Unsere heute gültige Europäische Datenschutzgrundverordnung (englisch General Data Protection Regulation, GDPR) basiert auf der 1995 in Kraft getretenen E-Datenschutzrichtlinie. Die DS-GVO trat am 25. Mai 2018 in Kraft und hat die seit 1995 stattgefundenen technischen Entwicklungen, wie zum Beispiel Big Data, Profiling, Cloud Computing, Webtracking, etc. berücksichtigt. Das hat zur Rechtssicherheit der Privatsphäre stark beigetragen. Das bedeutete aber auch, dass viele Unternehmen bis zum 25. Mai 2018 ihre Geschäftsgebarung an die neue Rechtssituation der EU-Datenschutz-Grundverordnung anpassen mussten.
Was war der Grund für diese Anpassung?
Zum einen hat es seit 1995 zahlreiche technische Veränderungen gegeben, die sich ganz oder teilweise bis 2018 in einem rechtlichen Graubereich befanden. Zum anderen musste natürlich auch der europäische Binnenmarkt angepasst werden. Somit wurden sowohl verbraucher- als auch Wirtschaftsinteressen geschützt. Innovative Geschäftsideen bringen mehr Umsatz und Wettbewerb, müssen aber auch dementsprechend gut abgesichert werden.
Wie erfolgt die Umsetzung in Deutschland?
Die deutsche Bundesregierung beobachtet die Umsetzung der DS-GVO sehr genau. Damit möchte sie sicherstellen, dass alles getan wird, damit die Umstellung für die Unternehmen erleichtert wird. Probleme und Chancen sollen erkannt werden. Das Bundesministerium für Wirtschaft und Energie (BMWi) tauscht sich dazu regelmäßig mit dem federführenden Bundesministerium für Inneres (BMI) sowie Verbänden aus. Datenschutzbehörden und Kammern geben darüber hinaus Auskunft und beraten. Dazu ist aber auch eine regelmäßige Evaluierung notwendig, schließlich soll das moderne Gesetz auch immer auf dem letzten Stand sein. Diese findet alle vier Jahre statt. Im Mai 2020 fand die erste dieser Art statt. Der Bericht darüber wurde dem Europäischen Rat sowie dem Europaparlament vorgelegt und danach veröffentlicht. Sieht die EU-Kommission Änderungsbedarf, werden diesbezügliche Vorschläge unterbreitet. Darüber hinaus findet in regelmäßigen Abständen Austauschgespräche zwischen der EU-Kommission sowie den Mitgliedstaaten statt.
Woraus setzt sich die DS-GVO zusammen?
Dazu gehören ein europaweiter Datenschutz auf einheitlichem Niveau, die Pseudonymisierung von Daten, die rechtlichen Grundlagen für die Datenverarbeitung, die Privilegierung von Datenverarbeitungen zu Forschungszwecken, die Ermöglichung der besseren Transparenz und Kontrolle durch die Betroffenen sowie die Umsetzung der DS-GVO in den Betrieben. Durch die einheitlichen Vorgaben des Datenschutzes kommt es deswegen zu keinen Zugangsbarrieren zum Markt oder Verzerrungen des Wettbewerbs. Die DS-GVO erlaubt durch die Pseudonymisierung die Weiterverarbeitung von großen Datenmengen zu einem anderen als dem ursprünglichen Zweck. Das ist für Big-Data-Analysen entscheidend. Die Informationspflichten der DS-GVO sind jedoch in jedem Fall zu erfüllen, auch wenn ein berechtigtes Interesse an den Daten einzelner besteht.
Die große Neuerung seit 2018 betrifft vor allem den Forschungsbereich. Die DS-GVO ermöglicht einen Broad Consent im Bereich der wissenschaftlichen Forschung. Einwilligungen können somit für Daten eingeholt werden, die zu einem anderen ursprünglichen Zweck gesammelt wurden. Es muss jedoch eindeutig für den Betroffenen klar erkennbar sein, wozu diese Daten verwendet werden.
Darüber hinaus wurden auch das „Recht auf Vergessenwerden“ und die Datenportabilität näher definiert und genau geregelt. Die Privatsphäre sieht vor, dass Daten nach einiger Zeit und zahlreiche auch auf Wunsch gelöscht werden müssen. Die DS-GVO beschränkt das „Marktortprinzip“. Das bedeutet, dass die DS-GVO auch auf alle jene Anbieter von Online-Plattformen anwendbar ist, die nicht in der Europäischen Union ansässig sind und Waren bzw. Dienstleistungen in der EU anbieten.
Die Transparenzpflicht ist enorm wichtig. Nur so können die Betroffenen erfahren, was mit ihren Daten und Hintergrundinformationen geschieht. Datenschutzsiegel sowie Zertifizierungen sorgen für mehr Transparenz.
Für KMUs stellt die Umsetzung meistens eine größere Herausforderung dar. Deshalb hat das BMWi eine eigene Checkliste für Unternehmen herausgegeben.
Gibt es Unterschiede in Bezug auf die Anwendung der DS-GVO?
Im Prinzip wird zwischen kleinen und größeren Betrieben unterschieden. Natürlich kommt es auf die jeweilige Situation an, die näher unter die Lupe genommen werden soll. Darüber hinaus sind die jeweiligen Daten sowie deren Verarbeitung und die beteiligten Personen oder Unternehmen sowie deren Standort von erheblichem Belang.
Welche Rechte beinhaltet die DS-GVO genau?
Zunächst besteht das Informationsrecht. Jeder Betroffene soll wissen, wer seine Daten wie wann wo und warum nutzt. Darüber hinaus hat jeder Betroffene das Recht, seine Einwilligung zur Verwendung seiner Daten zu verweigern. Es muss daher die Zustimmung zur Einsicht, Verwendung und Weiterverarbeitung der Daten bestehen. Es besteht das Recht, jederzeit über die Daten Auskunft zu verlangen. Die Daten müssen auf Wunsch berichtigt werden. Der Betroffene kann seine Zustimmung zur Nutzung jederzeit widerrufen. Es besteht das Recht zur Datensparsamkeit. Das bedeutet, dass die Daten, wenn sie nicht mehr genutzt werden, gelöscht werden müssen. Nur die personenbezogenen Daten dürfen nach Zustimmung verwendet werden.
Hinweis: Privacy by design: Die DS-GVO sieht ausdrücklich vor, dass das System schon von vornherein so ausgelegt ist, dass nur wenige personenbezogene Daten genutzt werden können.
Bei wem liegt die Verantwortung?
Letztendlich liegt die Verantwortung immer beim Betreiber oder dem Unternehmen selbst. Um den Datenschutz zu gewährleisten, muss das Unternehmen über ein entsprechendes Datenschutzmanagement verfügen. Dieses muss imstande sein, die jeweilige Datenmenge- und -größe in der gewünschten Qualität verarbeiten zu können. Interne Kontrollen sind unabdingbar. Von den externen Kontrolleuren kann bei einer Übertretung des Datenschutzes bis zu 20 Millionen Euro oder 4 % vom Umsatz als Bußgeld verhängt werden.