logo_online_und_it_recht

Die Europäische Datenschutzverordnung – Datenschutz-Grundverordnung (DS-GVO)

Nach nun knapp vierjährigen Verhandlungen über den Datenschutz in Bezug auf die Verarbeitung personenbezogener Daten, hat die EU eine für ganz Europa einheitliche europäische Datenschutzverordnung erarbeitet, die voraussichtlich im Mai 2018 in Kraft treten wird.

„Nichts bleibt vollkommen unverändert“ – so formuliert es der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. in seinem Überblick über die anstehenden Neuerungen aufgrund der Verordnung. Genau aus diesem Grunde ist die Zeitspanne bis zum Inkrafttreten der Datenschutz-Grundverordnung so lang gewählt – damit Unternehmen in der Lage sind, die nun auf sie zukommenden Verpflichtungen bereits jetzt umsetzen zu können. Welche Neuerungen auf Verbraucher und Unternehmer zukommen, und welche Konsequenzen eine Nichteinhaltung der Verordnung hat, soll in diesem Artikel näher beleuchtet werden.

Was genau schützt die Verordnung?

Die Verordnung soll die personenbezogenen Daten aller sich in der EU befindlichen Personen in Bezug auf die Verarbeitung und den Verkehr mit diesen Daten schützen. Speziell fallen hierunter die personenbezogenen Daten, welche ganz oder teils automatisiert verarbeitet werden, oder nicht automatisch verarbeitete Daten, die in einem Dateisystem gespeichert sind oder in einem Dateisystem gespeichert werden sollen.

Für wen gilt die Verordnung?

Die Verordnung gilt für alle Unternehmen, die in der EU ansässig sind oder hier eine Zweigniederlassung haben. Im Falle einer Zweigniederlassung ist es unerheblich, ob in dieser auch personenbezogene Daten verarbeitet werden. Auch müssen sich Unternehmen, die keinen Sitz in der EU haben, sondern lediglich für sich in der EU befindliche Personen Waren oder Dienstleistungen – auch unentgeltlich – anbieten oder das Marktverhalten dieser Personen beobachten, an die EU-Verordnung halten.

Konsequenzen bei Nichteinhaltung

Die Nichteinhaltung der Verordnung kann hier rasch recht drastische Maßnahmen nach sich ziehen: Die EU verhängt hier keine fixen Bußgelder mehr, sondern fordert stattdessen bis zu 4 % des globalen Jahresumsatzes als Bußgeld.

Wie erfolgt nun die Verarbeitung und Speicherung?

Die erhobenen Daten müssen nun gemäß des Grundsatzes von Treu und Glauben auf eine für die betroffene Person nachvollziehbare Art verarbeitet werden. Hierbei hat die betroffene Person ein Recht auf Transparenz. So dürfen die personenbezogenen Daten nun nur noch für einen eindeutigen und festgelegten Zweck verarbeitet werden; eine Verarbeitung in einer Weise, die sich mit dem Zweck nicht vereinen lässt, ist unzulässig.

Auch hat man sich darauf geeinigt, dass die Erhebung und Verarbeitung von personenbezogenen Daten sich auf das notwendige Maß beschränken soll, hier wird von der sog. „Datenminimierung“ gesprochen.

Die Daten selbst sollen stets korrekt sein und – sofern es notwendig ist – sich auf einem aktuellen Stand befinden. Ist dem nicht so, so sind die Daten entweder zu berichtigen, oder aber zu löschen. Bei der Erhebung der Daten muss außerdem eine angemessene Sicherheit dergestalt gewährleistet werden, dass die Daten vor unbefugter oder unrechtmäßiger Verarbeitung, sowie vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung geschützt sind. Sollten die Daten gespeichert werden, so darf eine Identifizierung der betroffenen Person nur für den Zeitraum der Verarbeitung möglich sein.

Unternehmen unterliegen nun der sog. „Rechenschaftspflicht“ die besagt, dass die betroffenen Unternehmen in der Lage sein müssen, nachzuweisen, dass sie sich an die Verordnung halten.

Wann ist die Datenverarbeitung zulässig und welche Daten dürfen verarbeitet werden?

Die Verarbeitung von personenbezogenen Daten ist nun nur noch zulässig, wenn

  • die betroffene Person ihre Einwilligung gegeben hat, bezogen auf einen/mehrere bestimmte Zweck/e,
  • sie für eine Vertragserfüllung notwendig ist,
  • sie an rechtliche Verpflichtungen gebunden ist,
  • lebenswichtige Interessen der betroffenen Person oder Dritter zu schützen sind,
  • sie für Aufgaben des öffentlichen Interesses oder einer öffentlichen Gewalt notwendig ist, oder
  • sie für die berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist.

In Bezug auf den letzten Punkt stellt die Vorschrift klar, dass die Grundfreiheiten der betroffenen Person, insbesondere dann, wenn es sich hier um ein Kind handelt, nicht eingeschränkt oder übergangen werden dürfen.

