DSGVO – Wir alle sind betroffen

Die DSGVO betrifft uns alle;  so auch den RS Verlag mit allen seinen Plattformen. Sie macht z.B. auch technische Umbauarbeiten auf blogistic.net notwendig. Daher kann es immer wieder zu kurzzeitigen Ausfällen von Teilbereichen unseres Informationsangebotes kommen.

(Foto: Tim Reckmann /www.pixelio.de)
Die DSVGO betrifft uns alle. (Foto: Tim Reckmann /www.pixelio.de)

Die DSGVO, oder Umgangssprachlich „Datenschutzverordnung“, betrifft natürlich auch den RS Verlag und seine medialen Angebote. Wir sind bemüht, diesem EU-Recht, das mit dem 25. Mai in Kraft tritt, Genüge zu leisten. Lesen Sie auch unsere Hinweise im Bereich “Impressum / DSVGO” auf unserer Website.

Was ist die DSGVO?

Hier eine gute Zusammenfassung, die auf WIKIPEDIA zu finden ist. Wir zitieren hier WIKIPEDIA auszugsweise:

<<Die Datenschutz-Grundverordnung (DSGVO), englisch General Data Protection Regulation (GDPR), ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Unmittelbare Geltung; nationale Sonderregelungen

Im Gegensatz zur Richtlinie 95/46/EG, die von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste, gilt die Datenschutz-Grundverordnung unmittelbar in allen EU-Mitgliedstaaten ab dem 25. Mai 2018. Die Mitgliedstaaten bringen jedoch durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang (Art. 88 der Verordnung). Für diese und andere Rechtsvorschriften ist die Datenschutz-Grundverordnung bereits seit ihrem Inkrafttreten am 24. Mai 2016 maßgeblich. Den Mitgliedstaaten ist es sonst grundsätzlich nicht erlaubt, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken. Allerdings enthält die Verordnung verschiedene Öffnungsklauseln, die es den einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln. Daher wird die Datenschutz-Grundverordnung auch als „Hybrid“ zwischen Richtlinie und Verordnung bezeichnet.

Bereiche der Neuregelung

Viele Bereiche des Datenschutzes werden durch die DSGVO nicht neu geregelt. Insbesondere bleibt der Begriff der „personenbezogenen Daten“ im Artikel 4 weiterhin weit gefasst:

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;…

Weiterhin gilt ebenfalls, dass die Verarbeitung personenbezogener Daten nur aufgrund eines Erlaubnistatbestands zulässig ist. Diese sind im Artikel 6 aufgeführt:

  • Die betroffene Person hat ihre Einwilligung gegeben;
  • Die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich;
  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
  • Die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen;
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt;
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.

Im letzten Fall ist eine Interessensabwägung gegenüber den Interessen der betroffenen Person erforderlich.

Zusammenfassend gilt: „Die DSGVO ändert die Konzeption und weitgehend auch die Detailregelungen des geltenden Datenschutzrechts nicht grundlegend. Vielmehr werden vielfach Bestimmungen der EG-Datenschutzrichtlinie 95/46 übernommen, die die Grundlage des BDSG bilden. Andererseits gibt es aber auch zahlreiche neue datenschutzrechtliche Vorgaben, deren Erfüllung allein schon hinsichtlich des immens erhöhten Bußgeldrahmens korrekter Beachtung bedarf.“

(Foto: Rainer Sturm / www.pixelio.de)
Der Austausch personenbezogener Daten in der EU darf nicht (mehr) mit dem Argument abgelehnt werden, dass der Datenschutz innerhalb der EU verschieden gehandhabt wird. (Foto: Rainer Sturm / www.pixelio.de)

Grundsätze der Verarbeitung

Zu folgenden Themenbereichen liefert die DSGVO Neuregelungen oder grundsätzliche Präzisierungen:

Die DSGVO führt im Artikel 5 explizit folgende sechs Grundsätze für die Verarbeitung personenbezogener Daten auf:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
  • Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
  • Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)
  • Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
  • Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)

 Ungehemmter Datenaustausch

Der Austausch personenbezogener Daten in der EU darf nicht (mehr) mit dem Argument abgelehnt werden, dass der Datenschutz innerhalb der EU verschieden gehandhabt wird. Artikel 1, Absatz (3) formuliert:„Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“

Geltungsbereich

Die DSGVO unterscheidet (im Gegensatz etwa zum deutschen BDSG) nicht zwischen der Verarbeitung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen – für alle Verarbeiter gilt dasselbe Recht. Trotzdem fallen bestimmte Arten der Verarbeitung personenbezogener Daten laut Artikel 2 nicht unter die Verordnung. Die Erwägungsgründe (16) und (18) erläutern dies näher:

„(16) Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten.“

„(18) Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten. Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.“

 Marktortprinzip

Das europäische Datenschutzrecht gilt auch für außereuropäische Unternehmen, soweit diese ihre Waren oder Dienstleistungen im europäischen Markt anbieten.

