EU-Datenschutz-Grundverordnung (EU-DSGVO): Die wichtigsten Neuerungen auf einen Blick

Die neue EU-Datenschutz-Grundverordnung ist in aller Munde – und das, obwohl sie bereits am 25. Mai 2016 in Kraft trat. Unternehmen wurde eine zweijährige Frist zuerkannt, um sich für den EU-Datenschutzstandard zu rüsten. Bald schon läuft dieses kulanzgebundene Intervall ab: Am 25. Mai 2018 ist es soweit, die EU-DSGVO wird wirksam. Die wichtigsten damit einhergehenden Neuerungen finden Sie hier auf einen Blick. – Jenna Eatough

Bisweilen hatten Vertreter der Ökonomie ihren landesspezifischen datenschutzrechtlichen Reglementierungen Folge zu leisten. In Deutschland verkörpert dies das Bundesdatenschutzgesetz (BDSG). Nun wird mit der EU-DSGVO diesbezüglich eine EU-weite Vereinheitlichung vorgenommen: Sämtliche Betriebe, welche mit personenbezogenen Daten von EU-Bürgern hantieren, unterfallen diesem neuen Regelwerk – unabhängig davon, ob die entsprechenden Unternehmen ihren Sitz innerhalb der EU haben oder nicht.

Anzumerken ist, dass die länderspezifischen Datenschutzvorschriften hierdurch keineswegs aufgehoben werden. Stattdessen kommen parallele Gesetzgebungen hinzu. Das BDSG also bleibt bestehen, seine Vorschriften werden allerdings durch die Neuerungen der EU-DSGVO einer nicht unerheblichen Verschärfung unterzogen.

EU-Datenschutz-Grundverordnung (EU-DSGVO): Die wichtigsten Neuerungen auf einen Blick
pixabay.com ©TheDigitalArtist (Creative Commons CC0)
EU-Datenschutz-Grundverordnung (EU-DSGVO): Die wichtigsten Neuerungen auf einen Blick 1

Einwilligung

Der Datenerhebung durch ein Unternehmen muss das Einverständnis des Betroffenen hierzu vorweggehen. Dabei reicht eine konkludente oder indirekte Einwilligung – z.B. durch den reinen Besuch einer Internetseite – nicht aus. Vielmehr bedarf es einer eindeutig bestätigenden Handlung durch den Betroffenen. Eine entsprechende schriftgebundene Erklärung oder das Anklicken eines Kontrollkästchens werden als ausreichend gewertet. Insgesamt muss die Genehmigung „freiwillig“ sowie „in informierter Weise“ kundgetan werden. Des Weiteren gilt das Gebot der Zweckbindung, wonach der mit der Datenverarbeitung verfolgte Zweck schon zum Zeitpunkt der Erhebung definiert sein muss. Werden mehrere Zwecke zeitgleich angestrebt, muss für jeden dieser ein separates Kästchen zur Auswahl bereitgestellt werden. In diesem Zusammenhang existiert indes auch ein Kopplungsverbot: Das Zustandekommen eines Kontraktes darf nicht in Abhängigkeit davon gesetzt werden, ob ein Einverständnis zur Datenverarbeitung ausgesprochen wurde. Eine Speicherung der Daten ist darüber hinaus nur so lange legitim, wie sie zur Erfüllung des vorbestimmten Zwecks vonnöten ist.

Datenschutzfolgeabschätzung

Eine weitere Neuerung liegt in der Datenschutzfolgeabschätzung (DSFA). Letztlich erinnert diese an die altbekannte Vorabkontrolle aus §4 d Abs. 5 BDSG, die immer dann zum Zuge kommt, wenn es um besonders schutzwürdige Daten geht oder wenn die jeweilige Datenerhebung eine Beurteilung der persönlichen Eigenschaften des Betroffenen zulässt. Sodann muss eine Analyse der damit einhergehenden möglichen Bedrohungen bzw. Einschränkungen für den Verbraucher vorgenommen werden. Denselben Zweck verfolgt auch die DSFA: Es geht darum, die möglichen Risiken und Konsequenzen für die individuellen Rechte des Betroffenen herauszustellen und zu ergründen.

