Elif Morgenroth

Die Datenschutzgrundverordnung: Ein großer Schritt in Richtung Digitalisierung

Nach mehr als vier Jahren Diskussionen, wurde im April letzten Jahres das neue EU-weite Rahmenregelwerk zum Datenschutz GDPR (General Data Protection Regulation) verabschiedet. Obwohl GDPR direkt in Europa für alle Mitgliedstaaten anwendbar ist und keine Notwendigkeit einer Harmonisierung in nationales Recht vorgeschrieben ist, geschah diese in Deutschland unter der Datenschutzgrundverordnung (DSGVO). GDPR/DSGVO werden somit zeitgleich ab 25. Mai 2018 anwendbar sein. Der Datenschutz wurde in Deutschland von jeher über das Bundesdatenschutzgesetz (BDSG) bereits hoch geschrieben, dennoch geht die DSGVO in einigen Bereichen über diese Regelung hinaus.

Ziele und Grundsätze von GDPR/DSGVO

Hauptziel der Regulierung ist in Art. 1 Abs. 2 und 3 niedergeschrieben: Es geht um den Schutz von Grundfreiheiten und Grundrechten natürlicher Personen, insbesondere das Schutzrecht personenbezogener Daten und der freie Verkehr personenbezogener Daten.

Die Ziele sollen in den Grundprinzipien (Art. 5 DSGVO) festgesetzt werden. Hierzu zählen:

  • Datenminimierung
  • Richtigkeit
  • Verschärfung was gespeicherte Daten anbetrifft
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

Neuerungen der DSGVO

1. Relevant ist, dass Betroffene personenbezogener Datenverarbeitung Rechte gegenüber der verarbeitenden Institution eingeräumt bekommen. Darunter fällt das:

  • Informationsrecht
  • Auskunfts- und Widerspruchsrecht
  • Recht auf Berichtigung, Löschung und Einschränkung („Recht auf Vergessen werden“)
  • Recht auf Datenübertragbarkeit

2. Unternehmen haben im Bereich Datenschutz neue Pflichten zu erfüllen:

  • Privacy by Design: Datenschutzkonzepte müssen standardmäßig in alle Geschäftsprozesse integriert werden
  • Neuartige Interaktionen mit Kundendiensten
  • Änderungen richtlinienbasierter Systeme in Unternehmen
  • Verpflichtung zur Ernennung eines Datenschutzbeauftragten (DSB) für Unternehmen von mehr als 250 Mitarbeitern (vergleichbar mit der Funktion eines Chief Compliance Officers – „unternehmensinterne Regulierungsbehörde“)
  • DSB ist verpflichtet, die jeweils nationale Aufsichtsbehörde  innerhalb von 72 Stunden zu informieren (in Deutschland: Bundesamt für Sicherheit in der Informationstechnik (BSI))
  • Organisationen müssen einer erweiterten Meldepflicht nachkommen

Wie erwähnt, wird das geltende nationale und EU-weite Datenschutzrecht nicht völlig umgewälzt, allerdings wird es doch eine Reihe von Änderungen in der Praxis geben. Auch existieren unterschiedlich hohe Anforderungen an den Datenschutz in den jeweiligen von der Regelung betroffenen Adressaten.

Für Deutschland bedeutet dies, dass die DSGVO zwei Neuerungen implementiert, die im bisherigen Bundesdatenschutzgesetz (BDSG) nicht enthalten sind:

  • Joint Controllership: Zusammenwirken zweier verantwortlicher Stellen, die unter der Festlegung eines gewissen Workflows Daten verarbeiten
  • Für besonders risikobehaftete Datenverarbeitungen die die Durchführung einer Datenschutzfolgeabschätzung (DFSA) als Assessment vorgeschrieben, vergleiche Art. 35 DS-GVO 9
    • Die DSFA ist ein Instrument zur Beschreibung, Bewertung und Reduzierung von Risiken für die Rechte von natürlichen Personen
    • Auch bei der Einführung neuer Technologien ist die DSFA notwendig und  durchzuführen
    • Die DFSA ist kein einmaliger Prozess, sondern ein iterativer Prozess. Ergeben sich neue Risiken, die bislang nicht berücksichtigt worden sind, dann ist dies im Rahmen der DFSA zu überprüfen und anzupassen

Vorteile der GDPR/DSGVO:

Zusammenfassend kann die Harmonisierung des Datenschutzniveaus als wichtiger Vorteil benannt werden. Das Datenschutzrecht innerhalb der EU wird nunmehr für den privaten und öffentlichen Bereich vereinheitlicht. Weitere Vorteile sind:

Art. 43 DSGVO „Konzernprivileg“. Danach können gruppeninterne Datenweitergaben bei verbundenen Unternehmen unter weit vereinfachten Voraussetzungen erfolgen. Allerdings muss ein adäquates Datenschutzniveau gewährleistet sein (z. B. gruppeninterne Regelungen im Code of Conduct).

Schutz für Kinder und Jugendliche, da Daten unter 13 Jähriger nur noch mit Einwilligung der Eltern verarbeitet werden dürfen.

One-Stop-Shop: Betroffene können sich immer an die Behörde ihres Landes wenden, unabhängig davon in welchem Mitgliedstaat der Datenmissbrauch passiert ist.

Klare Definition, was genau unter personenbezogene Daten fällt

Höhere Bußgelder: Durch hohe Sanktionierungen (bis zu EUR 20 Mio. oder 4 % des Umsatzes) wird der Relevanz des Datenschutzes Nachdruck verliehen.

Empfehlung

Zwar wird eine reibungslose Umsetzung der DSGVO im Mai 2018 nicht erwartet, allerding müssen Institute und Unternehmen nachweisen, dass sie sich bereits eingehend mit dieser Regulierung befasst haben. Bei der Umsetzung spielt nicht nur juristische Expertise eine Rolle, sondern vordergründig Erfahrung in der Umsetzung von Managementsystemen sowie ein umfassendes Verständnis informationssicherheits-technologischer Zusammenhänge.

Veranstaltungshinweis

Zu Themen wie DSGVO und anderer Regulierungen geht es in unserer kostenfreien Veranstaltung. Erfahren Sie mehr hier. Bitte melden Sie sich auch gerne hier an oder kontaktieren Sie die Autorin.

Blog moderation guidelines and term of use