Datenschutzgrundverordnung (DSGVO)

Das Thema DSGVO stellt nachwievor so gut wie alle Branchen vor eine Mammutaufgabe in puncto Datenschutz.

Mehrkosten und Aufwände durch unternehmensweite Datenschutz-Programme sind die Folgen bei weiterhin zum Teil bestehender Unsicherheit.

Definition aus Wikipedia

Die Datenschutz-Grundverordnung (DSGVO oder DS-GVO; französisch Règlement général sur la protection des données RGPD, englisch General Data Protection Regulation GDPR) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Datenverarbeiter, sowohl private wie öffentliche, EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Zusammen mit der so genannten JI-Richtlinie für den Datenschutz in den Bereichen Polizei und Justiz bildet die DSGVO seit dem 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der Europäischen Union.

Die Herkunft der DSGVO: GDPR (General Data Protection Regulation)

Die DSGVO ist die Umsetzung der europäischen Richtlinie GDPR für Deutschland. Sie ist daher weitgehend identisch mit der EU-Vorlage. Der offizielle Titel lautet “VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien
Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
.

Was die DSGVO ausmacht

Die Datenschutzgrundverordnung, kurz DSGVO trat am 25. Mai 2018 in Kraft. Die Vorschrift regelt das Datenschutzrecht – also den Umgang von Unternehmen mit personenbezogenen Daten. Damit gelten die vorher festgelegten Vorschriften des BDSG, kurz Bundesdatenschutzgesetz, nicht mehr.

Viele Unternehmen fühlten sich schlicht und einfach überrumpelt da eine riesige Hürde auf sie zukommen sollte. Trotz der vermeintlichen Überraschung der neuen Verordnungen in puncto Datenschutz war diese Verordnung bereits seit Mai 2016 als GDPR-Umsetzung in Kraft getreten, jedoch noch nicht einheitlich in Europa geltend, dass heißt die Verordnung muss nun nicht mehr als nationales Recht umgesetzt werden, sondern gilt wie bereits gesagt in jedem europäischen Mitgliedsstaat.

Die GDPR bzw. die DSGVO gilt auch für Unternehmen außerhalb der EU sollten jene geschäftlich in der EU agieren oder eine Niederlassung innerhalb haben. Dies galt vor allem den großen Konzernen wie Facebook Google, Apple und weiteren um diese entsprechend der Vorstellungen der EU zu regulieren.

Die Personenbezogenen Daten sind nicht anonym bezogene Informationen zu Personen welche aus bestehen:

  • Name
  • Anschrift
  • Einkommen
  • Beschäftigungsstatus
  • Internet Verhalten verbunden mit der IP Adresse
  • E-Mai Adressen
  • Geburtsdatum
  • Gesundheits/Vitaldaten
  • Bilder

Unter die DSGVO fallen somit auch Daten welche theoretisch abrufbar wären, ganz gleich ob diese auch tatsächlich abgerufen werden.

Die Klassifikation der Informationen, das Nachhalten und effektive Verwalten ist eine große Herausforderung, die allerdings das Thema Informationsmanagement (also in der Vergangenheit ECM und ähnliche Lösungen) wieder zu einem neuen Auftritt verhilft. Auch Forschungsprojekte wie an der Universität Konstanz versuchen inzwischen technische Lösungen für den Mittelstand zu schaffen, um die Identifizierung und Nachhaltung DSGVO-relevanter Informationen zu ermöglichen. Das Thema möglicher Abmahnungen wurde inzwischen durch Urteile eingedämmt. Die Datenschutzbehörden kommen auch kaum zum Abarbeiten und Prüfen von Anträgen, da die personelle Ausstattung dem nicht gewachsen ist.

Datenschutz für alle

Die DSGVO in Deutschland (anders als beispielweise in Österreich) betrifft nicht nur Unternehmen, sondern wirkt sich auch auf Privatpersonen, welche Inhalte öffentlich zugänglich machen wollen aus. Ein gewisser Schrecken schwingt hierbei immer mit da die Verordnung nun jeden, ob Unternehmen oder nicht, angreifbar machen kann. Es drohen bei einem Verstoß horrende Summen welche mittels Abmahnschreiben von Anwaltskanzleien realisiert werden können und auch werden. Viele gerade kleinere Unternehmen stehen damit vor einer bisher ungeahnten Herausforderung welche Zeitgerecht erfüllt werden muss. Andernfalls droht ein immenser Verlust bis hin zum Bankrott durch besagte Abmahnungen.

