Zusammenfassung der EU Datenschutz Grundverordnung (EU DSGVO)
Grundlage
Vorbild ist Deutschland mit dem Bundesdatenschutzgesetz für die EU Datenschutz Grundverordnung (DSGVO). Das österreichische Datenschutzgesetz aus dem Jahre 2000 und seinen Novelle in den Jahren 2010 und 2018 zählt mit dem deutschen Datenschutzgesetz im EU Raum zu den rigidesten Regelungen. Beide entsprechen der selben Ausrichtung. Im Rahmen der Entstehung der Verordnung hat man sich aber hauptsächlich an dem Datenschutzgesetz aus Deutschland orientiert. Die Verordnung enthält sogenannte Öffnungsklauseln, die zwar einen regulatorischen Rahmen vorgeben, aber die konkrete Umsetzung den Mitgliedsstaaten überlassen – zum Beispiel die Rolle des Datenschutzbeauftragten (siehe unten).
Kernpunkte
- Es handelt sich bei der Verordnung um ein Verbot mit Erlaubnisvorbehalt. Das heißt jegliche Verarbeitung von personenbezogenen Daten ist generell verboten. Ausnahmen müssen entweder explizit durch den Gesetzgeber geregelt werden, oder der Betroffene willigt ausdrücklich ein.
- Datensparsamkeit, Datenvermeidung und Erforderlichkeit der Zweckbindung. Die zu Grunde liegenden Prozesse, Arbeitsabläufe, und deren Beschreibung sind zumindest der Aufsichtsbehörde auf Verlangen offen zu legen und im Vorfeld zu dokumentieren. Die Dokumentation hat das Ziel, nachzuweisen, dass alle organisatorischen, wie auch technischen, Maßnahmen getroffen worden sind, um dem Datenschutz und seinen Prinzipien zu entsprechen.
- Beschränkung der Verwendung von personenbezogenen Daten auf einen konkreten Zweckist explizit in Artikel 6 der Verordnung geregelt. Eine Einwilligung der Verarbeitung von personenbezogenen Daten im Rahmen einer Kaufabwicklung bedingt keine automatische Erlaubnis diese Daten auch zu anderen Zwecken zu nutzen – Stichwort Big Data.
Verbraucherrechte
Ab dem Ende Mai 2018 gilt das Marktortprinzip. Anbieter von Leistungen via Internet müssen zwingend die EU Datenschutzgrundverordnung des Landes einhalten in dem der Kunde ansässig ist. Davon sind auch kostenlose Dienste betroffen. Unternehmen, die keinen Sitz im EU Raum haben, müssen einen Vertreter für die EU benennen. Der Vertreter ist Ansprechpartner sowohl für Betroffene und Aufsichtsbehörden.
Neu ist in der Verordnung das Kopplungsverbot. Die Erbringung einer Dienstleistung darf nicht von der Einwilligung zur Verarbeitung von Daten abhängig gemacht werden, die nicht für die Erfüllung des Vertrags erforderlich sind. (vgl. Artikel 7f) Meist erfolgt dies im Zuge von vordergründigen kostenfreien Spielen udgl.
Für Unternehmen besteht eine Prüfpflicht des Alters, die über die reine Altersabfrage hinausgeht. Die Verordnung überlässt die explizite Regelung dem nationalen Gesetzgeber über, wie dieser allfällige Jugendschutzbestimmungen umsetzt. Konkret kann das darin münden, dass vor bestehende Dienste, wie Facebook, Altersüberprüfungen geschaltet werden müssen. (vgl. Artikel 8)
Für Unternehmen besteht eine Informationspflicht über die Art und Weise der Verarbeitung personenbezogener Daten. Das beinhaltet die Rechtsgrundlage auf Grund derer die Daten verarbeitet werden, die Dauer der Speicherung der Daten, die Kriterien für die Dauer der Speicherung und die mögliche Weitergabe an Auftragsdatenverarbeiter. Ergänzt durch Regelungen bezüglich Auskunft, Widerruf und Löschung. (vgl. Artikel 12)
Neu ist das Recht auf geregelte Datenportabilität. Jeder Betroffene hat den Anspruch, seine im Rahmen einer Einwilligung oder eines Vertrags übertragenen personenbezogenen Daten vom Vertragspartner in einem „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ und diese Daten im Anlassfall einem anderen Anbieter zu übermitteln. (vgl. Artikel 18 & 23)
Recht auf Vergessen
Das Recht auf Vergessenwerden ist ein Anspruch auf Löschung von personenbezogenen Daten, die dem Betroffenen zusteht. Die EU Dateschutzgrundverordnung zielt auf die Löschung direkt bei der datenhaltenden/ speichernden Stelle ab. Daraus ergibt sich die Pflicht für Unternehmen auch andere Stellen, Auftragsdatenverarbeiter vor allem, über den Löschanspruch des Betroffenen zu informieren. Verantwortlich gegenüber dem Betroffenen ist immer das Unternehmen und dieses muss im Innenverhältnis das mit möglichen Auftragsdatenverabeitern nachweislich durchsetzen.
