Close

Fon: +49 (0)221 569 78 0 | Mail: info@vucx.de

by

Wichtige Fakten zur EU-DSGVO

Von Irina Reitenbach und Alfred Heil

Security Button für DSGVO

In diesem Artikel finden Sie die wichtigsten Informationen und Artikel zu der neuen Datenschutz-Grundverordnung (EU-DSGVO). Sie werden wissen, was unter der Verordnung verstanden wird, welche Beteiligten Vorteile erzielen und was Sie in Ihrem Unternehmen beachten sollten.

In der Online-Welt hinterlässt jeder Kunde einen „digitalen Fußabdruck“ auf den Websites, die er besucht. Das Verhalten der Nutzer wird von den Unternehmen systematisch verfolgt und aufgezeichnet. Diese Daten dienen dem besseren Verständnis des Kunden und nur dank dieser Daten können mögliche zielgerichtete Angebotsempfehlungen erstellt werden. Das Einverständnis für die Verarbeitung der Daten kann der Nutzer durch seine Einwilligungserklärung bestätigen.

Falls Sie direkt zu einem Unterpunkt des Artikels springen möchten, klicken Sie einfach auf einen der untenstehenden Links:

I. Vorwort
II. Was ist die EU-DSGVO?
III. Was sind “personenbezogene Daten”?
IV. Welche Relevanz hat die DSGVO für Unternehmen?
V. Konsequenzen bei Nichtbeachtung
VI. Aktuelle Rechtslage in Deutschland
VII. Was ist die neue e-Privacy Verordnung?
VIII. Bedeutung und Vorteile der DSGVO für die Unternehmen
IX. Bedeutung und Vorteile der DSGVO für Nutzer
X. Ziele der EU
XI. Was passiert nach dem 25.Mai 2018?
XII. Schlusswort

 

I. Vorwort

Dieser Artikel ist der erste Teil unserer Reihe zur EU-Datenschutz-Grundverordnung (EU-DSGVO).
Im zweiten Teil werden wir eine Checkliste und Handlungsempfehlungen veröffentlichen.
In unserem dritten Teil gehen wir auf die e-Privacy Verordnung ein.

II. Was ist die EU-DSGVO

Die Europäische Datenschutz-Grundverordnung, in der Abbreviatur EU-DSGVO, tritt am 25. Mai 2018 in Kraft. Die englische Bezeichnung lautet: General Data Protection Regulation (GDPR). Die DSGVO thematisiert den Schutz der personenbezogenen Daten in der Europäischen Union.

„Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“. Dieses Grundrecht basiert auf der Charta der Grundrechte der Europäischen Union und ist in Artikel 8 Absatz 1 festgehalten. Des Weiteren wird dieses Grundrecht auch durch den Artikel 16 Absatz 1 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) bestätigt.

Die EU-DSGVO beachtet Interessen und bestimmt Handlungen für die Person, die ihre Daten zur Verfügung stellt und benennt Konsequenzen für das Unternehmen, welches diese Daten verarbeitet. Diese Informationen finden sich in den Artikeln der DSGVO und den 173 Erwägungsgründen wieder. Die Nutzer sollen durch die Verordnung einen höheren Schutz in der digitalen Welt erhalten und bei Verstoß ihre Datenschutzrechte gegenüber den Unternehmen einklagen können. Die Unternehmen ihrerseits sollten noch höher in die Verantwortung mit dem Umgang personenbezogener Daten gezogen werden.

III. Was sind „personenbezogene Daten“?

Unter dem Begriff „personenbezogene Daten“ versteht man nach Art.4 Absatz 1 der DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“

Welche Daten fallen genau unter diese Informationen und wann wird eine Person nach diesem Artikel identifizierbar? Es wird deutlich, dass die natürliche Person durch folgende Kennung erst identifizierbar wird: Name, Kennnummer, Standortdaten, Online-Kennung (IP-Adresse, Cookie-Kennung), physische, psychologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Merkmale.

In welchen bestimmten Fällen erfragt man diese Daten?

  • Newsletter-Registrierung
  • Verarbeitung der Kundendaten in Google Analytics
  • Bestellvorgängen
  • Bewerbungsprozessen
  • Social-Media-Marketing

Facebook wird seine Dienste an die DSGVO anpassen und teilt mit, dass Unternehmen auch in Zukunft auf der Plattform Werbung schalten können.

IV. Welche Relevanz hat die DSGVO für Unternehmen

Eine Verordnung gilt im Vergleich zu einer Richtlinie unmittelbar. Das bedeutet, dass jedes Unternehmen von der DSGVO betroffen ist, welches Nutzerdaten und insbesondere personenbezogene Daten sammelt, speichert und für eigene Zwecke wie z.B. Analysen verwendet.