Für den Fall, dass die Verarbeitung auf einer Einwilligung beruht, muss das datenverarbeitende Unternehmen diese nachweisen können. Wenn also – um diesen Nachweis leichter erbringen zu können – eine Einwilligungserklärung in schriftlicher Form seitens des Unternehmens verlangt wird, so muss diese in klarer und einfacher Sprache verfasst sein. Die betroffene Person muss darüber informiert werden, dass die Einwilligung jederzeit widerrufbar ist. Ein Widerruf muss grundsätzlich ebenso einfach gestaltet und durchzuführen sein, wie die Einwilligung. Hat die betroffene Person von ihrem Widerrufsrecht Gebrauch gemacht, so muss die Datenverarbeitung von diesem Zeitpunkt an eingestellt werden.

Unternehmen sind ab Inkrafttreten der Verordnung insgesamt verpflichtet, alle Informationen über die Verarbeitung der Daten in transparenter, präziser, verständlicher und leicht zugänglichen Form in einer klaren einfachen Sprache zu übermitteln. Hierfür kann die Schriftform wie die elektronische Form verwendet werden, für den Fall, dass die betroffene Person eine mündliche Übermittlung wählt, ist aber ein Identitätsnachweis der Person erforderlich.

Durch die Verordnung sind nun auch Daten bestimmt, deren Verarbeitung grundsätzlich untersagt ist, wenn hierdurch eine eindeutige Identifizierung der betroffenen Person ermöglicht wird. Bei diesen Daten handelt es sich um Informationen über die rassische oder ethische Herkunft, die politische Meinung sowie religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeiten, genetische oder biometrische Daten, Gesundheitsdaten und Daten zum Sexualleben oder über die sexuelle Orientierung.

Eine Ausnahme darf hier nur gemacht werden, falls eine ausdrückliche Einwilligung der Person vorliegt, dies aus arbeitsrechtlichen Gründen oder Gründen der sozialen Sicherheit und des Sozialschutzes notwendig ist, dies für lebenswichtige Interessen erforderlich ist oder es sich hierbei um Informationen handelt, die von der Person offensichtlich selbst öffentlich gemacht wurden.

Unternehmen sind nun auch verpflichtet der betroffenen Person genaue Angaben über sich selbst mitzuteilen. Hierzu zählen der Unternehmensname und die Kontaktdaten, die Benennung des/r gesetzlichen Vertreter/in und – wenn vorhanden – die Kontaktdaten des/r Datenschutzbeauftragten. Der Zweck der Verarbeitung ist unter Benennung der gesetzlichen Grundlage anzugeben sowie die Interessen des Unternehmens oder etwaigen Dritten. Sollten die Daten an Dritte übermittelt werden, so sind diese zu benennen und, falls die Übermittlung an eine bestimmte Empfängerkategorie übermittelt wird, die Kategorie. Besteht die Absicht, die Daten an ein Drittland zu übermitteln, muss die betroffene Person auch hierüber vorab informiert werden.

Immer anzugeben ist die Speicherdauer der personenbezogenen Daten oder Kriterien für die Festlegung einer solchen Dauer. Außerdem müssen die betroffenen Personen über ihre Rechte informiert werden, also das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung der Daten und ihr Recht auf Widerspruch und Übertragbarkeit der Daten sowie das Bestehen eines Beschwerderechts bei Aufsichtsbehörden und die gesetzliche und vertragliche Bereitstellung der Daten und die Folgen der Nichtbereitstellung.

Die sich aus der Verordnung ergebenden Rechte für den Verbraucher dürfen seitens eines Unternehmens nur dann verweigert werden, wenn dieses glaubhaft macht, die betroffene Person nicht identifizieren zu können.

Sofern die Daten für den bestimmten Zweck nicht mehr notwendig sind, die Einwilligung widerrufen wurde, die Verarbeitung unrechtmäßig erfolgt ist oder eine Löschung zur Erfüllung einer vertraglichen Verpflichtung notwendig ist, sind die Daten zu löschen.

Sonderregelung bei Kindern und Jugendlichen

Da Kindern und Jugendlichen oftmals noch die ausreichende Einsicht in Bezug auf ihren Umgang mit personenbezogenen Daten fehlt, sollen diese durch die Verordnung besonders geschützt werden.

Sollte einem Kind oder Jugendlichen direkt ein Angebot gemacht werden, bei dessen Annahme auch personenbezogene Daten verarbeitet würden, so kann hier eine wirksame Einwilligung nur dann erfolgen, wenn das Kind/der Jugendliche das 16. Lebensjahr vollendet hat, oder alternativ die Eltern zustimmen. Unternehmen sind hier verpflichtet, die nötigen Anstrengungen zu unternehmen, um sicherzustellen, dass die Kinder/Jugendlichen das entsprechende Mindestalter erreicht haben oder eine Zustimmung der gesetzlichen Vertreter vorliegt.

Das Mindestalter kann seitens der EU-Mitgliedsstaaten allerdings individuell festgelegt werden.

Fazit

Abschließend lässt sich schlussfolgern, dass Unternehmen zukünftig ihre gesamte bisherige Art und Weise in Bezug auf den Umgang mit personenbezogenen Daten überarbeiten müssen, um sich so den umfangreichen Anforderungen der neuen DS-GVO ab Mai 2018 stellen zu können.

Links

Mark Schomaker
Folge Mark Schomaker:

Rechtsanwalt

Rechtsanwalt Mark Schomaker, 33824 Werther, Tel.: 05203-977 89 63, www.onlineunditrecht.de, ist spezialisiert auf das IT-Recht und Internetrecht, sowie auf nationales und internationales Vertragsrecht.