Die neue europäische Datenschutz-Grundverordnung, kurz EU-DSGVO, ist in aller Munde und wird dabei heftig, sowohl in privaten als auch öffentlichen Umfeld, diskutiert.
Das liegt vor allem daran, dass die EU-Datenschutz-Grundverordnung ab dem 25.05.2018 in Kraft tritt.
Die EU-Datenschutz-Grundverordnung ist ein sehr umfangreiches Gesetz mit weitreichenden Konsequenzen für Betroffene und Unternehmen
Diese ersetzt die bisherige EU-Datenschutzrichtlinie, die auf nationaler Ebene von den Mitgliedsstaaten der EU nach eigenem Ermessen implementiert worden ist.
Was ist eine EU-Datenschutz-Grundverordnung?
Die EU-Datenschutz-Grundverordnung ging aus langjährigen Verhandlungen als Einigung der europäischen Mitgliedsstaaten hervor und wurde im Dezember 2015 beschlossen. Die Grundverordnung wurde geschaffen, um auf europäischer Ebene ein einheitliches Datenschutzrecht umzusetzen. Die EU-DSGVO wird zum Mai 2018 demnach zu einem geltenden Recht und ersetzt die bisherige nationale Gesetzgebung der Mitgliedsstaaten deren Basis die EU-Datenschutzrichtlinie darstellt.
Auf nationaler Ebene sind jedoch durch sogenannte Öffnungsklauseln nationale Regelungen möglich. Dadurch hat beispielsweise die deutsche Gesetzgebung noch die Möglichkeit partiell Regelungen in Deutschland zu schaffen. Die Regulierung auf nationaler Ebene wird jedoch sehr eingeschränkt sein.
Was bringt die EU-Datenschutz-Grundverordnung?
Die Umsetzung einer Datenschutzverordnung auf europäischer Ebene verfolgt das Ziel, die Grundrechte und -freiheiten von Personen besser zu schützen. Der Fokus liegt vor allem auf dem Schutz personenbezogener Daten und dessen freier Verkehr. Um die Schutzziele zu erreichen, wurden Grundsätze zur personenbezogenen Datenverarbeitung verankert.
- Rechtmäßigkeit, Treu und Glauben, Transparenz: Rechtmäßige Datenerhebung in nachvollziehbarer Verarbeitung
- Zweckbindung: Datenerhebung nur für festgelegten, eindeutigen und legitimen Zweck
- Datenminimierung: Zweckmäßige Beschränkung der personenbezogenen Datenerhebung (nicht zweckmäßig wäre bspw. die Speicherung medizinischer Daten bei Online-Banking)
- Richtigkeit: Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein
- Speicherbegrenzung: Speicherung identifizierender Personendaten nur solange der Zweck gegeben ist (z. B. Kreditkartendaten bei der Vertragsabwicklung im Onlineshop)
- Integrität und Vertraulichkeit: Gewährleistung einer angemessenen Sicherheit personenbezogener Daten sowie Schutz vor unbefugter, unrechtmäßiger Verarbeitung und Verlust
- Rechenschaftspflicht: Verantwortung zur nachweislichen Einhaltung der vorgenannten Grundsätze
Die EU-DSGVO weist gewisse Ähnlichkeiten zur EU-Datenschutzrichtlinie auf, erweitert diese jedoch erheblich in der praktischen Anwendung. In Teilen geht die EU-DSGVO weiter als das deutsche Datenschutzgesetz.
Wen betrifft die EU-Datenschutz-Grundverordnung?
Neben natürlichen Personen, deren Schutzrechte gestärkt werden, sind vor allem Unternehmen von der Datenschutz-Grundverordnung betroffen. Insbesondere bei der Umsetzung der Grundsatzanforderungen. Die Unternehmen müssen geeignete Systeme, Prozesse und Verantwortliche einsetzen, um den rechtlichen Verpflichtungen nachzukommen und den betroffenen Personen Auskunft erteilen zu können.
Hiervon ist auch der Arbeitnehmerdatenschutz betroffen, der in Deutschland seit Beginn der Ausarbeitung der EU-DSGVO nicht weiter angepasst wurde.
Welche Auswirkungen hat das Gesetz auf die Nutzer und Unternehmen?
Wer von einer personenbezogenen Datenverarbeitung betroffen ist, hat ein Informationsrecht gegenüber der erhebenden Stelle. Der oder die Betroffene besitzt das Recht auf Auskunft zu gespeicherten und zweckerhobenen Daten und kann der Erhebung und Verarbeitung widersprechen. Zudem kann er oder sie verlangen, dass seine oder ihre personenbezogenen Daten berichtigt, eingeschränkt oder gelöscht werden.
Unternehmen, die der Verordnung nicht nachkommen, drohen empfindliche Bußgelder von bis zu 20 Millionen Euro oder aber in einer Höhe von bis zu 4 Prozent der weltweit erzielten Jahresumsätze. Die Bemessungskriterien sind in einem Katalog des Artikels 83 DSGVO enthalten. Die Sanktionierung erfolgt auf nationaler Ebene (z. B. in Deutschland).
Die EU-Datenschutz-Grundverordnung ist ein sehr umfangreiches Gesetz mit weitreichenden Konsequenzen für Betroffene und Unternehmen. Weitere interessante Informationen findet man in unserem Lexikonartikel zur EU-DSGVO im Datenbank Lexikon.