Datenschutz reloaded: Die EU-DSGVO tritt in Kraft. Alles neu macht der Mai … 2018″

Alles neu macht der Mai … 2018: Datenschutz reloaded: Die EU-DSGVO tritt in Kraft!

EU Datenschutzverordnung EU-DSGVO

Active Sourcing, Big Data, Cloud Computing, Profiling, Ubiquitous Computing, Talent Manager, Career Scouts: In der schönen neuen Welt elektronischer Medien wie auch Social- und Business-Plattformen läuft alles über personenbezogene Datenspeicherung. Ein verantwortungsbewusster Umgang mit sensiblen persönlichen Daten ist dadurch wichtiger denn je geworden. Ab 25. Mai 2018 löst nun eine neue, EU weite Datenschutz-Grundverordnung die aus dem Jahr 1995 stammenden deutschen Richtlinien ab und gibt neue Regelungen vor, die mit drastischen Bußgeldern untermalt, wie essentiell wichtig die Einhaltung der neuen Vorgaben gesehen wird.

Die neue Datenschutz-Grundverordnung ist selbst für EU-Maßstäbe ein echtes Kraftpaket. Viele Jahre wurde gefeilt, stritten Politik und Lobbyisten heftig um die Inhalte. Erst nach Abarbeitung von 3100 Änderungsanträgen im Europaparlament trat das knapp 100 Seiten starke Werk im Mai 2016 in Kraft. Man einigte sich auf eine Übergangsfrist von zwei Jahren, damit die Vorgaben auf nationales Recht angepasst werden konnten.

Beitrag von Christian PAPE, CEO PAPE Consulting Group AG

Ab dem 25. Mai 2018 gilt dann diese neue EU-weite Datenschutz-Grundverordnung (EU-DSGVO), aber die wenigsten wissen bisher, was sie bedeuten wird, geschweige denn haben sich Unternehmen auf die neuen Vorgaben und Pflichten eingerichtet. Die EU-DSGVO betrifft Unternehmen jeder Größe, die personenbezogene Daten erheben, speichern und verarbeiten.

Während bislang durch nationale Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie doch erhebliche Unterschiede bestanden, wird die EU-Datenschutz-Grundverordnung direkt geltendes Recht in allen Mitgliedsstaaten sein. Geringe Unterschiede sind allenfalls durch die Möglichkeit sog. „Öffnungsklauseln“ möglich. Öffnungsklauseln bieten Gesetzgebern die Möglichkeit, eigene nationalen Regelungen zu erlassen.

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO).

Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

Die Datenschutz-Grundverordnung wird das europäische Datenschutzrecht nicht völlig umwälzen, weist aber eine Reihe von in der Praxis erheblichen Änderungen auf.

Was ist das Ziel der Verordnung?
Bedienen wir uns dazu zunächst des sachlichen Anwendungsbereiches der Erklärung:

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.

Welches sind die wichtigsten Inhalte?

  • Detailliertere Auskunftspflichten
  • Dokumentation des Datenschutzes als Pflicht
  • Massiv erweiterte Sanktionsmöglichkeiten (bis zu 4% des Jahresumsatzes), erweiterte Haftungsrisiken
  • Datenschutz/Privacy by Design/Default
  • Erweiterte Betroffenenrechte (insbes. Recht auf Datenportabilität und Recht auf Vergessenwerden
  • Neue Anforderungen an die Einwilligung
  • Aufbewahrungserlaubnis bis zur Zweckerfüllung
  • Unschuldsbeweis seitens der Unternehmen
  • Verlängerungsmöglichkeit durch schriftliche Einwilligung erlaubt längere Aufbewahrung der Daten
  • verpflichtende Benennung eines Datenschutzbeauftragten

Einige Themen im Detail

Recht auf Vergessenwerden

Ein kleines, aber illustratives Beispiel stellt das sogenannte „Recht auf Vergessenwerden“ dar. Künftig gilt für alle Datenverarbeiter aller Branchen das, was man bisher nur mit Suchmaschinen wie Google in Verbindung gebracht hat: Wenn Kunden wünschen, dass ihre gespeicherten Daten gelöscht werden, dann muss das geschehen. Das gilt auch für die Kundendaten, die bereits an Dritte weitergegeben wurden. Also auch die Datenkette muss weiterverfolgt werden.

Natürlich wird es branchenspezifische Unterschiede geben. Wer besonders viele oder besonders schützenswerte Daten verarbeitet oder in besonderem Maße neue Technologien einsetzt, wird einen größeren Aufwand betreiben müssen, als andere Unternehmen. Zu nennen sind exemplarisch die Finanzbranche mit ihrer großen Zahl an sensiblen Kundendaten auf vielen globalen Systemen, aber ebenso Versicherungen, die Pharmaindustrie, die Gesundheitsbranche, Telekommunikationsunternehmen, Personalberater oder Onlineanbieter. Unabhängig von der Branche gilt für alle Unternehmen: Sie müssen ihre bisherigen Zuständigkeiten, Prozesse und Maßnahmen neu bewerten, alles muss auf den Prüfstand. Risikoanalyse, Konzeption und Transparenz rücken in den Vordergrund.

Stärkung der Nutzerrechte

Die Stärkung der Nutzerrechte ist ein elementarer Punkt der Verordnung. Sind Unternehmen daran interessiert, personenbezogene Daten von Nutzern zu verarbeiten, müssen sie sich künftig eine ausdrückliche Zustimmung von ihnen einholen.

Der Nutzer hat künftig das Recht, jederzeit zu erfahren, welche Daten über ihn gesammelt werden. Der Zugang zu den persönlichen Daten muss also vereinfacht werden. Ein weiterer Fokus der neuen Vereinbarung wurde auf den Aspekt gelegt, dass personenbezogene Daten dem Nutzer gehören und zum Beispiel nicht den Internetdiensten, die sich mit der Verarbeitung der Daten befassen.
Aufgrund der EU-Datenschutz-Grundverordnung besitzen Nutzer nun auch das Recht, Daten von Anbieter A zu Anbieter B zu portieren.

Privacy by Design im EU-Datenschutz

Die Datenschutzverordnung nimmt Anbieter und Administratoren künftig noch stärker in die Pflicht. Datenschützer fordern seit längerem schon, den Schutz personenbezogener Daten so früh wie möglich in IT-Lösungen zu berücksichtigen. Bereits in der Konzeption und Entwicklung, aber auch in den Voreinstellungen soll der Datenschutz nun einen elementaren Stellwert einnehmen. Man spricht von „Privacy by Design“ und „Privacy by Default“. Beide Datenschutz-Prinzipien richten sich an die IT-Anbieter. Der Datenschutz als Voreinstellung (“by Default”) wendet sich zusätzlich an die Administratoren in den Anwenderunternehmen.

Weitere Begriffe haben wir hier zusammen gestellt.

PAPE Consulting Group AG wird in der PAPE Academy in Kürze auch Seminare zu dem Thema anbieten.