 Anforderungen an eine Einwilligung

Prinzipiell sind die Anforderungen an eine wirksame Einwilligung: Die Schriftform ist nicht mehr die Regel, auch eine stillschweigende Einwilligungserklärung ist nach Erwägungsgrund (32) zulässig, wenn sie eindeutig ist. Da aber andererseits dies vom Verarbeiter nachzuweisen ist, wird die Schriftform doch gängig bleiben. Für besondere personenbezogene Daten ist sie weiterhin vorgeschrieben.

 Begrenzung der verarbeiteten Daten

Die etwa im deutschen BDSG festgeschriebene allgemeine Datensparsamkeit wird durch den Grundsatz der (zweckbezogenen) Datenminimierung ersetzt. Die DSGVO beschränkt damit nicht die Big-Data-Massenverarbeitung.

 Transparenz

Der Erwägungsgrund (39) hebt den Grundsatz der Transparenz jeglicher Datenverarbeitung für die betroffenen Personen hervor. Mehrere Artikel verlangen entsprechende Maßnahmen:

Nach Artikel 15 hat jede Person das Recht auf Auskunft über alle sie betreffenden Daten.

Die Informationen darüber sind laut Artikel 12 in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu liefern.

Nach Artikel 13 und 14 muss jeder betroffenen Person bei einer Datenerhebung umfangreich Auskunft u. a. über Zweck, Empfänger und Verantwortliche der Datenverarbeitung, Dauer der Datenspeicherung, Rechte zur Berichtigung, Sperren und Löschen und Verwendung der Daten für Profiling-Zwecke gegeben werden. Wenn sich der Zweck ändert, ist die betroffene Person aktiv zu informieren.

Nach Artikel 16 hat die betroffene Person ein Recht auf Berichtigung falscher Daten sowie laut Artikel 18 ein Recht auf Einschränkung („Sperrung“) der Datenverarbeitung, wenn Richtigkeit oder Grundlage der Datenverarbeitung bestritten werden.

Die Effektivität all dieser Rechte hängt allerdings an der unausgesprochenen Voraussetzung, dass betroffene Personen selbst verpflichtet sind, sich aktiv darum zu kümmern, von wem und wie ihre Daten verarbeitet werden, und ihre Rechte einzufordern. Dies wird von Kritikern als nicht realistisch angesehen.

Darüber hinaus soll die DSGVO laut Erwägungsgrund (13) auch Transparenz und Rechtssicherheit für die verarbeitenden Unternehmen bewirken, „einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen“.

Recht auf Vergessenwerden

Das Recht auf Vergessenwerden, das in der Überschrift des Artikel 17 ausdrücklich so genannt wird, ist eines der zentralen Rechte der DSGVO. Es umfasst einerseits, dass eine betroffene Person das Recht hat, das Löschen aller sie betreffenden Daten zu fordern, wenn die Gründe für die Datenspeicherung entfallen. Darüber hinaus muss aber auch der Verarbeiter selbst aktiv die Daten löschen, wenn es keinen Grund mehr für eine Speicherung und Verarbeitung gibt.

 Recht auf Datenübertragbarkeit]

Als eine eher marktsteuernde Regelung verlangt Artikel 20, dass eine betroffene Person das Recht hat, sie betreffende Daten in einem „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“, auch und insbesondere für den Zweck, sie anderen „ohne Behinderung durch den Verantwortlichen“ zu übermitteln.

 Sanktionen

Für die effektive Durchsetzung des Datenschutzrechts sind nun weitaus höhere Bußgelder als bisher möglich. Zudem können die Datenschutzaufsichtsbehörden künftig durchsetzbare Anordnungen und Bußgelder nicht nur gegen private Datenverarbeiter, sondern auch gegenüber Behörden erlassen, wenn das im nationalen Recht vorgesehen ist.

