffenen, sondern auch auf andere Rechtsgrundlagen gestützt.

Wenn die Datenverarbeitung beispielsweise für die Erfüllung eines Vertrags erforderlich ist, ist die Datenverarbeitung auch ohne Einwilligung zulässig. Außerdem kann eine Datenverarbeitung im Einzelfall auf überwiegende berechtigte Interessen des Datenverarbeiters oder eines Dritten gestützt werden.

Was jedoch komplett unabhängig von der Rechtslage immer besteht, ist die Informationspflicht der DSGVO, da der Betroffene auf Anfrage immer über den Zweck der Datenverarbeitung und die Rechtsgrundlage informiert werden muss.

• Pseudonymisierung von Daten

Unter Pseudonymisierung versteht man das Ersetzen von Namen oder anderen Identifikationsmerkmalen durch ein Pseudonym (mehrstellige Buchstaben-, Zahlenkombinationen).

Diese Angaben müssen anonymisiert werden, sodass es schwerer ist, betroffenen Personen zu identifizieren. Dadurch können dann große Mengen von Datenmengen ohne Personenbezug verarbeitet werden.

• Mehr Transparenz und Kontrolle für Betroffene

Ferner gibt die DSGVO den Betroffenen das Recht auf „Vergessen werden“ und auf Datenportabilität.

Die Privatsphäre von Nutzern und Nutzerinnen wird durch die DSGVO vor Big Data, Profilbildung und Webtracking geschützt. Außerdem erhöht die DSGVO die Transparenzpflichten von Unternehmen gegenüber ihren Kunden, indem die das Recht auf Auskunft erweitern.

Die Betroffenen müssen wissen, was mit ihren Daten geschieht und zu welchen Zwecken diese verarbeitet werden. Auch eine einfache und verständliche Datenschutzerklärung wird vorgeschrieben.

• Privilegierung von Datenverarbeitungen zu Forschungszwecken

Ebenso wurden die Wertungen im Forschungsbereich neu beschrieben. Die DSGVO stellt eindeutig klar, dass eine Weiterverarbeitung von personenbezogenen Daten zu Forschungszwecken als vereinbar mit dem ursprünglichen Datenerhebungszweck anzusehen ist.

Außerdem ermöglicht das „Broad Consent“ die Einholung von Einwilligungen zu Forschungszwecken, auch wenn diese Zwecke bei Erhebung der Daten im Einzelnen noch nicht detailliert dargelegt werden können.