Ist Ihr Unternehmen bereit und für die Vielzahl der Anforderungen und Änderungen gut aufgestellt? Was bedeuten die Begriffe wie Marktortprinzip, Privacy by Design, personenbezogene Daten, Erlaubnisvorbehalt, Recht auf Vergessenwerden, Kindeseinwilligung, 20 Millionen Euro Sanktion? Auf die großen Fragen, die mit der Europäischen Datenschutzverordnung (EU DSGVO) aufkommen, beschäftigt sich diese dreiteilige Beitragsserie: Die neuen Bestandteile, Besonderheiten und einige Begriffe wollen wir hier kurz erläutern. Der erste Teil gibt zunächst einen konkreten Überblick über die EU DSGVO und die Daten, die dadurch betroffen sind, Zweckbestimmung sowie der Geltungsbereich.
Die Europäische Datenschutzgrundverordnung (EU DSGVO) gilt in sechs Monaten
Nach einer Übergangsfrist von zwei Jahren gilt die EU DSGVO zum 25. Mai 2018. Die EU DSGVO hat in allen europäischen Ländern Gültigkeit und darüber hinaus.
Damit hat die europäische Kommission eine einheitliche Rechtsgrundlage für Europa in der Verordnung mit 99 Artikeln und 173 Erwägungsgründen geschaffen, die die nationalen Vorschriften verdrängt und die direkt anwendbar ist.
EU DSGVO Geltung Marktortprinzip
Die Rechtsgültigkeit betrifft alle 27 EU-Staaten nach dem Niederlassungsprinzip sowie alle Services, die hier angeboten werden. Damit spielt es keine Rolle mehr, ob die Server in Luxemburg, Irland oder Silicon Valley stehen; maßgeblich ist derjenige Ort, von oder für den die Waren (Services) angeboten werden; daher gilt das Marktortprinzip: Die Anbieter müssen sich an die EU DSGVO halten und entsprechend der DSGVO ausgestattet sein.
Jedes personenbezogene Datum, das in Europa auf Websites, sozialen Medien oder Suchmaschinen verarbeitet wird, sowie alle personenbezogene Daten, die in allen weiteren IT-Anwendungen und Services in der EU verarbeitet oder für den europäischen Markt bereitstellt, sind an die EU DSGVO gebunden.
Personenbezogene Daten
Nach dem Grundsatz des Datenschutzes war und ist die Verarbeitung personenbezogener Daten verboten. Es handelt sich im Detail um ein Verbot mit Erlaubnisvorbehalt. Bloß, was ist das: personenbezogene Daten? Was ist mit Erlaubnisvorbehalt genau gemeint?
In Artikel 4 Nr. 1 heißt es dazu: Personenbezogene Daten, die sich „… auf eine identifizierte oder identifizierbare natürliche Person beziehen…“ – sprich Daten, die den Rückschluss auf eine bestimmte natürliche Person zulassen würden – sind personenbezogenen Daten. Der Erlaubnisvorbehalt wiederum ist an die Zweckbestimmung gebunden.
Zweckbestimmung
Zu jeder Verarbeitung von personenbezogenen Daten ist eine Zweckbestimmung anzugeben; also die Begründung, wofür dieses Datum verwendet wird und warum dies – trotz des Gebots der Datensparsamkeit – für die Verarbeitung zwingend erforderlich ist. Dieses Datum darf dann auch nur mit dieser Zweckbestimmung verwendet werden.
In Artikel 5 „Grundsätze für die Verarbeitung personenbezogener Daten“ sind in nachvollziehbarer Weise diese Grundsätze aufgeführt:
- Rechtmäßigkeit
- Verarbeitung nach Treu und Glauben
- Transparenz.
Die Grundsätze der Verarbeitung gelten für Daten, auf die folgende Kriterien zutreffen:
- festgelegte, eindeutige und legitime Zwecke, dem ursprünglichen Zweck („Zweckbindung“)
- auf das notwendige Maß beschränkt („Datenminimierung“)
- sachlich richtige Daten enthalten – unrichtige Daten sind unverzüglich zu löschen oder berichtigen („Richtigkeit“)
- nur so lange in Verwendung, wie es für die Zwecke erforderlich ist („Speicherbegrenzung“).
Die Datenschutz-Voreinstellung – auch Privacy by Design genannt – einer jeden Applikation, Website oder eines Services ist derart zu gestalten, dass das höchste Schutzniveau eingehalten wird: Es findet also keine Verwendung von personenbezogenen Daten statt. Der Benutzer kann dann jeder einzelnen Verarbeitung seiner personenbezogenen Daten mit einer definierten Zweckbestimmung proaktiv zustimmen oder diese ablehnen.
Auch nach einer Zustimmung zur Verarbeitung der Daten muss die spätere Ablehnung (Opt-out) genauso einfach möglich sein wie die zuvor erteilte Einwilligung.
EU DSGVO Daten in der konkreten Verwendung
In manchem EU DSGVO-Artikel gibt es Spezifizierungsklauseln (die sogenannte Öffnungsklausel), die dem nationalen Gesetzgeber erlauben, bestimmte Teile des Artikels zu definieren. Das heißt, dass nationale Gesetzgeber dies für das Land spezifisch auslegen können. Insofern sind die Neuregelungen vor allen Dingen auf den ersten Blick sehr streng – alles Weitere ist Ländersache.
Doch welche Öffnungsklauseln gibt es, die hier von Bedeutung sind? Dieser und anderer Fragen widmet sich der nächste Beitrag dieser Reihe: EU DSGVO (2): Was eine Einwilligung nun bedeutet.
(Coverbild: © Christian Kettling)