Die Höhe der Bußgelder für Ordnungswidrigkeiten ist nun in bestimmten Fällen nach Artikel 83 Absatz (5) auf bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes festgelegt (im Vergleich dazu sah das deutsche BDSG bisher ein maximales Bußgeld von 300.000 Euro vor).

Die Mitgliedsstaaten können darüber hinaus weitere Sanktionsmöglichkeiten vorsehen. Zum Beispiel kann laut Erwägungsgrund 149 vorgesehen werden, Gewinne aufgrund des Verstoßes gegen die DSGVO einzuziehen.

 Privacy by Design, Privacy by Default

Im Erwägungsgrund (78) werden die Begriffe „data protection by design“ und „data protection by default“ eingeführt, üblicherweise als „Privacy by Design“ und „Privacy by Default“ bezeichnet. Diese Grundsätze bedeuten, dass die Technik („design“) der Datenverarbeitung von vorneherein darauf entworfen und ausgerichtet ist und die Voreinstellungen („defaults“) so ausgewählt sind, dass den Grundsätzen des Datenschutzes Genüge getan wird. Ein solches dokumentiertes Vorgehen kann dabei helfen, die Einhaltung der DSGVO nachzuweisen.

Verpflichtung zur Bestellung betrieblicher und behördlicher Datenschutzbeauftragter

Die DSGVO sieht nun europaweit die Bestellung von Datenschutzbeauftragten vor, zumindest bei allen öffentlichen Stellen und solchen privaten Unternehmen, bei denen besonders risikoreiche Datenverarbeitungen erfolgen. Damit wird ein Mindeststandard für die Einrichtung dieser Stellen erreicht. Kleinunternehmer und kleine Unternehmen müssen keinen Datenschutzbeauftragten stellen, es sei denn, einer der nachfolgenden Punkte trifft zu.

  • Es sind regelmäßig mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 Satz 1 BDSG(neu)).
  • Verantwortlicher ist eine öffentliche Stelle oder Behörde (Art. 37 Abs. 1 lit. a DSGVO).
  • Die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen (Art. 37 Abs. 1 lit. c DSGVO).
  • Es ist eine Datenschutz-Folgenabschätzung durchzuführen (§ 38 Abs. 1 Satz 2 BDSG(neu)).
  • Die Kerntätigkeit ist die umfangreiche oder systematische Überwachung von betroffenen Personen (Art. 37 Abs. 1 lit. c DSGVO).

Der Begriff der „umfangreichen Verarbeitung“ und die Voraussetzungen für eine Datenschutz-Folgenabschätzung werden im Erwägungsgrund 91 etwas genauer beschrieben, damit bestimmte freie Berufe wie Rechtsanwälte und Ärzte, aber etwa auch Apotheker (als „Angehörige eines Gesundheitsberufes“) in der Regel keinen Datenschutzbeauftragten stellen müssen.

Öffnungsklauseln

Die DSGVO sieht vor, dass durch nationales Recht an vielen Stellen eine Erweiterung oder detaillierte Festlegung des Datenschutzrechtes erfolgt. Dies erfolgt über so genannte „Öffnungsklauseln“, von denen die DSGVO – je nach Zählweise – 50 bis 60 enthält. Einige verlangen eine Rechtshandlung der Mitgliedsstaaten, die Mehrzahl erlaubt jedoch die Ausnutzung von Spielräumen durch nationale Vorschriften. Der Handlungsspielraum ist grundsätzlich insofern begrenzt, als dass die Harmonisierung des Datenschutzes durch die DSGVO nicht unterlaufen werden darf.

Ein Beispiel für eine Öffnungsklausel findet sich etwa im Datenschutz von Beschäftigten: Artikel 88 Abs. 1 sieht eine Öffnungsklausel vor, nach der die Mitgliedsstaaten „spezifischere Vorschriften zur Gewährleistung der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ vorsehen können. Diese Formulierung lässt allerdings weder eine Verschärfung noch Lockerung, sondern nur eine konkrete Ausgestaltung der allgemeinen Vorschrift zu.>>

Weitere Infos auf Wikipedia zur DSVGO finden Sie hier: wikipedia.org/wiki/Datenschutz-Grundverordnung