EU-Datenschutz-Grundverordnung (DSGVO)

Ab 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) im ganzen Unionsgebiet unmittelbar anwendbar. Durch sie wird die bisherige EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ersetzt. Erhebliche Neuerungen finden sich insbesondere im Bereich der Verarbeitung personenbezogener Daten, Informations- und Löschungsverpflichtungen der verarbeitenden Unternehmen und bezüglich der Strafhöhen.

Anwendungsbereich der DSGVO

Die DSGVO schützt personenbezogene Daten natürlicher Personen. Der  Schutz von Daten juristischer Personen ist -im Gegensatz zur alten Regelung der EU-Datenschutzrichtlinie- nicht mehr vorgesehen. Personenbezogene Daten sind alle Daten von identifizierbaren oder identifizierten Personen, also beispielsweise Name oder Adresse, aber auch Interessen oder getätigte Einkäufe der betroffenen Person. Nicht unter den Anwendungsbereich der DSGVO fällt die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit durchgeführt wird. Zu solchen persönlichen oder familiären Daten können beispielweise die Daten in sozialen Netzwerken zählen.

Räumlich ist die DSGVO auf das ganze Unionsgebiet anwendbar. Darüber hinaus treffen die normierten Verpflichtungen auch Unternehmen, deren Sitz zwar nicht innerhalb der Union liegt, aber ihre Tätigkeit auf einen oder mehrer Mitgliedsstaaten ausrichten oder das Verhalten von betroffenen Personen innerhalb der EU beobachten. Unternehmen ohne Sitz in der EU müssen einen in der EU niedergelassenen Vertreter benennen, der als Anlaufstelle für die Aufsichtsbehörde dient.

Inhalt  und Ziele der DSGVO  im Überblick

Festgelegt werden insbesondere die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen (also der Unternehmer, die die Daten verarbeiten). Insbesondere sollen die Daten, welche verarbeitet werden, nach den Grundsätzen

• der Rechtmäßigkeit
• Treu und Glauben und
• Transparenz

behandelt werden. Die Daten dürfen lediglich für festgelegte Zwecke verwendet werden und müssen  dabei in möglichst geringer Menge und möglichst kurz gespeichert werden. Zur Verarbeitung der Daten bedarf es der Einwilligung der natürlichen Person. Die Einwilligung kann (entgegen vieler bisher anzuwendenden nationalen Bestimmungen) erst ab dem 16. Lebensjahr abgegeben werden. Den Nutzern soll dadurch die Kontrolle über ihre Daten ermöglicht werden. Die Unternehmer treffen zudem umfassende Informations- und  Auskunftspflichten gegenüber natürlichen Personen. In Bezug auf diese Informationsrechte wird angeordnet, dass den Nutzern jederzeit Auskunft zu erteilen ist, warum, wie und wo personenbezogene Daten gesammelt werden. Diese Information muss einfach verständlich und klar formuliert sein. Zusätzlich steht jeder natürlichen Person ein Widerspruchsrecht über die Verarbeitung ihrer Daten zu.

Gemäß Artikel 17 DSGVO steht den Nutzern zudem künftig ein Recht auf Datenlöschung und der Löschung aller mit den Daten verknüpften Links zu, wenn die Datenverarbeitung entweder:

• nicht notwendig war,
• ein Widerruf der Einwilligung erfolgt,
• ein Widerspruch gegen die Verarbeitung erfolgt oder
• eine unrechtmäßige Verarbeitung erfolgt ist.

Zusätzlich schafft die DSGVO zwei neue Instrumente zur Kontrolle des Datenschutzes:

• Die Datenschutz-Folgeabschätzung: Wenn eine Datenverarbeitung höhere Risiken für die Daten und die davon betroffenen Personen birgt, muss der Verantwortliche vorab eine Folgenabschätzung über die Risiken des Schutzes der Daten durchführen.
• Verzeichnis von Verarbeitungstätigkeiten:  Unternehmen mit weniger als 250 Mitarbeitern müssen ein solches Verzeichnis allerdings nur führen, wenn die Datenverarbeitung Risiken für die Freiheit und Rechte der Betroffenen birgt

Der Datenschutzbeauftragte

Ein Datenschutzbeauftragter muss benannt werden, wenn

• die Datenverarbeitung eine der Haupttätigkeiten des Unternehmens ist und eine regelmäßige und systematische Beobachtung der betroffenen Personen erforderlich ist oder
• wenn umfangreich sensible Daten verarbeitet werden (z.B. bei Krankenhäusern).

Andernfalls kann ein Datenschutzbeauftragter auf freiwilliger Basis bestellt werden. Der Datenschutzbeauftragte arbeitet mit der Datenschutzbehörde zusammen und hat die Unterrichtung und die Beratung des Verantwortlichen zur Aufgabe. Er benötigt keine spezielle Ausbildung, hat aber das nötige Fachwissen zur Erfüllung seiner Aufgabe zu besitzen.

Strafen – Nemo prudens punit, quia peccatum est, sed ne peccetur

Eigene (in jedem Mitgliedsstaat einzurichtende) unabhängig agierende Aufsichtsbehörden werden die Einhaltung der DSGVO überwachen. Diese Aufsichtsbehörden können Datenschutzüberprüfungen durchführen und bei Verstößen Strafen in der Höhe von bis zu € 20.000.000,00 oder 4% des globalen Jahresumsatzes des verstoßenden Unternehmens verhängen (hierbei wird der höhere Betrag gewählt).

Ausblick

Mit der Verordnung wird das Datenschutzrecht EU-weit vereinheitlicht.
Sie ist bereits ab dem 25. Mai 2018 gültig. Bei Verstößen ist ab 25. Mai 2018 die Verhängung von Bußgeldern durch die Aufsichtsbehörden möglich. In Österreich ist die Änderung der Datenschutzgesetzes DSG 2000 nunmehr beschlossen und im Bundesgesetzblatt vom 31. Juli 2017 veröffentlicht worden. Eine Anpassung des österreichischen Datenschutzgesetzes war notwendig, um die Bestimmungen der DSGVO auch im nationalen Recht zu verankern.  

Unternehmen ist anzuraten, rechtzeitig vor Inkrafttreten der DSGVO mit der Umsetzung der notwendig werdenden Änderungen in technischer (EDV) und personeller (Datenschutzbeauftragter) Hinsicht zu beginnen.

Für Rückfragen stehen wir Ihnen jederzeit gerne zur Verfügung.