Somit müssen kleine Unternehmen, gerade wenn sie ihren Service weborientiert anbieten wollen, auf klare Regeln im Umgang mit Personenbezogenen Daten achten. Auch im analogen Bereich gelten diese Regulierungen im täglichen Alltag, wie der Ratschlag des Eigentümerverbands „Haus & Grund“ zeigte. 2018 empfiehl der Eigentümerverband Klingelschilder an Haustüren demontieren zu lassen da diese eine Angriffsfläche für Abmahnanwälte sei. Diese Vermutung stellte sich als falsch heraus und somit muss kein Anwohner oder Eigentümer sich vor einer Geldstrafe im Bezug auf Klingelschilder einstellen. Dieses Beispiel zeigt jedoch die Brisanz des Themas Datenschutz und den Interpretationsspielraum.

Neuregelung/Anpassung der DSGVO (DSAnpuG 2.0)

Die Neuregelung der DSGVO trat am 26. November 2019 in Kraft und entschärfte die Rechtslage im Bezug auf den Datenschutz in seiner bisherigen Form. Diese Gesetztes Änderung wurde unter dem Namen „(EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU bzw. 2. DSAnpUG-EU)“ veröffentlicht.

Somit sind unter anderem Abmahnungen zur DSGVO, die auf dem UWG „Wettbewerbsrecht) basieren, nicht gültig „Urteil des LG Würzburg, September 2018 (Az. 11 O 1741/18)“

BDSG (Bundesdatenschutzgesetz)

Das Gesetz wurde als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. Diese neue Fassung des BDSG (BGBl. 2017 I S. 2097) ist seit dem 25. Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) anwendbar.

Die alte Fassung des BDSG bestand ausfolgenden Teilen zur Regulierung von Personenbezogenen Daten:

  • Grundsätze
  • Geschützte Daten
  • Sachlicher Anwendungsbereich
  • Räumlicher Anwendungsbereich
  • Normadressaten

Die letzte in Änderung des Bundesdatenschutzgesetzes trat ebenfalls am 26. November 2019 in Kraft Art. 24 ist dabei die zentrale Norm die, die Ergänzungen des Landesrechtes für Betroffenenrechte regelt. Dort sind folgende Betroffenenrechte im dritten Kapitel (Artikel 12 bis 23) geregelt:

  • Nach Art. 15 DSGVO hat jede Person das Recht auf Auskunft über alle sie betreffenden Daten. Die Informationen darüber sind laut Art. 12 in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu liefern. § 27, § 28, § 29, § 30 und § 34 BDSG ergänzen diese Normen.
  • Nach Art. 16 DSGVO hat die betroffene Person ein Recht auf Berichtigung falscher Daten sowie laut Art. 18 DSGVO ein Recht auf Einschränkung („Sperrung“) der Datenverarbeitung, wenn Richtigkeit oder Grundlage der Datenverarbeitung bestritten werden. § 27, § 28 und § 35 BDSG ergänzen diese Normen.
  • Das Recht auf Vergessenwerden des Art. 17 DSGVO ist eines der zentralen Rechte der DSGVO. Es umfasst einerseits, dass eine betroffene Person das Recht hat, das Löschen aller sie betreffenden Daten zu fordern, wenn die Gründe für die Datenspeicherung entfallen. Darüber hinaus muss aber auch der Verarbeiter andererseits selbst aktiv die Daten löschen, wenn es keinen Grund mehr für eine Speicherung und Verarbeitung gibt. § 4 und § 35 BDSG ergänzen diese Normen.
  • Art. 20 DSGVO gibt jeder Person das Recht, die Daten, die sie betreffen und die sie selbst dem Verantwortlichen übergeben hat, in einem „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“, auch und insbesondere für den Zweck, sie Konkurrenzdienstleistern „ohne Behinderung durch den Verantwortlichen“ zu übermitteln. § 28 BDSG ergänzt diese Norm.
  • Art. 20 und Art. 21 DSGVO enthalten Regelungen zum Profiling sowie das Widerspruchsrecht gegen die weitere Nutzung von Profiling-Daten. § 27, § 28, § 30, § 31, § 36 und § 37 BDSG ergänzen diese Normen.

Ressourcen

Datenschutz nach DSGVO ist schwierig komplett in allen Bereichen eines Unternehmens umzusetzen.
„Stöhnen“ hilft aber nicht, da auch der Vorgänger BDSG schon umzusetzen war und der DSGVO inhaltlich wenig nachsteht.

Dr. Ulrich Kampffmeyer
Update Information Management 2017

Neuen Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.

Ich versichere, alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Dies betrifft besonders die Nicht-Verwendung von urheberrechtlich geschütztem Material und die Nicht-Verwendung von Inhalten und Links zu Inhalten, die dem Leistungsschutz unterliegen. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSLT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons Vorgaben gewahrt. Für die Verfolgung mißbräuchlicher Nutzung meiner Beiträge durch Dritte bin ich selbst verantwortlich.