Manches klar - und vieles unklar in Europa: Die DSGVO

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) in ausnahmslos allen EU-Staaten in Kraft. Sie ersetzt bestehende nationale Rechtsvorschriften, die bis zum genannten Termin verbindlich geändert oder angepasst werden müssen. In Deutschland sind viele Regelungen bereits Bestandteil des neugefassten Bundesdatenschutz-Gesetzes (BDSG), so dass sich die Änderungen hier in einem überschaubaren Rahmen halten.

Das Ziel der DSGVO gleicht einem Spagat: Einerseits sollen persönliche Daten besser geschützt sein, andererseits soll der freie Datenverkehr innerhalb des EU-Wirtschaftsraums flüssiger laufen. Im zuständigen LIBE-Ausschuss des EU-Parlaments tobten jahrelange Lobbyisten-Schlachten um die Vereinbarkeit des ‚Rechts auf informationelle Selbstbestimmung‘ mit dem Wunsch nach einem ‚harmonisierten Wettbewerb‘ im digitalen Raum. 
 
Im Detail:
Die verbindliche Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten (DSB) für Unternehmen mit mehr als neun Angestellten bleibt im Wesentlichen gleich. Ein solcher Verantwortungsträger ist immer dann erforderlich, wenn das Unternehmen ‚massenhaft, regelmäßig und systematisch‘ über eine Gruppe von Betroffenen Daten erhebt, oder dann, wenn das Kerngeschäft die ‚massenhafte Verarbeitung‘ sensibler Daten erfordert.

Die Übermittlung von Daten in Drittstaaten wurde restriktiver gefasst. Sie ist nur noch möglich, wenn ausländische Unternehmen ‚Binding Corporate Rules‘ rechtsverbindlich unterzeichnen, oder sogar einen ‚Code of Conduct‘ unterzeichnen. Dass hiergegen Konzerne wie Google, Amazon oder Facebook Sturm liefen, kann man sich vorstellen. Für inländische Unternehmen bedeutet diese Regel im Wesentlichen, dass sie ihre Kunden auf eine solche Übermittlung aufmerksam machen müssen, mit dem Mittel einer Datenschutzerklärung. Das Instrument eines ‚Privacy Shield‘ schafft dabei erhöhte Rechtssicherheit. Mit ihm verpflichten sich bspw. US-amerikanische Unternehmen, die geltenden EU-Regeln auch anzuwenden.

Dem Schutz von Kindern widmet die DSGVO viel Aufmerksamkeit. Die Beweispflicht für die Einwilligung von Eltern oder Erziehungsberechtigten obliegt hier dem anbietenden Unternehmen. Wie das Alter in der digitalen Praxis zutreffend und verbindlich festgestellt werden kann, bleibt noch eine weitgehend ungelöste Frage.
Mit dem Recht auf Verbandsklage betritt Deutschland ziemliches Neuland. Die Befugnis gilt jetzt auch, wenn Daten für Markt- und Meinungsforschung, für Profilbildung, für Adresshandel, Werbung etc. erhoben werden. Im Namen eines einzigen Betroffenen können ganze Verbände gegen einen mangelnden Datenschutz oder die unbefugte Weitergabe von Daten klagen.

Die Weiterverarbeitung von Daten wurde enger gefasst. Sie ist nur zulässig, wenn sie „mit dem ursprünglichen Zweck vereinbar“ ist. Die Weitergabe z. B. an den Adresshandel oder an Werbefirmen ist damit in vielen Fällen untersagt. Vor rechtlichen Folgen schützt man sich am besten durch die ‚Pseudonymisierung‘ von personenbezogenen Datensätzen, die dann meist nur noch statistischen Zwecken dienen können.

Die gesonderte Einwilligung teilt die Datenverarbeitung in Einzelschritte auf, in welche der Kunde bei jedem Schritt freischalten muss. Die Annahme eines ‚stillschweigen Einverständnisses‘ gilt nicht mehr.

Bei der Auskunftspflicht müssen die gesammelten Daten den Betroffenen auf Anfrage in einem ‚gängigen Format‘ jederzeit zur Verfügung gestellt werden. Diese Pflicht umfasst bspw. Auskünfte zur Rechtsgrundlage und zur Dauer der Speicherung. Bei dieser sogenannten ‚Portabilitätsverpflichtung‘ mangelt es jedoch noch an einem gültigen ‚Standard‘.

Auch die Haftungsregeln wurden verschärft. Nicht nur der für die Verarbeitung Verantwortliche im Unternehmen haftet bei Verletzungen der Dokumentationspflicht oder bei Datenpannen, sondern unter Umständen der Auftragsverarbeiter als ‚Gesamtschuldner‘.

Dies sind nur einige der neuen Regelungen, die mit dem DSGVO am 25. Mai 2018 in Kraft treten werden. Einen guten Überblick gibt diese Broschüre der Bitkom …

Λ