Die Frage, ob auch Ihr Unternehmen von den Änderungen betroffen ist, kann nur der Artikel 4 Absatz 1 der DSGVO beantworten. Er listet die Definitionen zu den Begriffen wie „personenbezogene Daten“, „Verarbeitung“ und „Ausnahmen“ auf.

Entsprechend thematisiert der Artikel 2 Absatz 1 DSGVO den Begriff der Verarbeitung. Man unterscheidet „die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Datensystem gespeichert sind oder gespeichert werden sollen“.

Im Artikel 4 Nr.2 DSGVO wird unter der „Verarbeitung“ der Prozess verstanden, bei dem personenbezogene Daten erhoben, erfasst, gespeichert oder in einer sonstigen Form verwendet werden. Werden die personenbezogenen Daten durch ein automatisiertes Verfahren bearbeitet und dazu verwendet, um zukünftige Aussagen über das Verhalten der natürlichen Person zu treffen, wird dieser Prozess „Profiling“ genannt (Artikel 4 Nr.4 DSGVO).

Artikel 5 der DSGVO stellt alle Grundsätze für die Verarbeitung personenbezogener Daten dar. Dementsprechend sollten die Grundsätze der „Rechtmäßigkeit“, „Transparenz“, „Zweckbindung“, „Datenminimierung“, „Richtigkeit“, „Speicherbegrenzung“, „Integrität und Vertraulichkeit“ sowie der „Rechenschaftspflicht“ eingehalten werden. Der Grundsatz der Rechenschaftspflicht bedeutet, dass die Beweislastenumkehr jetzt bei dem Verantwortlichen liegt. Er muss nachweisen, dass seine Handlungen den Grundsätzen der DSGVO entsprechen.

Der „Verantwortliche“ ist eine natürliche oder juristische Person (Artikel 4 Nr.7 DSGVO). Artikel 3 der DSGVO besagt, dass wenn der Verantwortliche oder der Auftragsverarbeiter seine Niederlassung innerhalb der Europäischen Union hat und die personenbezogenen Daten verarbeitet, er direkt unter die Verordnung fällt. Die Verarbeitung kann auch außerhalb der Europäischen Union erfolgen.

Ein anderer relevanter Begriff ist in dem Zusammenhang mit der DSGVO die „Einwilligung“. Unter der „Einwilligung“ versteht das Gesetz (Artikel 4 Nr.11 DSGVO) eine freiwillige und zweckgerichtete Willenserklärung der betroffenen Person. Mit dieser Erklärung stimmt die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zu. Im Artikel 7 DSGVO werden die „Bedingungen für die Einwilligung“ behandelt. Der Verarbeiter sollte bei Fragen die Rechtmäßigkeit der Verarbeitung bestätigen können. Der Nutzer kann die Einwilligung jederzeit widerrufen.

Wenn die Unternehmen personenbezogene Daten für Zwecke der Direktwerbung verwenden, sollen die Betroffenen zu jedem Zeitpunkt die Möglichkeit erhalten Widerspruch einzulegen. Es sollte ein ausdrücklicher, verständlicher und von anderen Informationen abgehobener Hinweis auf diese Recht erfolgen (Erwägungsgrund Nr.70).

In diesem Zusammenhang sollten zwei wichtige Grundsätze erwähnt werden, die unter dem Erwägungsgrund Nr.78 zu finden sind. Es handelt sich zum einen um die Grundsätze des „Datenschutzes durch Technik (data protection by design) und zum anderen um die Grundsätze durch datenschutzfreundliche Voreinstellungen (data protection by default)“.

Hier ein Auszug aus dem Erwägungsgrund Nr.78 zu den beiden Grundsätzen:

Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird (und) personenbezogene Daten so schnell wie möglich pseudonymisiert werden (…) In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten (…) sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen (…).“

V. Konsequenzen bei Nichtbeachtung

Bei Nichteinhaltung der Verordnung drohen gerichtliche Verfahren und Verfahren der Datenschutzbehörden. Der Artikel 83 DSGVO mit seinen Absätzen 4 und 5 regelt die „allgemeinen Bedingungen für die Verhängung von Geldbußen“. Demnach werden die Geldbußen in zwei Kategorien unterteilt. Die Obergrenze für die Geldbuße beträgt bis zu 4 % vom weltweiten Jahresumsatzes und bis zu 20 Mio.€ für das jeweilige Unternehmen. Die Untergrenze liegt bei 10 Mio. € und kann bis zu 2% des weltweiten Jahresumsatzes ausmachen. Das Unternehmen wird nicht nur den finanziellen Schaden tragen müssen, sondern erleidet parallel auch einen zusätzlichen Imageschaden.

