Was ist die Datenschutzgrundverordung (DSGVO/GDPR)?

Die Datenschutzgrundverordnung der Europäischen Union (DSGVO) ist eine Datenschutzverordnung, die 2018 in Kraft getreten ist. Die englische Übersetzung lautet „General Data Protection Regulation“ (GDPR), beides meint jedoch das gleiche. Die DSGVO schafft eine Reihe von Leitlinien und Befugnissen zum Schutz der personenbezogenen Daten aller EU-Bürger. Die DSGVO gilt für alle Unternehmen (nicht nur für die in der EU ansässigen), die Daten von EU-Bürgern und allen Personen innerhalb der Freihandelszone des Europäischen Wirtschaftsraums (EWR) verwalten.

Die DGSVO wird manchmal als DSGVO-Gesetz bezeichnet, aber streng genommen handelt es sich nicht um ein Gesetz, sondern um eine Verordnung. Mit einer Verordnung kann die EU-Kommission Regelungen erlassen, die für alle EU-Bürger sofort gültig sind, egal, ob die EU-Mitgliedsstaaten eigene Gesetze zur Umsetzung erlassen haben. Damit ist eine Verordnung einem Gesetz zwar sehr ähnlich, aber dennoch nicht das Gleiche.

Die DSGVO legt drei Hauptklassen von Datenparteien fest: betroffene Personen, für die Verarbeitung Verantwortliche und Auftragsverarbeiter (Artikel 28A).

Eine „betroffene Person“ ist eine Person, deren Daten erhoben werden. Ein „für die Verarbeitung Verantwortlicher“ ist ein Unternehmen, das die Bedingungen, den Zweck und die Mittel der Datenverarbeitung bestimmt. Und ein „Auftragsverarbeiter“ ist ein Unternehmen, das personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Nach der DSGVO können für die Verarbeitung Verantwortliche und Auftragsverarbeiter überall auf der Welt ansässig sein – auch in den Vereinigten Staaten. Das ist eine große Veränderung gegenüber älteren EU-Vorschriften.

Auch die Geldstrafen bei Nichteinhaltung der DSGVO haben sich geändert und sind viel höher als bei den alten Regeln. Beispielsweise kann die Datenschutzaufsichtsbehörde Geldbußen und Strafen von bis zu 4 % des Jahresumsatzes oder 20 Millionen Euro verhängen, je nachdem, welcher Betrag höher ist.

Der primäre Antrieb für die DSGVO ist das Ziel der EU, einen digitalen Binnenmarkt aufzubauen. Die folgenden Prinzipien bestimmen dabei die Anforderungen der DSGVO:

Transparenz

Alle betroffenen Personen haben das Recht, über die Verarbeitung personenbezogener Daten und deren Zweck informiert zu werden. Und sie müssen ihre ausdrückliche Zustimmung geben (Artikel 7, 10, 11 und 12). Die DSGVO stellt für die meisten Unternehmen eine gewaltige Veränderung dar. Sie müssen ihre Einstellungen zur Datenverarbeitung von Opt-out zu Opt-in ändern.

Verhältnismäßigkeit

Die DSGVO legt fest, dass der Umfang der Verarbeitung personenbezogener Daten im Verhältnis zum Zweck der Erhebung stehen muss. Sie müssen also so wenige Daten wie möglich sammeln und dürfen die Daten nicht länger aufbewahren, als es für die Bedienung des Kunden notwendig ist.

Zudem müssen Sie die Daten korrekt und stets auf dem neuesten Stand halten und ihre Vertraulichkeit und Integrität schützen.

Legitimer Zweck

Die DSGVO definiert spezifische Bedingungen, unter denen die Verarbeitung personenbezogener Daten erlaubt ist (Artikel 6). Sie dürfen Personendaten bearbeiten, wenn dies notwendig ist, um:

• das Produkt oder die Dienstleistung zur Verfügung zu stellen, die die betroffene Person angefordert hat.
• einer rechtlichen Verpflichtung nachzukommen.
• die wesentlichen Interessen der betroffenen Person oder einer anderen Person zu schützen.
• eine Aufgabe im öffentlichen Interesse oder im Rahmen einer Ihnen übertragenen öffentlichen Autorität wahrzunehmen.
• andere legitime Interessen zu verfolgen – es sei denn, diese stehen im Widerspruch zu den Interessen oder den grundlegenden Rechten und Freiheiten der betroffenen Person, insbesondere von Kindern.

Kernstück der DSGVO sind strengere Anforderungen an die Privatsphäre und Durchsetzungsbefugnisse, einschließlich:

