Neue Regelungen innerhalb der EU

Bereits am 24. Mai 2016 trat die Datenschutz-Grundverordnung (DSGVO) in Kraft. Nach einer zweijährigen Übergangsphase wird diese nun ab dem 25. Mai diesen Jahres angewendet und ersetzt damit die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr aus dem Jahr 1995, welche vor allem von nationalen Gesetzen geprägt ist. In Deutschland war hierfür bisher das Bundesdatenschutzgesetz (BDSG) verantwortlich.

Das Hauptaugenmerk der DSGVO liegt im Schutz personenbezogener Daten innerhalb der Europäischen Union sowie im freien Datenverkehr innerhalb des Europäischen Binnenmarktes. Eine wichtige Voraussetzung dafür war die Angleichung der europäischen Datenschutzgesetze.

Angelehnt an das alte Bundesdatenschutzgesetz

Innerhalb Deutschlands müssen viele Bereiche nicht neu geregelt werden. So werden unter personenbezogenen Daten beispielsweise weiterhin „alle Informationen [verstanden], die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen“. Solche Daten dürfen erst nach einer entsprechenden Erlaubnis verarbeitet werden. Zudem sind zahlreiche Richtlinien in Form von Grundsätzen an die Verarbeitung geknüpft, beispielsweise die Zweckbindung (nur „für festgelegte, eindeutige und legitime Zwecke“) und Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“). Zusammen mit den weiteren Grundsätzen zur Rechtmäßigkeit, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit in Artikel 5 des DSGVO sollen somit die Rechte der Bürgerinnen und Bürger gewahrt bleiben.

Stärkung der Verbraucherrechte

Diese haben nun auch mehr Möglichkeiten als vorher, um eine Auskunft über verarbeitete Daten zu erhalten und sich im Falle einer Missachtung der Gesetze zu wehren. Dabei sind vor allem die Sanktionen mit zum Teil erheblichen Bußgeldern relevant. Wo das alte BDSG bisher nur bis zu 300.000 Euro Bußgeld vorgesehen hat, beträgt dieses in der DSGVO bis zu 20 Millionen Euro bzw. bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Diese abschreckenden Maßnahmen sollen Unternehmen und Konzerne effektiv zur Einhaltung der Gesetze zwingen. Die Möglichkeit der Berichtigung bzw. Löschung von gesammelten Daten ermöglicht außerdem mehr Kontrolle über diese.

Verpflichtungen für Unternehmen

Neben der Zusprechung von mehr Rechten für die Bürger sind vor allem neue Verpflichtungen für Unternehmen dazugekommen. Diese müssen bei der Datenverarbeitung technische sowie organisatorische Maßnahmen ergreifen, um den Datenschutz und die IT-Sicherheit zu gewährleisten. Dies beinhaltet zum Beispiel, dass die verwendete Technik von sich aus den datenschutzrechtlichen Anforderungen genügt (data protection by design) und außerdem datenschutzfreundliche Voreinstellungen getroffen werden (data protection by default). In bestimmten Fällen muss zudem ein Datenschutzbeauftragter bestimmt werden und erreichbar sein. Durch die Dokumentation aller datenschutzrelevanten Abläufe liefert ein Unternehmen den betroffenen Personen volle Transparenz in der Verarbeitung personenbezogener Daten.

Es stehen also große Änderungen bevor und Unternehmen, welche mit entsprechenden Daten arbeiten, müssen sich teilweise mit großem Aufwand den neuen Gesetzen anpassen. Dies stärkt jedoch im besonderen Maße die Rechte der Betroffenen, und das innerhalb der gesamten EU. [ma]