GDPR (General Data Protection Regulation)
Die Allgemeine Datenschutzverordnung wird auch als GDPR, EU-DSGVO oder EU Datenschutz-Grundverordnung bezeichnet und gilt offiziell seit dem 25. Mai 2018. Es handelt sich um eine Verordnung der Europäischen Union (EU), mit der die Regeln zur Verarbeitung personenbezogener privater oder öffentlicher Daten durch die meisten Datenverarbeiter EU-weit vereinheitlicht und festgelegt werden. Dies schützt der EU-Bürger und gewährleistet den freien Datenverkehr innerhalb des Europäischen Binnenmarktes. Zusammen mit der JI-Richtlinie für Polizei- und Justiz-Datenschutz Justiz bildet die DSGVO den gemeinsamen Datenschutzrahmen der EU. Wichtige Themen sind unter anderem Privatsphäre, Datenschutz, Verschlüsselung, Datenschutzbeauftragter, Transparenz, Bußgelder und Strafen, personenbezogene Daten, Einwilligung und Verzeichnisse.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Diese müssen direkt oder indirekt mittels Zuordnung zu einer Kennung mit Merkmalen identifiziert werden können. Merkmale sind z.B. Name, Kennnummer, Standortdaten, Adresse, E-Mail-Adresse, Telefonnummer, Geburtstag, Kontodaten, Kfz-Kennzeichen, IP-Adressen und Cookies.
Für wen gilt die DSGVO?
Die Verordnung ist für Shops, Händler, Webseitenbetreiber, Institutionen und Unternehmen, die im Internet aktiv und in der EU ansässig sind, bindend, sobald sie mit Daten von EU-Bürgern arbeiten. Die Regelung gilt auch für außereuropäische Unternehmen mit EU-Sitz und international, sobald personenbezogene Daten von EU-Bürgern erhoben und verarbeitet werden. Dabei kann es sich um Nutzer-Tracking, Kundendaten, Newsletter, Werbemails, Facebook-Werbung oder die eigene Datenschutzerklärung handeln.
Den EU-Mitgliedstaaten ist es grundsätzlich nicht erlaubt, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken. Allerdings enthält die Verordnung verschiedene Öffnungsklauseln, die es den einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte des Datenschutzes im nationalen Alleingang zu regeln.
Ziel der DSGVO
Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und unterschiedliche Standards galten. Unternehmer haben also in Zukunft die Sicherheit, dass innerhalb der EU überwiegend einheitliches Datenschutzrecht gilt. Außerdem soll die Verordnung datenschutzfreundlicher für die betroffenen Nutzer werden, sodass die Bürger die Hoheit über ihre Daten so weit wie möglich zurückerhalten. Mithilfe deutlich höherer Bußgelder soll sichergestellt werden, dass sich auch Cloud-Dienste oder soziale Netzwerke aus anderen Ländern an die Regelungen halten müssen.
Gliederung und Themen der DSGVO
Die DSGVO gibt es auf Deutsch und Englisch und sie umfasst folgende elf Kapitel:
Allgemeine Bestimmungen, Grundsätze, Rechte der betroffenen Person, Verantwortlicher und Auftragsverarbeiter, Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen, unabhängige Aufsichtsbehörden, Zusammenarbeit und Kohärenz, Rechtsbehelfe, Haftung und Sanktionen, Vorschriften für besondere Verarbeitungssituationen, Delegierte Rechtsakte und Durchführungsrechtsakte sowie Schlussbestimmungen.
Die 7 allgemeinen Grundsätze zur Verarbeitung personenbezogener Daten nach EU-DSGVO (GDPR)
- Treue und Glauben, Rechtmäßigkeit, Transparenz: Bei der Datenerhebung muss die Identität des Erhebenden offengelegt werden und der Grad der Datenverarbeitung festgelegt werden. Bei der Datenerhebung muss komplett transparent agiert werden, da der Dateneigner jederzeit das Recht auf die Offenlegung seiner Daten hat.
- Zweckbindung: Der Zweck der Datenverarbeitung muss vorher eindeutig und rechtmäßig festgelegt werden. Bei einer Datenweitergabe muss der Inhaber explizit zustimmen oder der Datenerheber einen Rechtfertigungsgrund abgeben.
- Datenminimierung: Es dürfen nur zweckmäßig relevante und angemessene Daten erhoben werden.
- Richtigkeit: Die Daten müssen vor Verwendung korrekt und vollständig sein, ansonsten müssen sie korrigiert oder gelöscht werden.
- Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es der Zweck verlangt, da bei Zielerreichung der Datenerhebung die Daten unmittelbar gelöscht werden müssen.
- Integrität und Vertraulichkeit: Die Daten müssen vertraulich behandelt und vor unrechtmäßiger Verarbeitung geschützt werden.
- Rechenschaftspflicht: Datenerhebende müssen nachweisen können, dass alle Vorschriften zur Datenerhebung vollständig eingehalten wurden.
Einwilligung zur Datenverarbeitung
Die Einwilligung zur Datenverarbeitung gilt mit weiteren Grundsätzen und Sonderregelungen zur Verarbeitung personenbezogener Daten und als zentrales Element der neuen EU-DSGVO (GDPR), bei der das Verbotsprinzip gilt. Wenn keine Erlaubnis oder Einwilligung des Datenbesitzers vorliegt, dürfen keine Daten gespeichert oder verarbeitet werden. Wenn sich nicht an die Verordnung gehalten wird, müssen Unternehmen und Privatpersonen mit hohen Strafen rechnen. Es kann dabei zu Strafzahlungen bis zu 4 % des weltweiten Vorjahresumsatzes und maximal 20 Mio. Euro kommen. In jedem EU-Mitgliedsstaat gibt es entsprechende Behörden, die für Aufklärung, Sensibilisierung, Überwachung sowie Durchsetzung der Richtlinien sorgen.
Aktuelle Datenschutz-Änderungen
Zahlreiche Datenschutz-Änderungen hat die Bundesregierung im Jahr 2019 beschlossen. Während viele Unternehmer auf weniger Bürokratie hoffen, warnen Experten aber schon vor den Konsequenzen. Es werden weitere Hürden auf Unternehmen und Privatpersonen zukommen, die Websites betreiben. Ein wichtiges Thema für Unternehmer ist außerdem die geplante Änderung rund um das Thema Datenschutzbeauftragter in der Firma. Künftig soll die verpflichtende Schwelle für die Anschaffung eines Datenschutzbeauftragten von zehn auf 20 Mitarbeiter erhöht werden. Als Datenschutzbeauftragter gilt nur, wer sich ständig mit einer automatisierten Verarbeitung personenbezogener Daten auseinandersetzt. Insgesamt sind von der geplanten Änderung 80 Prozent aller deutschen Unternehmen betroffen.
Allerdings gibt es noch weitere negative Änderungen, die aus der DSGVO resultieren. Auch wenn der Datenschutzbeauftragte geht, bleibt die Haftung vollständig erhalten und viele Unternehmer sowie Angestellte sind überfordert oder unwissend, weshalb die Anzahl der Verstöße rasant ansteigt. Außerdem zeigen sich Wettbewerber bereits gegenseitig an, wodurch die Anzahl und Höhe der Bußgelder steigt. Insbesondere kleinere Unternehmen bekommen dann aufgrund fehlender fachlicher Kompetenzen schnell finanzielle Probleme, da sich vorübergehend teures externes Wissen eingekauft werden muss, um teure Strafzahlungen zu umgehen. Aktuell sind noch mehr als 150 weitere Datenschutz-Änderungen geplant.