EU-Datenschutz-Grundverordnung

Datenschutz ist nichts Neues. In Deutschland gibt es ihn schon seit Jahrzehnten, und auch auf EU-Ebene war er bereits seit 1995 geregelt. Die neue gesetzliche Vorschrift, die EU-Datenschutz-Grundverordnung (DSGVO), schafft aber ein neues und weit umfangreicheres Rechtsregime. Daran müssen sich alle Unternehmen halten. 

Was ändert sich im Datenschutz?

Am 14. April 2016 verabschiedete das Europäische Parlament die EU-Datenschutz-Grundverordnung. Seit 25.05.2018 ist die Übergangsfrist abgelaufen. Die EG-Datenschutzrichtlinie 95/46 und die nationalen Vorschriften wie das BDSG wurde in weiten Teilen abgelöst bzw. ersetzt. Die DSGVO gilt direkt, d. h. Unternehmen müssen sowohl den Text der Verordnung als auch das Nachfolgegesetz zum BDSG als Rechtsgrundlagen für den Datenschutz verwenden.

Erforderlich sind detaillierte Dokumentationspflichten, wie z.B. ein Verzeichnis von Verarbeitungstätigkeiten. Hierzu erarbeiten die Datenschutzbehörden derzeit ein Musterbeispiel. In der untenstehenden Linksammlung finden Sie zudem unter vielem anderem auch das Kurzpapier, das heißt eine Erläuterung der Datenschutzbehörden zum genannten Verzeichnis.

Was regelt die DSGVO?

Beim Datenschutz geht es um den Schutz personenbezogener Daten. Davon sind alle Informationen umfasst, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, wie Name, Geburtsdatum oder IP-Adresse. Der Anwendungsbereich der DSGVO ist sehr weit gefasst. Es geht um den Schutz dieser Daten als Ausfluss des Persönlichkeitsrechts einer jeden Person.

Was sind die Grundsätze der DSGVO?

Art. 5 beinhaltet die Grundsätze, die bei einer automatisierten Verarbeitung personenbezogener Daten zu beachten sind:

Verbot mit Erlaubnisvorbehalt
Da die Verarbeitung personenbezogener Daten in das verfassungsrechtlich geschützte Persönlichkeitsrecht eingreift, ist eine Datenverarbeitung grundsätzlich verboten. Nur, wenn sie z. B. gesetzlich erlaubt oder auf der Einwilligung der betroffenen Person beruht, ist sie erlaubt.

Rechtmäßigkeit
Die Verarbeitung ist dann rechtmäßig, wenn sie auf einer entsprechenden Grundlage beruht (Rechtsgrundlage, Einwilligung usw.) und der Zwecke der Verarbeitung von der Rechtsgrundlage bzw. der Einwilligung umfasst ist.

Transparenz
Die betroffene Person muss wissen, wer welche Daten für welchen Zweck verarbeitet. Daher gibt es umfangreiche Betroffenenrechte (z. B. Informationspflichten, Auskunftsrechte, recht auf Berichtigung der Daten, Widerspruchsrecht) 

Zweckbindung
Die Daten dürfen nur für die genannten Zwecke verarbeitet werden. Ausnahmen sind vorgesehen für sog. kompatible Zwecke, also Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen. 

Datenminimierung
Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind.

Richtigkeit
Die Daten müssen richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden.

Speicherbegrenzung 
Die Datensparsamkeit ist hierbei zu beachten, also die Frage, wann Daten nicht mehr benötigt und daher gelöscht werden können. Zudem sind alle Möglichkeiten zur Anonymisierung von Daten zu nutzen. 

Integrität und Vertraulichkeit 
Die DSGVO verknüpft sehr stark den Datenschutz mit der Technik. Die IT-Verfahren müssen somit schon von Anfang an darauf ausgerichtet sein, möglichst wenig personenbezogene Daten verarbeiten zu können (privacy by design). 

Rechenschaftspflicht 
Das ist der wichtigste Aspekt der Grundsätze! Die verantwortliche Stelle, also das Unternehmen oder die Institution sind verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig – natürlich abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden und der Menge und der Qualität der Daten. 
Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.

Denn die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich: Bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes können von den Aufsichtsbehörden verhängt werden.

Weiterführende Links

Die Aufsichtsbehörden beschäftigen sich intensiv mit den Rechtsgrundlagen und deren Anforderungen und stimmen eine einheitliche Sichtweise ab. Erste Ergebnisse dieses Prozesses sind gemeinsame Kurzpapiere zur DSGVO, die die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK)  veröffentlicht.

Diese Kurzpapiere dienen als erste Orientierung, wie nach Auffassung der Datenschutzkonferenz die Datenschutz-Grundverordnung im praktischen Vollzug angewendet werden sollte. Diese Kurzpapiere stehen unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung durch den Europäischen Datenschutzausschuss.

Bei der Landesbeauftragten für Datenschutz und für das Recht auf Akteneinsicht Brandenburg gibt es einen Fragenkatalog (PDF) und auch einen Maßnahmenplan (PDF) der insbesondere kleinen und mittelständischen Unternehmen helfen soll.

Die bayrische Landesdatenschutzbehörde hat eine sehr hilfreiche Handreichung für verschiedene Branchen erstellt. Anhand von verschiedenen Musterunternehmen werden die Anforderungen erläutert und auch ein Musterverarbeitungsverzeichnis vorgestellt.

 

Ansprechpartner

Kompetenzfeld: Recht sichern
Schwerpunktthemen: Sachverständigenwesen, Justiziariat, Gewerbezugang, Handelsregister, Schlichtung
t: 0355 365 1602
f: 0355 36526 1602
carsten.baubkus@cottbus.ihk.de