Rechenschaftspflicht
Das ist wohl die wichtigste Neuerung der EU Datenschutz Grundverordnung für Unternehmen. In dem Artikel 22 wird die Rechenschaftspflicht im Umgang mit personenbezogenen Daten geregelte. Je nach Art der Daten müssen „geeignete technische und organisatorische Maßnahmen“ ergriffen werden, um sicherzustellen und den Nachweis dafür erbringen zu können, dass personenbezogene Daten in Übereinstimmung mit der EU Datenschutz Grundverordnung verarbeitet werden.
Diese neuen Rechenschaftspflichten bringen möglicherweise auch haftungsrechtliche Konsequenzen mit sich: Derzeit muss ein Betroffener vor Gericht selbst den Nachweis dafür erbringen, dass das Unternehmen als verantwortliche Stelle für eine fehlerhafte Verarbeitung von Daten haftbar ist. Diese Pflicht obliegt nun nach dem Artikel 22 der datenverarbeitenden Stelle. Die datenverarbeitende Stelle ist somit dokumentationspflichtig.
Die EU Datenschutz Grundverordnung stellt Methoden bereit, um die Einhaltung dieser Rechenschaftspflichten zu vereinfachen – insbesondere Zertifizierungsverfahren oder genehmigte Verhaltensregeln. Konkret gibt es derzeit nur die ISO/IEC 27018 Normbezüglich Datenschutz und diese betrifft ausschließlich Anbieter von Cloud Diensten. Vor allem müssen Unternehmen besonders auf das Thema Risikomanagement abstellen, um der EU Datenschutz Grundverordnung zu entsprechen.
Folgeabschätzung
Die organisatorische Umsetzung des Datenschutzes ist in der Form von Maßnahmen zur Datensicherheit durch die EU Datenschutz Grundverordnung eingeflossen. Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität, die grundlegenden Schutzziele der Informationssicherheit, sind Inhalt der Verordnung – stark in Anlehnung an die ISO/ IEC 27001.
Vor allem beachtenswert ist, dass eine Datenschutzverletzung Folgeabschätzungnach definierten Kriterien durchzuführen ist. Ergibt sich ein Risiko für einen Betroffenen, so ist durch das Unternehmen die zuständige Aufsichtsbehörde (vgl. Datenschutzbehörde) darüber zu informieren. Die Aufsichtsbehörde kann binnen acht Wochen eine Stellungnahme herausgeben und sogar die Datenverarbeitung untersagen. Das ist in Artikel 34 geregelt unter der Bezeichnung „vorherige Konsultation“. Die Frist für eine Stellungnahme kann auch über die oben genannten acht Wochen erstreckt werden.
Die Bestellung eines Datenschutzbeauftragten, laut Verordnung, ist nicht an die Anzahl der Mitarbeiter gebunden, sondern daran, wenn „eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen“ erfolgt. Eine explizite Regelung ist durch den nationalen Gesetzgeber möglich.
Massive Anhebung des Strafrahmens
Die im DSG2000 festgelegten Sanktionen haben den gewünschten Lenkungseffekt nicht erreicht. Das maximale Bußgeld in der Höhe von 25.000,- Euro pro Einzelfall wurde nur selten verhängt. Auf Basis der Datenschutz Grundverordnung wird wohl die Akzeptanz und Bedeutung im Bereich Compliance deutlich steigen. In Artikel 79 sind die Geldbußen beschrieben. Absicht ist, dass „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ Strafen verhängt werden können. Strafzahlungen bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes eines Konzerns sind möglich.
Schlußbemerkung
Die EU Datenschutz Grundverordnung erweitert die bestehende EU Richtlinie und das Dateschutzgesetz. Die Rechte der Verbraucher werden gestärkt und der besondere Schutz von Minderjährigen wird hervorgehoben. Für Unternehmen entstehen dagegen eine ganze Reihe von neuen Pflichten. Vor allem die Pflicht zur Schaffung eines Datenschutzmanagements, die viele betroffene Unternehmen vor neue Herausforderungen stellt. Jedes Unternehmen ist angehalten sich rechtzeitig mit der Umsetzung zu beschäftigen.
Im Rahmen der Verordnung (vgl. Erwägungsgründe der Verordnung) wird festgestellt, dass es sich bei IP Adressen um personenbezogene Daten handelt und somit unter schützenswerte personenbezogenen Daten handelt. Hier reicht die abstrakte Möglichkeit der Identifikation über die IP Adresse. Explizit wird in diesem Zusammenhang auf Cookies verwiesen. Eine Neuregelung dieses Themas erfolgt wahrscheinlich im Rahmen einer neuen E-Privacy Richtlinie.