Die Datenschutzgrundverordnung der EU, kurz DSGVO, ist am 25. Mai 2016 in Kraft getreten und gilt nach zwei Jahren Übergangszeit ab dem 25. Mai 2018. Sie dient „dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten“.

Bislang kochte jeder der 28 EU-Staaten sein eigenes Süppchen, was den Datenschutz anging. In Deutschland regelte das Bundesdatenschutzgesetz (BDSG) die Belange der Betroffenen. Da Daten aber nicht durch Grenzen zu stoppen sind, war eine neue Datenschutzgrundverordnung notwendig. Mit dieser „Harmonisierung des Datenschutzniveaus“ soll das Datenschutzrecht innerhalb der EU auf einen Nenner gebracht werden.

DSGVO Datenschutzgrundverordnung

Die DSGVO soll den Datenschutz EU-weit harmonisieren © iStockphoto.com / peterhowell

Die DSGVO findet Anwendung in allen Mitgliedsstaaten Europas und „bedarf keiner Umsetzung in nationales Recht“. Allerdings gibt es Aufweichungen durch sogenannte Öffnungsklauseln, die nationale Regelungen erlauben, etwa bei der Frage von Sanktionen.

Welche Neuheiten bringt die DSGVO?

Für Deutschland wird sich durch die Datenschutzgrundverordnung nicht so viel ändern wie in anderen EU-Mitgliedsstaaten, da viele Inhalte aus dem Bundesdatenschutzgesetz übernommen wurden, dennoch gibt es einige Änderungen, die es zu betrachten lohnt:

Die Rechte der Betroffenen werden gestärkt

  • Die „Stärkung der Einwilligung der Person“ besagt nach Art. 4 DSGVO, dass „eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ (Art. 4, Absatz 11).
  • Der One-Stop-Shop” der Datenschutzgrundverordnungregelt, dass man sich als Betroffener einer Datenschutzverletzung nur noch an die Aufsichtsbehörde seines eigenen Mitgliedsstaates zu wenden braucht – egal, in welchem Land der Verstoß begangen wurde.
  • Das „Recht auf Löschung“ bzw. das „Recht auf Vergessenwerden“ wird gemäß Art. 17 DSGVO künftig dem Betroffenen erlauben, ungewünschte Inhalte löschen zu lassen. Konkret müssen Unternehmen die Anfragen auch an Dritte weitergeben, denen sie die Daten übertragen haben – und im Zweifelsfall auch dafür sorgen, dass die Löschung auch durchgeführt wird.
  • Durch das „Recht auf Datenübertragbarkeit“ nach Art. 20 DSGVO kann der Betroffene veranlassen, dass seine Daten z.B. von einem Unternehmen zu einem anderen transferiert werden.
Das Kopplungsverbot ist wohl eine der wichtigsten Stärkungen. Es besagt: „Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.”

 

 

 

DSGVO Callcenter

Dank DSGVO bald keine unerwünschten Anrufe mehr aus dem Callcenter? © iStockphoto.com / stockvisual

Und weiter: „Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Das dürfte gerade für Werbetreibende, die Adress-  und weitere Daten sammeln und ggf. an Dritte weitergeben, zu Schwierigkeiten führen. Denn damit darf z.B. ein Kauf oder die Teilnahme an einem Gewinnspiel in Zukunft nicht mehr mit dem Einverständnis der Werbegewinnung verquickt werden, denn diese ist für die Erfüllung des Vertrags natürlich nicht erforderlich.

Pflichten der Unternehmen nehmen zu

  • Die Dokumentationspflicht wird gemäß Art. 30 DSGVO verstärkt: Verarbeitungstätigkeiten müssen dokumentiert werden, so muss z.B. der Zweck der Verarbeitung angegeben werden (Rechtsgrundlagen: interner Datenschutzbeauftragter und interne Dokumentationspflichten).
  • Nach Art. 25 DSGVO werden technische Änderungen bei elektronischen Geräten eingeführt: „Datenschutzfreundliche Voreinstellungen“ auf Smartphones oder Tablets sollen dafür sorgen, dass personenbezogene Daten pseudonymisiert werden und der Betroffene die Datenverarbeitung überwachen kann.
  • Die Weitergabe von Daten wird gemäß Art. 46 DSGVO erschwert: Damit soll die Übermittlung der Daten an Drittstaaten oder internationale Organisationen nicht mehr unkontrolliert möglich sein.
  • Meldepflichten für Verletzungen des Datenschutzes werden verschärft: Jede Verletzung muss innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Und auch dem Betroffenen selbst ist die Verletzung unverzüglich anzuzeigen.
  • Datenschutzerklärungen müssen in Zukunft in transparenter, einfacher Sprache formuliert sein, damit der Verbraucher – speziell auch Kinder – die Inhalte besser versteht
  • Der o.g. One-Stop-Shop soll auch den Unternehmen Vorteile bringen, da sie sich ggf. nicht mehr vor mehreren Aufsichtsbehörden unterschiedlicher Länder verantworten müssen
  • Innerhalb einer Unternehmensgruppe wird die Weitergabe von personenbezogenen Daten unter erleichterten Datenschutzbedingungen gestattet sein

