Die Allgemeine Datenschutzverordnung wird auch als GDPR, EU-DSGVO oder EU Datenschutz-Grundverordnung bezeichnet und gilt offiziell seit dem 25. Mai 2018. Es handelt sich um eine Verordnung der Europäischen Union (EU), mit der die Regeln zur Verarbeitung personenbezogener privater oder öffentlicher Daten durch die meisten Datenverarbeiter EU-weit vereinheitlicht und festgelegt werden. Dies schützt EU-Bürger:innen und gewährleistet den freien Datenverkehr innerhalb des europäischen Binnenmarktes. Zusammen mit der JI-Richtlinie für Polizei- und Justiz-Datenschutz bildet die DSGVO den gemeinsamen Datenschutzrahmen der EU. Wichtige Themen sind unter anderem Privatsphäre, Datenschutz, Verschlüsselung, Datenschutzbeauftragte, Transparenz, Bußgelder und Strafen, personenbezogene Daten, Einwilligungen und Verzeichnisse.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Diese müssen direkt oder indirekt mittels Zuordnung zu einer Kennung mit Merkmalen identifiziert werden können. Merkmale sind z. B. Name, Kennnummer, Standortdaten, Adresse, E-Mail-Adresse, Telefonnummer, Geburtstag, Kontodaten, Kfz-Kennzeichen, IP-Adressen und Cookies.
Für wen gilt die DSGVO?
Die Verordnung ist bindend für Shops, Händler:innen, Webseitenbetreiber:innen, Institutionen und Unternehmen, die im Internet aktiv und in der EU ansässig sind, sobald sie mit Daten von EU-Bürger:innen arbeiten. Die Regelung gilt auch für außereuropäische Unternehmen mit EU-Sitz und international, sobald personenbezogene Daten von EU-Bürger:innen erhoben und verarbeitet werden. Dabei kann es sich um Nutzer-Tracking, Kundendaten, Newsletter, Werbemails, Facebook-Werbung oder die eigene Datenschutzerklärung handeln.
Den EU-Mitgliedstaaten ist es grundsätzlich nicht erlaubt, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken. Allerdings enthält die Verordnung verschiedene Öffnungsklauseln, die es den einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte des Datenschutzes im nationalen Alleingang zu regeln.
Ziel der DSGVO
Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und unterschiedliche Standards galten. Unternehmer:innen haben also in Zukunft die Sicherheit, dass innerhalb der EU überwiegend einheitliches Datenschutzrecht gilt. Außerdem soll die Verordnung datenschutzfreundlicher für die betroffenen Nutzer:innen werden, sodass die Bürger:innen die Hoheit über ihre Daten bestmöglich zurückerhalten. Mithilfe deutlich höherer Bußgelder soll sichergestellt werden, dass sich auch Cloud-Dienste oder soziale Netzwerke aus anderen Ländern an die Regelungen halten müssen.
Gliederung und Themen der DSGVO
Die DSGVO gibt es auf Deutsch und Englisch und sie umfasst folgende elf Kapitel:
Allgemeine Bestimmungen, Grundsätze, Rechte der betroffenen Person, Verantwortliche und Auftragsverarbeiter:innen, Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen, unabhängige Aufsichtsbehörden, Zusammenarbeit und Kohärenz, Rechtsbehelfe, Haftung und Sanktionen, Vorschriften für besondere Verarbeitungssituationen, Delegierte Rechtsakte und Durchführungsrechtsakte sowie Schlussbestimmungen.
Die 7 allgemeinen Grundsätze zur Verarbeitung personenbezogener Daten nach EU-DSGVO (GDPR)
- Treue und Glauben, Rechtmäßigkeit, Transparenz: Bei der Datenerhebung muss die Identität der erhebenden Person offengelegt werden und der Grad der Datenverarbeitung festgelegt werden. Bei der Datenerhebung muss komplett transparent agiert werden, da Dateneigner:innen jederzeit das Recht auf die Offenlegung ihrer Daten haben.
- Zweckbindung: Der Zweck der Datenverarbeitung muss vorher eindeutig und rechtmäßig festgelegt werden. Bei einer Datenweitergabe muss der:die Inhaber:in explizit zustimmen oder die Datenerheber:innen einen Rechtfertigungsgrund abgeben.
- Datenminimierung: Es dürfen nur zweckmäßig relevante und angemessene Daten erhoben werden.
- Richtigkeit: Die Daten müssen vor Verwendung korrekt und vollständig sein, ansonsten müssen sie korrigiert oder gelöscht werden.
- Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es der Zweck verlangt, da bei Zielerreichung der Datenerhebung die Daten unmittelbar gelöscht werden müssen.
- Integrität und Vertraulichkeit: Die Daten müssen vertraulich behandelt und vor unrechtmäßiger Verarbeitung geschützt werden.
- Rechenschaftspflicht: Datenerhebende müssen nachweisen können, dass alle Vorschriften zur Datenerhebung vollständig eingehalten wurden.
Einwilligung zur Datenverarbeitung
Die Einwilligung zur Datenverarbeitung gilt mit weiteren Grundsätzen und Sonderregelungen zur Verarbeitung personenbezogener Daten und als zentrales Element der neuen EU-DSGVO (GDPR), bei der das Verbotsprinzip gilt. Wenn keine Erlaubnis oder Einwilligung der Datenbesitzer:innen vorliegt, dürfen keine Daten gespeichert oder verarbeitet werden. Wenn sich nicht an die Verordnung gehalten wird, müssen Unternehmen und Privatpersonen mit hohen Strafen rechnen. Es kann dabei zu Strafzahlungen bis zu 4 % des weltweiten Vorjahresumsatzes und maximal 20 Mio. Euro kommen. In jedem EU-Mitgliedsstaat gibt es entsprechende Behörden, die für Aufklärung, Sensibilisierung, Überwachung sowie Durchsetzung der Richtlinien sorgen.
Aktuelle Datenschutz-Änderungen
Zahlreiche Datenschutz-Änderungen hat die Bundesregierung im Jahr 2019 beschlossen. Während viele Unternehmer:innen auf weniger Bürokratie hoffen, warnen Expert:innen aber schon vor den Konsequenzen. Es werden weitere Hürden auf Unternehmen und Privatpersonen zukommen, die Websites betreiben. Ein wichtiges Thema für Unternehmer:innen ist außerdem die geplante Änderung rund um das Thema Datenschutzbeauftragte in der Firma. Künftig soll die verpflichtende Schwelle für die Anschaffung von Datenschutzbeauftragten von zehn auf 20 Mitarbeiter:innen erhöht werden. Als Datenschutzbeauftragte gilt nur, wer sich ständig mit einer automatisierten Verarbeitung personenbezogener Daten auseinandersetzt. Insgesamt sind von der geplanten Änderung 80 Prozent aller deutschen Unternehmen betroffen.
Allerdings gibt es noch weitere negative Änderungen, die aus der DSGVO resultieren. Auch wenn der Datenschutzbeauftragte geht, bleibt die Haftung vollständig erhalten und viele Unternehmer:innen sowie Angestellte sind überfordert oder unwissend, weshalb die Anzahl der Verstöße rasant ansteigt. Außerdem zeigen sich Wettbewerber:innen bereits gegenseitig an, wodurch die Anzahl und Höhe der Bußgelder steigt. Insbesondere kleinere Unternehmen bekommen dann aufgrund fehlender fachlicher Kompetenzen schnell finanzielle Probleme, da sich vorübergehend teures externes Wissen eingekauft werden muss, um teure Strafzahlungen zu umgehen. Aktuell sind noch mehr als 150 weitere Datenschutz-Änderungen geplant.