VI. Aktuelle Rechtslage in Deutschland

Die allgemeinen Regelungen für den Datenschutz werden im Bundesdatenschutzgesetz (BDSG) festgehalten. Die Regelungen für „elektronische Informations- und Kommunikationsdienste“ werden im Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) dargestellt. Mit dem Inkrafttreten der DSGVO wird die bisherige EU-Richtlinie 95/46/EG (Datenschutzrichtlinie) ihre Wirkung verlieren.

VII. Was ist die neue e-Privacy Verordnung?

Die neue e-Privacy Verordnung wird die e-Privacy-Richtlinie (Verordnung über Privatsphäre und elektronische Kommunikation, 2002/58/EG) aufheben. Diese Verordnung sollte auch am 25. Mai. 2018 in Kraft treten, nach letzten Angaben wird sie wahrscheinlich erst im Jahr 2019 verbindlich sein.Die Verordnung regelt die „Verarbeitung elektronischer Kommunikationsdaten“ und wird die EU-DSGVO spezifizieren.

VIII. Bedeutung und Vorteile der DSGVO für die Unternehmen

Das Ziel der Verordnung besteht darin, die Vorschriften für Unternehmen im digitalen EU-Binnenmarkt zu vereinfachen. Somit gilt ein vereinheitlichtes Recht für alle EU-Mitgliedstaaten und alle Unternehmen, unabhängig von ihrem Firmensitz, müssen die Unternehmen die Verordnung der EU einhalten.

Die Unternehmen profitieren außerdem von einem Bürokratieabbau. Nach der neuen Verordnung wird eine einzige Aufsichtsbehörde die Aufgabe der alten 28 Behörden übernehmen. Somit ergeben sich kürzere Entscheidungswege. Die Ausgaben für eine Rechtsberatung werden niedriger sein und die geschäftliche Tätigkeit wird nicht beeinträchtigt.

Einen weiteren Vorteil bietet die Verordnung für Start-ups und KMUs. Ab diesem Zeitpunkt werden neben den Großkonzernen auch die kleineren Unternehmen Zugriff auf Daten haben. Die Großkonzerne haben somit keine Monopolstellung mehr. Dieses Vorgehen soll diesen Unternehmen den Wettbewerb auf dem EU-Markt erleichtern.

Damit der Prozess einwandfrei verläuft, muss in vielen Unternehmen ein Datenschutzbeauftragter bestimmt werden und bei der zuständigen Aufsichtsbehörde gemeldet werden gemäß Artikel 37 Absatz 7 DSGVO. Die Aufgabe des Datenschutzbeauftragten besteht darin kontinuierlich zu prüfen, ob die Verordnung im Unternehmen eingehalten wird. Es gelten Ausnahmeregelungen für klein- und mittelständische Unternehmen (KMU). Basiert ihre Haupttätigkeit nicht darauf „regelmäßig und systematisch“ personenbezogene Daten zu verarbeiten, dann wird ein Datenschutzbeauftragter nicht benötigt.

Es ist außerdem empfehlenswert sich einer Zertifizierungsprüfung gemäß Artikel 42 DSGVO zu stellen. Die Zertifizierungsstellen werden im Artikel 43 DSGVO aufgelistet. Die Behörden, die die Zertifizierung der Datenschutzprozesse durchführen, sind z.B. die zuständige Aufsichtsbehörde, BSI oder TÜV Rheinland.

IX. Bedeutung und Vorteile der DSGVO für Nutzer

In erster Linie sollen seine Grundrechte in der digitalen Welt gestärkt werden.  Und somit sollte der Schutz personenbezogener Daten innerhalb und außerhalb der EU gesichert werden.

Die Unternehmen werden verpflichtet die Verarbeitung durch einen Verantwortlichen zu dokumentieren (Art. 5 Absatz 2 DSGVO). Die Rechtmäßigkeit der Verarbeitung sollte dann entweder auf der Einwilligung basieren (Art.6 Absatz 1a der DSGVO) oder auf dem Bestehen eines „lebenswichtigen Interesses der Person“, welches geschützt werden sollte (Art. 6 Absatz 1 d DSGVO). Die Unternehmen sollen zudem den Widerruf der betroffenen Person zu jeder Zeit gestatten (Art.7 Absatz 3 DSGVO).

Durch diese Verordnung wird der Nutzer mehr Kontrolle über seine personenbezogenen Daten haben. Auch ein Recht auf Löschung (Art. 17 DSGVO) bzw. „Recht auf Vergessenwerden“ wird ihm gewährt. Vorausgesetzt es liegt kein berechtigter Grund vor, wie z.B. „eine Vertragserfüllung oder allgemeine rechtliche Pflichten“. Dieser Zustand ergibt sich nur dann, wenn die Daten nicht mehr notwendig sind wie z.B. bei einem Austritt aus dem sozialen Netzwerk. Ausgenommene Bereiche von dieser Vorschrift sind zum einen die „Freiheit der Meinungsäußerung“ und zum anderen die „historische und wissenschaftliche Forschung“. Dementsprechend dürfen z.B. in der Vergangenheit geteilte Kommentare eines Politikers nicht gelöscht werden, da dieser Vorgang gegen die freie Meinungsäußerung verstoßen würde.

