Die Datenschutz-Grundverordnung (DSGVO) regelt seit dem 25. Mai 2018 die rechtlichen Vorgaben zur Verarbeitung personenbezogener Daten in der EU. Das Ziel ist die Gewährleistung des freien Verkehrs personenbezogener Daten unter der Wahrung des Schutzes betroffener Personen. Die DSGVO schützt somit die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz ihrer personenbezogenen Daten.
Grundsätze der DSGVO
Um das Ziel eines freien Datenverkehrs unter Wahrung des Schutzes natürlicher Personen zu erreichen, führt die DSGVO in Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten auf:
- Rechtmäßigkeit: personenbezogene Daten dürfen nur verarbeiten, wenn eine Rechtsgrundlage dafür vorliegt.
- Treu und Glauben: die Verarbeitung personenbezogene Daten muss fair vonstattengehen.
- Transparenz: betroffene Personen müssen bei jeder Datenerhebung über Art und Umfang der Verarbeitung umfassend unterrichtet werden
- Zweckbindung: Daten dürfen grds. nur für die Zwecke verarbeitet werden, für die sie ursprünglich erhoben wurden.
- Datenminimierung: Es dürfen nicht mehr Daten erfasst und verarbeitet werden, als für den vorgesehenen Zweck notwendig sind, eine Vorratsdatenspeicherung ist unzulässig.
- Richtigkeit der Daten: Fehlerhafte oder unvollständige Daten müssen korrigiert werden, sonst dürfen sie nicht verarbeitet werden.
- Speicherbegrenzung: Daten müssen gelöscht werden, nachdem ihr Zweck erfüllt wurde.
- Integrität und Vertraulichkeit: personenbezogene Daten müssen von allen beteiligten Akteuren vertraulich behandelt und angemessen geschützt werden.
- Rechenschaftspflicht: Verantwortliche für Datenerhebung und -verarbeitung müssen in der Lage sein, die Einhaltung der DSGVO nachweisen zu können.
Besonderheiten der DSGVO
In einigen Fällen sieht die DSGVO besondere Anforderungen für den Umgang mit personenbezogenen Daten vor. Diese gelten ergänzend zu den Grundsätzen des Datenschutzes.
Für bestimmte sensible Daten (sog. besondere Kategorien personenbezogener Daten) gilt ein Verarbeitungsverbot. Hierzu zählen u.a. Daten zur ethnischen Herkunft, Gesundheit, Religion, politischen Ansichten oder auch Sexualität. Diese dürfen nur erhoben oder verarbeitet werden, wenn eine Ausnahme gemäß Artikel 9 der DSGVO vorliegt.
Pflichten für Unternehmen
Neben den Grundsätzen der DSGVO bestehen noch weitere datenschutzrechtliche Pflichten für Unternehmen, die sowohl von Verantwortlichen als auch teilweise von Auftragsdatenverarbeitern befolgt werden müssen:
- Technischer Datenschutz
- Melde- und Benachrichtigungspflicht bei Datenschutzvorfällen
- Pflicht zur Datenschutz-Folgeabschätzung
- Informationspflicht gegenüber Betroffenen
- Beantworten von Betroffenenanfragen
- Abschluss von Auftragsverarbeitungsverträgen (AV-Verträgen)
- Erstellung eines Löschkonzeptes
- Sicherstellung eines angemessenen Datenschutzniveaus bei Datenübermittlung in Drittländer
Bei einem Nicht-Nachkommen dieser Pflichten drohen Unternehmen Sanktionen und Bußgelder. Die Unterstützung eines fachkundigen externen Datenschutzbeauftragten bei der ordnungsgemäßen Umsetzung der Datenschutzvorgaben ist in den meisten Fällen unerlässlich.
Umsetzung durch Unternehmen
In Bezug auf Datenschutz steht für Unternehmen an oberster Stelle die Pflicht zur Herstellung von Datensicherheit. Um den Anforderungen der DSGVO gerecht zu werden, empfiehlt es sich für Unternehmen, nach folgenden Schritten vorzugehen:
- Bestimmung von internen „Verantwortlichen“ (z.B. Abteilungsleiter) für die DSGVO und Zur-Verfügung-Stellen von ausreichenden Ressourcen
- Prüfung der Notwendigkeit eines Datenschutzbeauftragten und ggf. Benennung eines Datenschutzbeauftragten
- Erstellung interner Strategien zur Einhaltung der DSGVO (z.B. Löschkonzept, Umgang mit Datenschutzvorfällen, Beantwortung von Betroffenenanfragen etc.)