Eine DSFA wird erforderlich, wenn „[…] eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge [hat]“ (Art. 35 Abs. 1 EU-DSGVO). Dieser Tatbestand ist recht weit gefasst und schafft  dadurch Spielraum für eine – im Gegensatz zum BDSG – erweiterte Anwendung. Nach Art. 35 Abs. 4 EU-DSGVO ist es Sache der Aufsichtsbehörden, eine Auflistung derjenigen Datenverarbeitungsprozesse, die nach einer DSFA verlangen, herauszugeben. Wer eine DSFA durchführt, steht zudem in der Pflicht, einen Datenschutzbeauftragten hinzuzuziehen.

Zwingend beinhalten muss eine DSFA in aller Kürze:

  • Darlegung der vorgesehenen Verarbeitungsakte sowie die mit ihr verfolgten Zwecke
  • Evaluation der Gefahren für den Betroffenen
  • Einschätzung der Unabdingbarkeit und Adäquanz der Verarbeitungsprozesse in Relation zum beabsichtigten Zweck
  • Aufzeigen der vorgesehenen Schritte, die zur Bewerkstelligung der Gefahren für den Betroffenen angesetzt sind.

Betroffenenrechte

Im Zentrum der EU-DSGVO steht eine Stärkung der Betroffenenrechte. Hierzu gehören etwa:

  • Informationsrecht: Betroffene müssen umfangreich darüber aufgeklärt werden, was mit ihren Daten passiert. Zweck der Erhebung, Dauer der Speicherung und Kontaktinformationen des Verantwortlichen müssen zum Zeitpunkt der Datenerfassung mitgeteilt werden. Zu beachten ist, dass all diese Angaben nach Art. 12 Abs. 1 EU-DSGVO „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren Sprache“ vermittelt werden müssen.
  • Auskunftsrecht: Betroffene können kostenfrei und in adäquaten zeitlichen Abständen Auskunft über die entsprechende Datenverarbeitung fordern. Auch Fragen zum Bezug der Daten (Herkunft) müssen auf Verlangen beantwortet werden.
  • Recht auf Vergessenwerden: 17 EU-DSGVO stellt ein vollständig neues Betroffenenrecht auf. Bei zutreffen spezifischer Voraussetzungen kann ein Löschen der gesicherten Daten abverlangt werden. Dem muss Folge geleistet werden, sobald der eigentlich anvisierte Zweck der Datenerhebung weggefallen ist, eine rechtswidrige Verarbeitung stattfand oder ein Widerruf des Einverständnisses durch den Betroffenen erfolgt.
  • Recht auf Datenübertragbarkeit: Unter diesem Grundsatz ist es dem Betroffenen möglich, die Weiterleitung der zu seiner Person gespeicherten Daten an eine weitere Firma anzuordnen – etwa wenn die Dienste eines neuen Stromanbieters in Anspruch genommen werden sollen.
  • Widerspruchsrecht: Geht es um eine Datenverarbeitung zur Verfolgung kommerzieller Zwecke, so kann der Verbraucher diesbezüglich einen Widerspruch aussprechen.
  • Recht auf Berichtigung: Sind die gespeicherten Daten des Betroffenen überholt oder inkorrekt, verschafft das Recht auf Berichtigung Abhilfe. Die verantwortliche Stelle wird zur Fehlerbeseitigung verpflichtet.

Abschreckung

Durch Androhung extrem hoher Strafen in Millionenhöhen, zielt die EU-DSGVO vor allem auf eines ab: Auf Abschreckung. Angst und Furcht sollen eine gewissenhafte Implementation der Neuerungen sicherstellen.