Des Weiteren hätten die Nutzer ein „Recht auf Datenübertagbarkeit“ (Art. 20 DSGVO). Im Einzelnen bedeutet dieses Recht, dass Sie Ihre Daten an die anderen Anbieter übertragen könnten und müssten sie nicht noch einmal angeben.

Erlitt das Unternehmen, welches die personenbezogenen Daten des Nutzers verarbeitet z.B. einen Hackerangriff, sollte das Unternehmen laut Art. 33 DSGVO binnen 72 Stunden den Nutzer darüber informieren. Der Nutzer erhält somit ein Informationsrecht bei Hackerangriffen.

Nach Artikel 13 DSGVO trägt der Verarbeitende die Informationspflicht. Werden personenbezogene Daten von den Nutzern angefragt, muss zum Zeitpunkt der Erhebung folgende Informationen mitgeteilt werden: „Name und Kontaktdaten des Verantwortlichen, seines Vertreters und ggf. des Datenschutzbeauftragten; Zweck und Rechtsgrundlage“ für die Verarbeitung; in Ausnahmenfällen muss auch das berechtigte Interesse dem Nutzer mitgeteilt werden. Zusätzlich müssen die Nutzer nach Artikel 13 Absatz 2 DSGVO weitere Informationen über die „Dauer der Speicherung, ihr Widerspruchsrecht, Datenübertragbarkeit, Beschwerderecht bei einer Aufsichtsbehörde, Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung“ erhalten. Alle weiteren zusätzlichen Informationen können dem Artikel 13 Absatz 2 DSGVO entnommen werden.

Die wichtigen Rechte des Nutzers werden in den Artikeln 12-21 der DSGVO festgehalten.

X. Ziele der EU

Die Europäische Union verfolgt mit dieser Verordnung mehrere Ziele. Zum einen soll das Vertrauen der Bürger in die EU wiederhergestellt werden. Es hat sich herausgestellt, dass viele Nutzer Bedenken bezüglich der Verwendung der Daten seitens Unternehmen haben. Die in der Vergangenheit liegenden Hackerangriffe, bei denen die E-Mail-Adressen der Nutzer gestohlen worden sind, stärken die Bedenken der Nutzer. Die Nutzer sollten keine Angst vor Datenmissbrauch durch Unternehmen haben. Dazu wurden schärfere und höhere Strafen beschlossen, die die Unternehmen dazu bringen sollten die Verordnung einzuhalten. Die Verordnung schafft zudem gleiche Wettbewerbsbedingungen für alle agierenden Unternehmen auf dem Europäischen Raum.

Des Weiteren wird mit der Verordnung ein Datenschutzstandard eingefügt, der die Übermittlung personenbezogener Daten für alle agierenden Unternehmen vereinheitlicht.

Hinsichtlich der Kostenersparnis stellt die Verordnung für die EU ein attraktives Mittel dar. Nach den publizierten Daten kann die EU ca. 2,3 Mrd. € einsparen. Ein weiterer Vorteil besteht darin, dass die Unternehmensgründungen in der EU gefördert werden. Dadurch soll das gesamte europäische Wirtschaftswachstum und der europäische Binnenmarkt gestärkt werden.

XI. Was passiert nach dem 25.Mai 2018?

Wahrscheinlich werden weitere praktische Fälle und mit ihnen neue Klagen folgen. Die Rechtsprechung wird dementsprechend neue Auslegungen der Artikel und des Wortlauts in Urteilen veröffentlichen.

XII. Schlusswort

Mit VUCX haben Sie auch in Zukunft einen starken Partner an Ihrer Seite, der gemäß der DSGVO Ihre und die Daten Ihrer Nutzer vertraulich und mit Sorgfalt behandelt.

Erfahren Sie in unserem nächsten Artikel wie Unternehmen die DSGVO umsetzen können.

Der Artikel stellt keine Rechtsberatung dar.

Verwendete Quellen:

http://eur-lex.europa.eu/legal-content/

http://europa.eu/rapid/press-release

http://eur-lex.europa.eu

https://www.wuv.de/digital

https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung

https://www.tuv.com/germany/de/datenschutz-zertifizierung

https://www.bsi.bund.de/DE/Themen/ITGrundschutz

https://www.sicher-im-netz.de/news/eu-dsgvo-kein-datenschutz-ohne-it-sicherheit

https://de-de.facebook.com/business/gdpr


Zurück zum Anfang