Neue EU-Datenschutz-Grundverordnung (EU-DSGVO)

§

 

Aus einem Vortrag über die neue EU-Datenschutz-Grundverordnung (DSGVO) konnte ich einige Informationen mitnehmen, die bestimmt auch für Sie als Unternehmer interessant sein dürften:

 

 

 

In Deutschland besitzen nach wie vor das Bundesdatenschutzgesetz sowie die EU-Datenschutzrichtlinie 95/46/EG ihre Gültigkeit.

 

Doch mit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) vom 24.05.2016 wurden Regeln für die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht.

 

 

 

Diese neue EU-Datenschutz-Grundverordnung löst die EU-Datenschutzrichtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ab. Ab dem Stichtag 25.Mai 2018 wird sie verbindlich, sodass sich die bisherige datenschutzrechtliche Grundlage (BDSG) damit ändert.

 

 

 

Die DSGVO gilt unmittelbar in allen 28 EU-Staaten als Verordnung, wobei bislang bestehende datenschutzrechtliche Grundprinzipien im Kern erhalten bleiben.

 

Sie regelt unter anderem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen.

 

Jedoch ist der Aufbau mit 99 Artikeln und 173 Erwägungsgründen im Vergleich zum BDSG und EU-DSRL sowohl umfangreicher, als auch schwer überschaubar. Die Rechte Betroffener wurden erweitertet und um neue Rechte ergänzt, beispielsweise das Recht auf Datenportabilität.

 

Die EU-DSGVO verpflichtet alle in der EU niedergelassenen Unternehmen, aber auch für solche, die ihren Sitz außerhalt der EU haben, sich mit ihren Angeboten jedoch an EU-Bürger wenden oder deren Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient, z. B. Facebook sowie Google (Marktortprinzip). Bedeutung kann dies also bei der Werbung per Facebook (u. a. Look-alike) oder Google haben.

 

Geschützt sind natürliche, also lebende Personen gegenüber Wirtschaftsteilnehmern.

 

Die DSGVO besitzt keine Gültigkeit im Rahmen der Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen. Ebenso findet sie keine Verwendung bei der Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung von ausschließlich persönlichen oder familiären Tätigkeiten. Darüber hinaus ist die DSGVO für Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten, respektive der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit außer Kraft.

 

 

 

Viele Punkte, jedoch vor allem die Umsetzung in der Praxis, sind noch strittig. Beispielsweise ist die DSGVO technikneutral, das heißt, nicht von der verwendeten Technik abhängig ausgestaltet, um eine Umgehung von Vorschriften zu vermeiden. Auf moderne Anwendungen für den Datenschutz, wie Soziale Netzwerke, Suchmaschinen, Cloud Computing, Big Data u. v. m. wurde nicht eingegangen.

 

 

 

Nach wie vor enthält die DSGVO Öffnungsklauseln, die es dem nationalen Gesetzgeber ermöglichen, eigene Regelungen zu erlassen. Darunter fallen u. a. der Bereich des Beschäftigtendatenschutzes und die Verpflichtung zur Bestellung eines Datenschutzbeauftragten.

 

Den Mitgliedsstaaten wird jedoch nicht gestattet, den von der Verordnung vorgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken.

 

 

 

Am 30.06.2016 verabschiedete Deutschland auf Grundlage der DSGVO ein Gesetz zur Anpassung des Datenschutzes an die Verordnung (EU 2016/679) sowie zur Umsetzung der Richtlinie (EU 2016/680 Datenschutz-Anpassungs- und –Umsetzungs-Gesetz EU, auch DSAnpUG-EU). Darin werden Regelungen des nationalen Datenschutzrechts angepasst oder aufgehoben, bzw. zukünftig unwirksame Regelungen des bisherigen BDSG in andere Gesetzesbereiche überführt.

 

Kern des Gesetzes ist ein grundlegend überarbeitetes Bundesdatenschutzgesetz (BDSG neu).

 

Anders, als in anderen Ländern wird im BDSG neu die bereits geltende Verpflichtung belassen, auch im nichtöffentlichen Sektor regelmäßig einen Datenschutzbeauftragten zu benennen.

 

Dies ist zu befolgen, wenn sich mindestens 10 Personen dauerhaft mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

 

Im Zuge von Datenschutz-Folgenabschätzungen (nach Art. 35 DSGVO) und geschäftsmäßiger Datenverarbeitung (Übermittlung, anonymisierte Übermittlung oder für Zwecke der Markt- bzw. Meinungsforschung) hingegen, ist unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen ein Datenschutzbeauftragter zu benennen.

 

 

 

Unter den wichtigsten Punkten der DSGVO befinden sich folgende:

 

  • Rechtmäßigkeit der Datenvereinbarung und deren Bedingungen (Art. 6 DSGV und Erwägungsgründe 39ff.)

    Hierbei ist dringend zu erwähnen, dass die Fortgeltung bisheriger Einwilligungen umstritten ist.

     

  • Datenschutzerklärung (Art. 12 DSGVO)

 

  • Auskunftsrechte der Betroffenen (Art. 15. DSGVO)

 

  • Das neue Recht auf Datenübertragung (Art. 20 DSGVO)

 

  • Verzeichnis aller Verarbeitungstätigkeiten (Art. 30 DSGVO)

 

  • Meldepflicht für Verletzungen (Art. 33 DSGVO)

 

  • Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)

 

  • Bußgelder (Art. 83 DSGVO)

    Die Bußgelder werden in Zukunft ganz erheblich erhöht. Seit 24.02.2016 ist außerdem ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts in Kraft, nach dem auch Verbraucherschutz- oder Wettbewerbsverbände Verstöße im Bereich des Datenschutzes abmahnen.

 

 

 

Dieser Blogbeitrag soll Ihnen lediglich einen ersten Einblick in diese Thematik bieten. Er erhebt jedoch keinen Anspruch auf Vollständigkeit und Korrektheit, sodass hiermit keine Rechtsberatung ersetzt wird.

 

Im Internet unter https://dsgvo-gesetz.de finden Sie die neue EU-Datenschutz-Grundverordnung. Für weitere Detailfragen in diesem Gebiet wenden Sie sich bitte an einen entsprechenden Fachanwalt.

 

§