• Das Recht, gelöscht zu werden (zuerst das „Recht, vergessen zu werden“ genannt). Wenn Sie keine triftigen Gründe für die Aufbewahrung der Daten haben und die betroffene Person einige oder alle ihre Daten gelöscht haben möchten, müssen Sie dies tun (Artikel 17). Die Einhaltung dieser Regel kann für Anbieter von Cloud- und E-Mail-Diensten schwierig sein, da sie die Daten oft auf verschiedene Verfügbarkeitszonen, Backups und Archive aufteilen.
• Personenbezogene Daten sind mehr als nur Daten, die zur Identifizierung einer „natürlichen Person“ verwendet werden. Nach der DSGVO umfassen sie auch Metadaten. Dazu gehören IP-Adressen, SIM-Karten-IDs, Mobilfunknummern, biometrische Daten und sogar gespeicherte Website-Cookies. Und die DSGVO ist rückwirkend. Sie gilt auch für Daten, die gesammelt wurden, bevor die DSGVO in Kraft trat.
• Datenübertragbarkeit (Artikel 20). Menschen haben das Recht, ihre Daten von einem Dienst zu einem anderen zu verschieben – und diese Daten intakt, geschützt und privat zu halten.
• Auf Anfrage müssen die für die Datenverarbeitung Verantwortlichen die betroffenen Personen informieren, wenn ihre Daten Gegenstand einer Verarbeitung sind (Artikel 15).
• Bessere Governance für geschützte Daten. Dazu gehören Einwilligungsbedingungen, Aufzeichnungen über die Verarbeitung und strengere Einzelheiten zur Meldung von Verstößen (Artikel 7, 30, 33-34).
• Jeder, der personenbezogene Daten von EU-Bürgern verarbeitet oder speichert, benötigt möglicherweise einen Datenschutzbeauftragten (Artikel 35-37). Die DSGVO legt die Rolle des Datenschutzbeauftragten und seine Besonderheiten ausdrücklich fest. Darüber hinaus müssen für die Verarbeitung Verantwortliche und Auftragsverarbeiter, die außerhalb der EU ansässig sind, einen Vertreter in einem EU-Mitgliedstaat einsetzen, in dem die betroffenen Personen ansässig sind.
• Sie müssen in der Lage sein, die strengen Anforderungen an die Aufdeckung und Meldung von Verstößen zu erfüllen (innerhalb von 72 Stunden, nachdem sie Kenntnis davon erlangt haben).

Datenschutz durch Technikgestaltung, Voreinstellungen und Sicherheit der Verarbeitung

Drei treibende Richtlinien der DSGVO sind der Datenschutz durch Technikgestaltung, der Datenschutz durch Voreinstellungen und die Sicherheit der Verarbeitung.

Der Datenschutz durch Technikgestaltung bezieht sich auf die Mittel und Schutzmaßnahmen, die die für die Datenverarbeitung Verantwortlichen ergreifen müssen, um die DSGVO zu erfüllen. Dazu gehören technische und organisatorische Mittel.

In ähnlicher Weise besagt der Datenschutz durch datenschutzfreundliche Voreinstellungen, dass Sie nur die persönlichen Daten erheben, verarbeiten und speichern dürfen, die zur Erbringung einer vereinbarten Dienstleistung erforderlich sind. (Artikel 25 und 32).

Die Sicherheit der Verarbeitung schreibt die Anwendung der richtigen technischen und organisatorischen Maßnahmen vor, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko der Offenlegung entspricht. Die Nichteinhaltung dieser Richtlinien kann zu empfindlichen Strafen führen.

Nicht nur Kundendaten

Die drei Triebkräfte Transparenz, legitimer Zweck und Verhältnismäßigkeit gelten nicht nur für Kundendaten. Sie gelten auch für Daten von Mitarbeitern.

Viele Unternehmen sammeln und verarbeiten Daten über die Internet-Nutzung von Mitarbeitern zu Zwecken der Informationssicherheit: um Malware zu stoppen, den Transfer von geistigem Eigentum zu blockieren, die Rechte anderer Mitarbeiter zu schützen etc. Die Verhältnismäßigkeit ist hier der Leitfaden. Sie müssen das Recht der Mitarbeiter auf Datenschutz gegen Ihre eigenen Sicherheitsbedürfnisse abwägen.

Kennen Sie Ihre Daten

Nach den DSGVO-Regeln müssen Sie wissen, welche Art von Daten Sie sammeln, verarbeiten und speichern. Die DSGVO bestimmt beispielsweise ausdrücklich, dass die Verarbeitung personenbezogener Daten für die Bestimmung von Merkmalen wie Rasse, ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen nicht zulässig ist, es sei denn, es gelten bestimmte Ausnahmen (Artikel 9).

Um sicherzustellen, dass Sie einen triftigen Grund für die Erhebung von Daten haben, müssen Sie die Daten selbst vollständig verstehen.

Die DSGVO betrifft viele Unternehmen auf der ganzen Welt – unabhängig davon, wo sie ihren Sitz haben. Und die Einhaltung der neuen Regeln ist keine kleine Aufgabe.

Hier ist eine kurze Checkliste zum Umgang mit der DSGVO:

1. Kennen Sie Ihre Datenschutzrichtlinien. Dazu gehören Daten von Kunden sowie von Mitarbeitern.
2. Führen Sie eine Datenschutz-Folgenabschätzung durch (Artikel 35). Diese befasst sich mit allen Berührungspunkten für die geschützten Daten eines EU-Bürgers. Dies ist unabhängig davon, wo die Daten verarbeitet oder gespeichert werden. Das Ergebnis der Datenschutz-Folgenabschätzung sollte eine detaillierte Risikobewertung sein.
3. Adressieren Sie das Recht auf Löschung, die Übertragbarkeit von Daten sowie die Aufdeckung und Meldung von Verstößen. Dies erfordert starke technische und organisatorische Unternehmenskontrollen, -verfahren und -führung.
4. Wenn Sie mehr als 250 Mitarbeiter haben, müssen Sie möglicherweise einen Datenschutzbeauftragten haben, selbst wenn Sie in den Vereinigten Staaten ansässig sind.