- Mitarbeiterschulungen zum Datenschutz
- Erstellung und Pflege von Verarbeitungsverzeichnissen
- Schließung von Datenschutzverträgen (z.B. Joint-Controller-Agreement, Art. 26 DSGVO)
- Durchführung von Datenschutz-Folgenabschätzungen
- Treffen sonstiger spezifischer Maßnahmen gemäß Artikel 32 der DSGVO
Einwilligung in die Datenverarbeitung
Allgemein ist die Verarbeitung personenbezogener Daten verboten. Erst wenn das Gesetz dies ausdrücklich erlaubt oder betroffene Personen ihre Einwilligung geben, darf eine Datenverarbeitung stattfinden. Bei letzterem spricht man vom Grundrecht der informationellen Selbstbestimmung. Hierdurch kann jede natürliche Person selbst entscheiden, wer welche personenbezogenen Daten erhält.
Um eine freiwillige Einwilligung in die Datenverarbeitung sicherzustellen, müssen bestimmte Voraussetzungen erfüllen sein. Die wichtigsten Bedingungen für rechtsgültige Einwilligungen sind nach DSGVO:
- Der Betroffene darf nicht in seiner Entscheidungskraft eingeschränkt werden, sondern muss sich frei entscheiden können.
- Der Betroffene muss vor seiner Einwilligung über den vorgesehenen Zweck der Erhebung und Verarbeitung seiner personenbezogenen Daten werden. Dabei muss der Zweck konkret dargelegt werden und für den Betroffenen leicht zu erkennen sein.
- Der Betroffene muss in der Lage sein, die Einwilligung als solche identifizieren zu können.
- Der Betroffene muss seine Einwilligung jederzeit widerrufen können.
- Der Verantwortliche muss die Einwilligung des Betroffenen nachweisen können.
- Die Einwilligung kann ausdrücklich erteilt oder konkludent und damit auch durch eine eindeutige Handlung zustande kommen (z.B. ein Häkchen setzen oder eine Schaltfläche anklicken)
Betroffenenrechte laut DSGVO
Die DSGVO sichert betroffenen Personen umfassende Rechte zu. Als zentrales Betroffenenrecht gibt das Auskunftsrecht den Personen die Möglichkeit, von weiteren Rechten Gebrauch zu machen. Daneben stehen ihnen unter den jeweiligen gesetzlichen Voraussetzungen folgende Betroffenenrechte zu:
- Recht auf Berichtigung der Daten
- Recht auf Löschung der Daten
- Recht auf Einschränkung der Datenverarbeitung
- Recht auf Widerspruch
- Recht auf Datenübertragbarkeit
Wenn Betroffene der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten nicht DSGVO-konform vonstatten geht, haben sie außerdem das Recht, bei den zuständigen Aufsichtsbehörden Beschwerde einzulegen. Gemäß DSGVO haben betroffene Personen bei einem Verstoß Anspruch auf Schadensersatz. Eine der häufigsten Beschwerden ist die Nicht-Einhaltung der Frist zur Beantwortung von Betroffenenanfragen.
Durch Art. 12 DSGVO sind Unternehmen dazu verpflichtet, Betroffenen bei Anfragen unverzüglich, oder innerhalb eines Zeitraums von maximal einem Monat, entsprechende Informationen zur Verfügung zu stellen. Hierbei spielt der Datenschutzbeauftragte eine zentrale Rolle; er prüft und koordiniert die Betroffenenanfragen und überwacht die Erfüllung der geltend gemachten Rechte.
Sanktionen (Bußgelder und Strafen)
Die DSGVO umfasst einen Bußgeldkatalog, in dem die Strafen bei Missachtung der Vorgaben festgelegt sind. Das hohe Ausmaß der Strafen soll Unternehmen nachhaltig von Verstößen abhalten werden und sie dafür sensibilisieren, dass eine Missachtung der DSGVO auch eine Verletzung der EU-Grundrechte darstellt.
Bei schwerwiegenden Verstößen, wie gegen die Grundsätze der Datenverarbeitung, drohen Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens.
Bei fehlenden oder mangelhaften Verträgen oder Dokumentationen fallen geringere Strafen an. Solche Verstöße werden mit Geldbußen von bis zu 10 Millionen Euro geahndet. Unternehmen müssen unter Umständen mit einer Summe von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes dafür aufkommen
Daneben kann eine Missachtung der Dokumentationspflicht im Fall einer Schadensersatzklage durch betroffene Personen schwerwiegende Folgen haben. Können Verantwortliche nicht nachweisen, dass sie den Datenschutzvorfall nicht zu verschulden haben, müssen sie für materiellen oder immateriellen Schaden aufkommen. Darüber hinaus verstoßen sie in diesem Falle gegen die Rechenschaftspflicht aus den Grundsätzen der DSGVO.
Fazit
Der Datenschutz innerhalb der Europäischen Union wird durch die DSGVO weitgehend einheitlich geregelt. Hierzu legt sie umfangreiche Pflichten für Unternehmen und Rechte für betroffene Personen fest. Im Fokus steht der Schutz personenbezogener Daten. Verstöße gegen die DSGVO können mit hohen Bußgeldern geahndet werden. Ein externer Datenschutzbeauftragter hilft den Unternehmen, dass sich dieses Bußgeldrisiko nicht verwirklicht.