Teaser Infomaterial

Das neue europäische Datenschutzrecht

von Rechtsanwältin Dr. Cordula Meckenstock

Warum ein neues Recht für den Datenschutz?

Der Datenschutz war in der EU bislang nur durch eine Richtlinie aus dem Jahr 1995 geregelt, deren Transformation in nationales Recht der Mitgliedsländer zu sehr unterschiedlichen Regelungen führte. Die im Binnenmarkt tätigen Datenverarbeiter brauchten nur das an ihrem Sitz geltende Gesetz einzuhalten und siedelten sich gern im Land mit dem geringsten Datenschutz an. Viele Datenskandale auch mit internationalen Anbietern zeigten die Notwendigkeit, die EU-Bürger stärker vor Daten-Missbrauch zu schützen.

Muss ich mich auf das neue Recht einstellen?

Wenn Sie ein Unternehmen, eine Behörde oder soziale Einrichtungen sind, die personenbezogene Daten erhebt und über deren Verarbeitung entscheidet („Verantwortlicher“) oder solche Daten für den Verantwortlichen verarbeitet („Auftragsverarbeiter“): Ja.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Also auch „harmlose“ Merkmale wie Name oder Adresse. Sie müssen sich schon mit dem neuen Recht befassen, wenn Sie Mitarbeiter haben oder Daten Ihrer Kunden sammeln.

Was gilt jetzt genau?

Die neue europäische Datenschutz-Grundverordnung (DSGVO) ist in allen EU-Ländern unmittelbar geltendes Recht, ersetzt also nationales Datenschutzrecht. Durch verschiedene Öffnungsklauseln können die einzelnen Mitgliedstaaten bestimmte Aspekte des Datenschutzes auch national regeln. Dies ist in Deutschland durch die Neufassung des Bundesdatenschutzgesetzes (BDSG 2018) erfolgt. Neben dem europäischen ist also auch das jeweils nationale Datenschutzrecht zu beachten. Der Schwerpunkt der Regelungen ist aber in der DSGVO zu finden.

Was hat sich geändert?

Viele bekannte Grundsätze des Datenschutzrechts gelten weiter. So ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nach wie vor grundsätzlich verboten, es sei denn, es gibt eine gesetzliche Erlaubnis oder eine Einwilligung der betroffenen Person. Neu sind insbesondere folgende Regelungen:

Marktortprinzip
Auch internationale Unternehmen wie „Google“ oder „Facebook“ müssen das europäische Datenschutzrecht beachten, wenn sie ihre Waren oder Dienstleistungen im europäischen Markt anbieten.
 
Informationspflichten
Die bisher in Deutschland geltenden Pflichten, die betroffenen Personen über die Erfassung und Verarbeitung ihrer Daten zu informieren, werden durch die DSGVO erheblich erweitert.
 
Recht auf Datenübertragbarkeit (Datenportabilität)
Die Nutzer haben das Recht, ihre Daten zu einem anderen Anbieter "mitzunehmen". Sie können von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem „gängigen Format“ an einen anderen Verantwortlichen weiterzugeben.
 
Recht auf Vergessenwerden
Es gibt einen Anspruch darauf, dass personenbezogene Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt.
 
Rechenschaftspflicht
Datenverantwortliche müssen die Einhaltung aller Datenschutzprinzipien nachweisen können.

Was muss ich tun?

Die neuen Regelungen sind so umfangreich und komplex, dass es mit wenig Aufwand nicht getan ist. Vom neuen Datenschutzrecht betroffene Stellen müssen die Vorgaben Stück für Stück abarbeiten, wobei es im Internet zahlreiche Anleitungen und Erläuterungen für diese Prozedur gibt. Wer als Datenverarbeiter auf Nummer sicher gehen will, sollte sich fachkundig beraten lassen.
Die wichtigsten Pflichten eines Datenverantwortlichen sind:
 
Technikgestaltung und Voreinstellungen
Durch technische und organisatorische Maßnahmen und Verfahren (z.B. Pseudonymisierung) sind die Persönlichkeitsrechte der Betroffenen zu schützen. Datenschutzrechtliche Voreinstellungen sollen sicherstellen, dass nur die für den jeweiligen Verarbeitungszweck erforderlichen Daten verarbeitet werden.
 
Verantwortliche und Auftragsverarbeiter müssen in einem solchen Verzeichnis u.a. die Zwecke der Verarbeitung, die Datenkategorien, die Kategorien betroffener Personen sowie, wenn möglich, die vorgesehenen Löschungsfristen erfassen und die technischen und organisatorischen Datensicherheitsmaßnahmen beschreiben.
 
Sie muss bei Verarbeitungsvorgängen durchgeführt werden, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.
 
Die Pflicht, beim Vorliegen bestimmter Voraussetzungen einen Datenschutzbeauftragten zu bestellen, ist für Deutschland nicht neu.

Was passiert, wenn ich nichts mache?

Wer das neue Recht ignoriert, kann es mit verschiedenen Akteuren zu tun bekommen:
 
Aufsichtsbehörden
Derzeit sind die Datenschutzbehörden der Länder mit vielen neuen Aufgaben eher überfordert, es bleibt abzuwarten, ob sie personell eine adäquate personelle Ausstattung bekommen. Allerdings haben sie künftig stark erweiterte Sanktionsmöglichkeiten: Erlangt eine Aufsichtsbehörde durch eine Beschwerde oder eine anlasslose Kontrolle Kenntnis von einem Datenschutz-Verstoß, kann sie den Verantwortlichen verwarnen oder Anordnungen und Verarbeitungsverbote aussprechen. Außerdem kann sie Geldbußen von bis zu 20 Millionen € oder 4 Prozent des weltweiten Jahresumsatzes verhängen – das zielt vor allem auf die großen Sünder beim Datenmissbrauch.
 
Betroffene
Neben einer Beschwerde bei der zuständigen Aufsichtsbehörde können betroffene Personen ihre gesetzlichen Rechte gegenüber den Datenverantwortlichen direkt einklagen und ggf. Schadensersatz – auch für immaterielle Schäden – fordern.
 
Verbraucherschutz- oder Wettbewerbsverband
Für die bisher im Telemediengesetz geregelten Vorgaben für Datenschutzerklärungen bei Auftritten im Internet gilt nun die DSGVO. Bei fehlenden oder unzureichenden Erklärungen drohen Abmahnungen von Verbänden oder einzelnen Wettbewerbern.
 
Staatsanwalt
Das unbefugte Verarbeiten nicht allgemein zugänglicher Daten ist unter bestimmten Umständen sogar strafbar.

Noch etwas?

Ja. Bei allem Unmut über die zusätzlichen Belastungen durch das neue Datenschutzrecht sollte man nicht vergessen, dass es um einen wichtigen Teil der Menschenwürde geht: Die informationelle Selbstbestimmung.
 
Eine aktuelle Information zum Stand der DSGVO-Anpassungen von Electric Paper Evaluationssysteme sowie das aktualisierte Datenschutzhandbuch finden Sie in einem passenden Artikel in der Community-Plattform:
 

Zurück