DSGVO - Was verändert die Verordnung im Detail?

04.04.2018

Die neue Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft

Die EU stärkt Verbraucherrechte im Netz mit der Datenschutz-Grundverordnung (DSGVO). Diese kontrolliert die Sammlung personalisierter Daten im Internet. Was die Verordnung für Unternehmen, Marketing und Websites bedeutet, erklären wir in einer Blog-Reihe.

Die DSGVO ist vom 25. Mai an EU-weit gültig und fasst die Regeln zum Speichern und Verarbeiten personenbezogener Daten wie IP- und Postadressen oder Geburtstage durch Unternehmen und öffentliche Stellen zusammen. Mit der Verordnung reagiert die EU auf die zunehmende Bedeutung des Rohstoffs Daten. Die Erhebungs- und Speichermöglichkeiten sind durch neue Technologien vielfältiger geworden, der Datenhunger wächst, Stichwort Big Data. Schließlich soll die Zielgruppe so präzise wie möglich angesprochen werden.

Die DSGVO soll den Datenschutz daher stärken, gleichzeitig aber weiterhin einen freien Datenverkehr in der EU gewährleisten. Schon länger gibt es einheitliche Datenschutz-Regeln in der EU – die Richtlinie 95/46/EG aus dem Jahre 1995. Sie wird von der DSGVO abgelöst. Das neue Regelwerk ist weniger totaler Umbruch als vielmehr Weiterentwicklung schon gültiger Datenschutz-Standards. Erst recht in Deutschland, das mit dem Bundesdatenschutzgesetz (BDSG) zusätzlich zur EU-Richtlinie einen strengeren Rahmen setzt als andere Staaten.

Drastisch gestiegen sind dagegen die Strafen im Fall von Verstößen. Hier setzt die EU auf Abschreckung und verdeutlicht, dass das neue Gesetzeswerk kein zahnloser Tiger sein wird. Der jüngste Skandal rund um die Weitergabe (oder den Klau) von 50 Millionen Facebook-Kundendaten an Cambridge Analytica ist Wasser auf die Mühlen der Datenschützer.

Was ändert die DSGVO konkret?

Einige neue Regeln gehen auch über das BDSG hinaus. Die wichtigsten Neuerungen:

  • Wohnort statt Unternehmenssitz: Wer EU-Bürgern seine Dienste anbieten will, muss sich an die DSGVO halten – egal, ob er seinen Sitz in den USA, Europa oder Asien hat. Vorher war das maßgebend, jetzt ist es der Wohnort der Verbraucher. EU-Justizkommissarin Vera Jourová: „Wenn ein Unternehmen in Europa Geschäfte machen will, dann muss es diese Regeln und die Gesetze der EU achten.“

  • Das Recht auf Datenübertragbarkeit: ein Novum. Durch die DSGVO darf ein Kunde seine Daten von einem Unternehmen zum anderen übertragen, ohne wieder neu Auskunft geben und seine Daten an zwei Stellen hinterlassen zu müssen. Das erleichtert zum Beispiel den Wechsel zu einer anderen Bank, einem Energieversorger oder Telekommunikationsanbieter.

  • Die Strafen: Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes (des gesamten Konzerns, nicht einzelner juristischer Personen oder Einheiten!) – je nachdem, welcher Wert der höhere ist. Das höchste Bußgeld nach BDSG liegt dagegen gerade einmal bei 300.000 Euro.

  • Die Dokumentation: Unternehmen müssen die Einwilligungen der Kunden zur Datenerhebung aktiv einholen – das ist nichts Neues, sondern auch im BDSG schon vorgesehen. Neu sind die verschärften Dokumentationspflichten. Unternehmen ab 250 Mitarbeitern müssen künftig ein Verzeichnis aller Datenverarbeitungsvorgänge führen. Unter bestimmten Voraussetzungen kann diese Pflicht auch für kleinere Unternehmen gelten. Welcher Art sind die personenbezogenen Daten? Zu welchem Zweck werden sie verarbeitet? Auf welche Weise wurden sie gesammelt und für wie lange gespeichert? All diese Fragen sollten beantwortet werden. Ein Musterverzeichnis bietet hier Hilfe.

Welchen Grundsätzen ist die DSGVO verpflichtet?

Die EU hat mit der Verordnung einige Grundlagen für die Verarbeitung von personenbezogenen Daten festgehalten. Sie sind das Gerüst, an dem sich Unternehmen bei der Interpretation der Regelungen des DSGVO festhalten können. Als da wären:

  • Rechtmäßigkeit der Verarbeitung: Die Verarbeitung von personenbezogenen Daten ist insbesondere rechtmäßig, wenn eine Rechtsgrundlage dafür vorliegt – in erster Linie die Einwilligung der betroffenen Person.

  • Verarbeitung nach Treu und Glauben: Ist schwerer zu fassen und dreht sich um die Frage, ob ein Verhalten als redlich angesehen werden kann. Dieser Grundsatz kann erst im Laufe der Zeit anhand von konkreten Fallbeispielen mit Leben gefüllt werden.

  • Transparenz: Ein wichtiger Punkt für den Kunden. Er muss sein Recht auf informelle Selbstbestimmung wahrnehmen können und erhält ein Auskunftsrecht. Auch er Datenschutz durch Technik wird durch diese Grundlage gestärkt. Verbraucher sollen einen raschen Überblick über das Datenschutzniveau von Produkten und Dienstleistungen erhalten können.

  • Zweckbindung: Ebenfalls ein Grundsatz von überragender Bedeutung für den Kunden. Er besagt, dass ein Unternehmen personenbezogene Daten nur zu dem Zweck bearbeiten darf, zu dem es sie erhoben hat. Wenn ein Kunde seine Daten beispielsweise für die Abrechnung einer Dienstleistung hinterlassen hat, dürfen sie ohne seine ausdrückliche Zustimmung nicht auch für Werbung und Marketing verwendet werden.

  • Datenminimierung: Die eingeholten Daten sollten auf das notwendige Maß beschränkt werden. Im Bundesdatenschutzgesetz bereits festgehalten, nennt sich dort allerdings Datensparsamkeit.

  • Richtigkeit der Datenverarbeitung: Eigentlich eine Selbstverständlichkeit, die auch im Interesse des Unternehmens ist. Personenbezogene Daten sollten korrekt und auf dem neuesten Stand sein. Falsche Daten müssen künftig unverzüglich gelöscht oder berichtigt werden.

  • Speicherbegrenzung: Sobald die Speicherung der Daten für den Verarbeitungszweck nicht mehr erforderlich ist, müssen sie gelöscht oder die Identifizierung der betroffenen Person aufgehoben werden. Ausnahmen gibt es nur für im öffentlichen Interesse liegende Zwecke, beispielsweise Forschung und statistische Erhebungen.

  • Integrität und Vertraulichkeit: Firmen oder Behörden müssen die Sicherheit der personenbezogenen Daten gewährleisten. Sie müssen vor unrechtmäßiger Verarbeitung genauso geschützt werden wie vor Verlust, Zerstörung oder Schädigung.

Bild: Matthew Henry via Unsplash

Schreib uns:

Du bist gerade als eingeloggt. Logout

Um kommentieren zu können, bitte mit einem der folgenden Social Media-Profile einloggen (siehe Icons unten!) oder E-Mail Adresse (wird nicht veröffentlicht, versprochen) und Name (den brauchen wir) angeben.









Mehr aus dem Blog