5 Fragen – 5 Antworten: Die EU DSGVO

Sie ist aller Munde, doch was verbirgt sich eigentlich konkret hinter der Europäischen Datenschutz-Grundverordnung (EU DSGVO)? Einer Vielzahl von unmittelbar Betroffenen ist allerdings nur klar, dass umfassende Veränderungen ins Haus stehen. Nach einem ersten einleitenden Beitrag gehen wir einen weiteren Schritt auf die Verordnung zu: Fünf Fragen und fünf Antworten zur EU DSGVO finden Sie im folgenden Beitrag.

Was ist die EU DSGVO und wann kommt sie?

Im Grunde ist sie schon eine Weile da: Lediglich die zweijährige Übergangsfrist läuft aus, und zwar am 25. Mai 2018. In erster Linie ist sie eine Aktualisierung und Ergänzung der bestehenden Vorschriften zur Datenverarbeitung und löst die EU-Datenschutzrichtlinie ab, die 1995 in Kraft getreten ist. Ganz zentral geht es darum, die Gesetzgebung zur Verarbeitung personenbezogener Daten innerhalb der Europäischen Union zu vereinheitlichen und die Verbraucherrechte zu schützen.

Was ist das Ziel der EU DSGVO?

Durch die Vereinheitlichung der Vorschriften wird es vor allen Dingen einfacher, in anderen Ländern tätig zu sein und sich nicht mit den unterschiedlichen Ausführungen der jeweiligen Datenschutzgesetze auseinandersetzen zu müssen. Im Vergleich zur bisherigen Gesetzgebung wird der Schutz der Daten und auf diesem Wege der Schutz natürlicher Personen im Sinne der Grundrechte und Grundfreiheiten gestärkt. Dabei soll allerdings der freie Verkehr – zum Schutz natürlicher Personen – weder eingeschränkt noch verboten werden. Diese Verordnung hat allerdings auch Auswirkungen auf Unternehmen außerhalb der EU, die personenbezogene Daten in der EU erheben und verarbeiten. Insbesondere Cloud Dienste, soziale Netzwerke und Suchmaschinen gelten als spezielle Ziele der EU DSGVO. Die Grundlage dafür bildet das Marktortprinzip.

Wen betrifft die EU DSGVO?

Sehr allgemein formuliert: Die EU DSGVO betrifft alle, die personenbezogene Daten erheben, verarbeiten und speichern. Das sind also nicht nur Anbieter von Online Services, sondern auch Unternehmen, die das Internet nutzen beziehungsweise personenbezogene Daten erheben – das gilt auch offline. Tracking von Usern auf der Website und Online Marketing-Maßnahmen sind nur zwei von zahlreichen Beispielen, für die personenbezogene Daten eine Rolle spielen. Doch auch Vermieter, eine entsprechende Hausverwaltung und von ihnen beauftragte Dienstleister sind von der EU DSGVO betroffen: Schließlich verarbeiten sie die Daten ihrer Mieter. In diesem Sinne sind vor allem die Eigentümer beziehungsweise Vermieter in der Pflicht. Ähnliches gilt für Arbeitgeber und vermittelnde Instanzen.

Wie müssen die Unternehmen auf die EU DSGVO reagieren?

Zunächst einmal sind diejenigen klar im Vorteil, die bereits Sorgfalt bei der Einhaltung der Datenschutzansprüche haben walten lassen. Dennoch haben auch diese enormen Anpassungsbedarf, was die datenrelevanten Prozesse sowie Datenschutzerklärungen angeht. Einige essenzielle Grundsätze, die es beim Umgang mit personenbezogenen Daten umzusetzen gilt, sind:

  • Nur personenbezogene Daten verarbeiten, für die eine Erlaubnis vorliegt – per Gesetz oder expliziter Einwilligung.
  • Einwilligungen zur Datenerhebung bedürfen eines Opt-Ins, der Freiwilligkeit, der Zweckbindung, der Nachweisbarkeit und der Möglichkeit zum Widerruf.
  • Nur so viele Daten erheben und verarbeiten wie nötig.
  • Auf Servern innerhalb der EU speichern.
  • Nur für denjenigen Zweck verwenden, für den sie erhoben wurden.
  • Anonymisieren.
  • Inhaltlich und sachlich richtig sowie aktuell und sicher halten.
  • In gängiger, portabler Form etwa für den Wechsel zu einem anderen Anbieter bereitstellen.
  • Ohne Aufschub löschen (Recht auf Vergessenwerden / Löschung, Widerruf der Einwilligung oder erloschener Zweck).
  • Alle Datenschutzprinzipien beziehungsweise deren Einhaltung nachweisbar halten.

Die Einwilligung zuvor erhobener personenbezogene Daten, bei deren Erhebung den vorherigen Richtlinien und Standards entsprochen haben, sind weiterhin gültig. Doch auch für diese gilt die Dokumentationspflicht (Stichwort: double opt-in).

Wie sind die Unterschiede zwischen den unterschiedlichen Ländern?

Zwar bringt die EU DSGVO viele Maßnahmen zur Vereinheitlichung des Datenschutzes in den 28 Mitgliedsstaaten der EU. Dennoch sind manche Artikel mit sogenannten Öffnungs- beziehungsweise Spezifikationsklauseln ausgestattet. An dieser Stellen können die Staaten auf nationaler Ebene Anpassungen beziehungsweise Ergänzungen durch zusätzliche Gesetze vornehmen. Prinzipiell ist allerdings eine Spezifizierung durch die Staaten selbst per se nicht notwendig.

 

Anmerkung der Redaktion: Dieser Beitrag stellt weder eine rechtliche Beratung noch einen Ersatz derselben dar.

Kennen Sie schon die Leinwände von Inspiring Art?