Datenschutz
Die neue europäische Datenschutzgrundverordnung trat bereits am 24. Mai 2016 in Kraft. Ab dem 25. Mai 2018 sind die hierin enthaltenen Maßgaben zum Datenschutz verbindlich in den jeweiligen Mitgliedstaaten anzuwenden – auch ohne die separate Übertragung in nationales Recht.
Die EU-Datenschutz-Grundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/EG von 1995 ab.
Gestärkt werden sollen durch die europäische Datenschutzverordnung vor allem die Verbraucherrechte. Datenverarbeitende Stellen müssen mit strengeren Regulierungen rechnen.
Gleichzeitig zur DSGVO tritt in Deutschland das neue Bundesdatenschutzgesetz (BDSG) zur Konkretisierung der DSGVO in Kraft.
Zusätzlich ist noch eine EU-e-Privacy-Verordnung geplant speziell für die Themen Internet- und Telemediendienste sowie insbesondere E-Mail-Marketing.
Bisher wurden nur Entwürfe einer Synopse zur e-Privacy-Verordnung veröffentlicht. Über den Inhalt der zukünftigen Verordnung müssen sich EU-Kommission, EU-Parlament und EU-Rat noch verständigen. Die Verhandlungen werden für die zweite Hälfte des Jahres 2018 erwartet.
Die neuen Vorschriften bringen einige Verschärfungen der bisherigen Richtlinien mit sich, deren Implementierung Zeit und Sorgfalt erfordert.
Ziel dieser Änderungen ist die Stärkung der individuellen Rechte: Die Verarbeitung personenbezogener Daten soll für Betroffene transparenter und kontrollierbar werden. Dabei bleiben die wichtigsten Grundsätze gleich, werden jedoch deutlich intensiver betont. Dazu zählen insbesondere Rechtmäßig- und Richtigkeit, Zweckbindung, Datensparsamkeit und Speicherbegrenzung (zeitliche Beschränkung), sowie Vertraulichkeit und Rechenschaftspflicht der Verantwortlichen für die entsprechende Einhaltung.
Die Verarbeitung personenbezogener Daten ist nur noch erlaubt, wenn eine der folgenden Bedingungen erfüllt ist: Es liegt eine konkrete Einwilligung des Users vor, es gibt einen entsprechenden (Vor-)Vertrag, die Daten bzw. die Verarbeitung erfolgt gemäß den Gesetzesanforderungen, es greifen lebenswichtige Interessen des Betroffenen, es liegen Aufgaben bzw. die Wahrung öffentlicher Interessen vor oder die Datenverarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich. Dabei gilt es jedoch abzuwägen, ob nicht die Grundrechte des Betroffenen schwerer wiegen, insbesondere, wenn Kinder involviert sind. Außerdem verlangt die neue Verordnung eine erhöhte Transparenz für die Betroffenen, im Sinne einfach verständlicher und zugänglicher Informationen und einer entsprechenden Auskunftspflicht. Zusätzlich gilt ab Mai „Privacy by Default“, d.h. die Datenschutzeinstellungen müssen standardmäßig auf höchster Stufe eingestellt sein.
Ein Verstoß gegen die EU-Datenschutzgrundverordnung kann das betreffende Unternehmen bis zu 20 Millionen Euro Geldbuße kosten – oder bis zu 4 % dessen weltweiter Umsätze (je nachdem, welcher Wert am Ende höher ausfällt). Dies betrifft übrigens alle Unternehmen, die Daten von EU-Bürgern verarbeiten, also z.B. auch US-Riesen wie Facebook oder Google. Umso wichtiger ist es, sich mit dem Thema auseinander zu setzen. So müssen bei der Erhebung personenbezogener Daten deutlich mehr kritische Punkte beachtet werden. Bislang bestehende Einwilligungen und Datenverarbeitungen behalten nur dann ihre Gültigkeit, wenn sie auch der neuen Datenschutzgrundverordnung entsprechen. Andernfalls müssen völlig neue Datenschutzerklärungen aufgesetzt werden. Der entscheidende Punkt für Unternehmen ist insbesondere die Rechenschaftspflicht (Accountability), die in der DSGVO verankert ist: Hierbei müssen Unternehmen die Einhaltung der neuen Richtlinien einwandfrei nachweisen können.
Doch die Datenschutzgrundverordnung hat auch Vorteile: Der freie Verkehr von Daten und damit verbundene wirtschaftliche Interessen finden ebenfalls Anwendung. Entscheidender Faktor der gesetzlich erlaubten Datenverwertung wird die Abwägung zwischen berechtigtem (wirtschaftlichen) Interesse und personenspezifischem Datenschutz sein. Diese kann mithilfe von Pseudonymisierung und Aufklärung zu Gunsten des Unternehmens ausfallen. Auch innerhalb einer Unternehmensgruppe ist der Austausch von Daten zu Kunden und Beschäftigten bei einem solchen berechtigten Interesse erlaubt.
Wir beraten Sie individuell bei der Einhaltung der DSGVO bzw. BDSG mit Berücksichtigung der speziellen Gegebenheiten Ihres Unternehmens.
Unser Ziel ist eine effiziente Lösung, die zur Größe Ihres Unternehmens passt.
Links: DSGVO (englisch)
DSGVO (deutsch)
Bundesdatenschutzgesetz (BDSG)
Synopse der ePrivacy-VO