Die EU-DS-GVO und ihre Auswirkungen
Michael Wycisk, 30.04.2018
EinleitungSeit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung.
Sinn und Zweck ist die Vereinheitlichung des Datenschutzrechtes in Europa. Die Verordnung gilt für alle Unternehmen und deren Niederlassungen in der Europäischen Union, welche personenbezogene Daten verarbeiten. Des Weiteren gilt sie auch für Unternehmen mit Sitz außerhalb der EU, wenn die Verarbeitung der personenbezogenen Daten im Zuge von einem Angebot (Ware oder Dienstleistung) oder der Beobachtung von natürlichen Personen in der Union (z.B. im Internet) erfolgt ist.
Grundsätzlich stellt sich die Frage, welche Anforderungen Unternehmen erfüllen müssen, damit eine Verarbeitung von personenbezogen Daten im Einklang mit der EU-DS-GVO erfolgt. Welche Pflichten sind mit der Verordnung verbunden und was droht, wenn diese nicht eingehalten werden?
Aufsichtsbehörden
Eine zentrale Rolle nimmt hierbei die Aufsichtsbehörde ein. Sie soll die korrekte Anwendung der EU-DS-GVO überwachen und durchsetzen. Die Anfragen und Beschwerden von Betroffenen werden bearbeitet, Unternehmen bezüglich Ihrer Datenschutzplichten sensibilisiert und Untersuchungen über die korrekte Anwendung der EU-DS-GVO durchgeführt.
Die Aufsichtsbehörde hat weitreichende Befugnisse und ist dazu ermächtigt, Verantwortliche zu verwarnen und diese anzuweisen, die Rechte der Betroffenen sicherzustellen.
Sollten die aus der EU-DS-GVO resultierenden Anforderungen und Pflichten nicht erfüllt sein, so drohen betroffenen Unternehmen Geldbußen in Höhe von bis zu 20.000.000 undefined oder Zahlungen bis zu 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
Datenschutzgrundsätze
Die Verordnung stützt sich im Kern auf die Datenschutzgrundsätze, welche für die Verarbeitung von personenbezogenen Daten gelten.
Demnach müssen die Daten auf rechtmäßige Weise, nach Treu und Glauben und für die betroffene Person nachvollziehbar verarbeitet werden. Sie dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Die Menge der Daten beschränkt sich auf das, für die Zwecke der Verarbeitung, nötige Maß. Zudem dürfen die personenbezogenen Daten nur solange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Ferner müssen die Daten sachlich richtig und auf dem aktuellen Stand sein.
Eine wesentliche Rolle bei den Datenschutzgrundsätzen spielt auch die Sicherheit und der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Der Schutz und die Sicherheit sollen über geeignete technische und organisatorische Maßnahmen gewährleistet werden. Der Verantwortliche muss die hier ausgeführten Grundsätze und deren Einhaltung innerhalb des jeweiligen Unternehmens gegenüber der Aufsichtsbehörde nachweisen.
Rechtmäßigkeit
Die Verarbeitung personenbezogener Daten ist im Sinne der EU-DS-GVO rechtmäßig mit Einwilligung der betroffenen Person. Als rechtmäßige gilt ebenso die Verarbeitung bei Erfüllung eines Vertrages, zur Erfüllung einer rechtlichen Verpflichtung (öffentliches Interesse) und zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten.
Rechte von betroffenen Personen
Betroffenen stehen bezüglich der Verarbeitung personenbezogener Daten die folgenden Rechte zu:
- Recht auf Auskunft
- Recht auf Berichtigung
- Recht auf Löschung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Recht auf Widerspruch
- Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein
- Recht auf Widerruf einer Einwilligung
Der Verantwortliche muss unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen ergreifen, um sicherstellen zu können, dass die Verarbeitung gemäß der EU-DS-GVO erfolgt.
Die technischen und organisatorischen Maßnahmen sollen allerdings in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten stehen. Dies beinhaltet die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen. Ein dem Risiko angemessenes Schutzniveau, soll unter Berücksichtigung der Implementierungskosten und dem Stand der Technik gewährleistet sein.
Folgende Maßnahmen zählen hierzu:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, im Zusammenhang mit der Verarbeitung personenbezogener Daten, auf Dauer sicherzustellen
- Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall widerherzustellen
- Ein Verfahren zur Gewährleistung der Sicherheit der Verarbeitung mit regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit von getroffenen technischen und organisatorischen Maßnahmen.