Ferner findet das Marktortprinzip Anwendung. Dies besagt, dass auch Unternehmen aus Nichtmitgliedsstaaten der EU den Bestimmungen der DSGVO unterliegen, wenn sie ihre Waren oder Dienstleistungen innerhalb der EU anbieten. Das dürfte u.a. den einen oder anderen Social Media-Anbieter, der sich bislang auf die Datenschutzbestimmungen in seinem Heimatland berufen konnte, aufschrecken.

Bußgelder und Sanktionen

Unternehmen, die der DSGVO zuwider handeln, „können mit Geldbußen von bis zu 20 Millionen EUR belegt werden oder alternativ bis zu 4 Prozent ihres weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist)“. Das ist eine wesentliche Steigerung im Gegensatz zum gegenwärtigen Stand: das BDSG sieht bisher lediglich Bußgelder bis 300.000 Euro vor. Darüber hinaus sind weitere Sanktionen möglich, die allerdings nicht konkret benannt sind. Diese „müssen wirksam, verhältnismäßig und abschreckend sein“. Dabei legen die Mitgliedsstaaten der EU die Sanktionen in Eigenregie fest.

Brennpunkt Videoüberwachung

DSGVO Videoüberwachung

Streitpunkt Videoüberwachung – von der DSGVO nicht ausdrücklich erlaubt, aber auch nicht verboten… © iStockphoto.com / pixinoo

Videoüberwachung bedeutet generell einen schweren Eingriff in die Persönlichkeitsrechte und ist daher aus datenschutzrechtlicher Sicht von hoher Relevanz. Die DSGVO hält sich zu diesem Thema allerdings äußerst vage: Für „systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche“ sieht die Verordnung eine Datenschutz-Folgeabschätzung vor. Dies lässt in der Praxis sicherlich einen großen Interpretationsspielraum und könnte damit zu einer Lockerung der Bestimmungen führen. Insbesondere der verdeckten, also heimlichen Videoüberwachung, im BDSG noch nur unter sehr erschwerten Bedingungen durchführbar, könnte damit Tür und Tor geöffnet werden. Gegebenenfalls wird sich die Situation aber auch diesbezüglich gar nicht ändern, da eine Videoüberwachung wohl immer als „systematisch“ und „umfangreich“ definiert werden kann.

Was wird die DSGVO bringen?

Natürlich gibt es bei einer solch bedeutsamen Verordnung auch massive Kritik. Den einen, Daten-und Verbraucherschützern, gehen die Bestimmungen nicht weit genug. Die anderen, Anbieter aus der Wirtschaft, sehen ihre Interessen gefährdet und sich dadurch im internationalen Wettbewerb geschwächt. Ihr Hauptargument sind der höhere Bürokratieaufwand und die damit steigenden Kosten.

  • Pro: Auf dem Papier sieht es so aus, als sollten die Rechte der Bürger tatsächlich in wesentlichen Punkten gestärkt werden. Inwieweit solche Verschärfungen und Sanktionen dann in der Praxis greifen und von den Aufsichtsbehörden umgesetzt werden, steht natürlich auf einem anderen Blatt.
  • Contra: Das liebe Geld… Es wird prognostiziert, dass die Aufsichtsbehörden einen erheblichen Mehrarbeitsaufwand leisten werden müssen, und natürlich wird auch in den Unternehmen der Datenschutz nicht mehr unter „ferner liefen“ bewältigt werden können. Datenschutzbeauftragte müssen eingestellt werden, und dort, wo es sie bereits gibt, wird sich ihr Aufgabengebiet ebenfalls erheblich ausdehnen.

Ein ungelöstes Problem kommt in Deutschland hinzu: Der Beschäftigtendatenschutz wurde mit der DSGVO nicht geregelt. Die Bundesregierung hatte in der Phase der Gesetzgebung damit gerechnet, dass die DSGVO den Arbeitnehmerdatenschutz mit aufgreifen wird und daher kein eigenes Gesetz auf den Weg gebracht. Da nicht damit zu rechnen ist, dass ein solches Gesetz im Bundestagswahlkampf eingebracht und verabschiedet werden wird, dürfte wohl noch einige Zeit ins Land gehen, bis dieses sensible Thema endlich auf die Agenda kommt.

 

Weiterlesen in den Europa News