Die europäische Datenschutzverordnung (kurz DSGVO) ersetzt die aus dem Jahr 1995 stammende EU-Datenschutzrichtlinie und gibt zeitgemäße Antworten auf die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft. Mit einem modernen Datenschutz auf europäischer Ebene bietet die DSGVO Lösungen zu Fragen, die sich durch „Big Data“ und neue Techniken oder Arten der Datenverarbeitung wie Profilbildung, Webtracking oder dem Cloud Computing für den Schutz der Privatsphäre stellen.
Das Europäische Parlament hat die DSGVO am 14. April 2016 mit breiter Mehrheit angenommen. Sie ist am 25. Mai 2018 nach einer Übergangsphase von zwei Jahren wirksam geworden und bildet den datenschutzrechtlichen Rahmen innerhalb der Europäischen Union. Unternehmen mussten ihre Geschäftsabläufe bis zum 25. Mai 2018 an die neue Rechtslage anpassen.
Modernisierung des Europäischen Datenschutzrechts
Die DSGVO ist ein wichtiger Schritt zu einem harmonisierten europäischen Binnenmarkt. Ziel der Verordnung ist eine angemessene Balance zwischen Wirtschafts- und Verbraucherinteressen in Zeiten fortschreitender Digitalisierung. Sie stärkt das Grundrecht auf informationelle Selbstbestimmung durch höhere Transparenz und mehr Mitbestimmung der Bürgerinnen und Bürger mit Blick auf ihre Daten. Gleichzeitig schafft die Verordnung einen zukunftsorientierten Rechtsrahmen für datenverarbeitende Unternehmen und innovative Geschäftsmodelle.
Zentrale Elemente der DS-GVO
Europaweit einheitliches Datenschutzniveau
Die DSGVO schafft ein europaweit einheitliches Datenschutzniveau. Für europäische Unternehmen entsteht ein einheitliches „level playing field“. Bestehende Wettbewerbsverzerrungen und Marktzugangsbarrieren infolge unterschiedlicher nationaler Datenschutzbestimmungen werden beseitigt. Zudem enthält die DSGVO zahlreiche Neuerungen gegenüber der EU-Datenschutzrichtlinie aus dem Jahr 1995. Einige Kernelemente sind besonders hervorzuheben:
Pseudonymisierung von Daten
Die DSGVO setzt stärkere Anreize für die „Pseudonymisierung“ von Daten. Das bedeutet, dass der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym – zumeist eine mehrstellige Buchstaben- oder Zahlenkombination – ersetzt werden. Das macht es wesentlich schwerer, betroffene Personen zu identifizieren. Durch Pseudonymisierung können große Datenmengen ohne Personenbezug und deswegen besonders grundrechtsschonend verarbeitet werden. Die DSGVO erleichtert Datenweiterverarbeitungen zu einem anderen als dem ursprünglichen Datenerhebungszweck, wenn diese Weiterverarbeitung in pseudonymisierter Form erfolgt. Dies ist gerade für Big-Data-Analysen besonders wichtig.
Verschiedene Rechtsgrundlagen für Datenverarbeitungen
Chancen für datenverarbeitende Unternehmen bietet auch der Umstand, dass Datenverarbeitungen nach den Vorgaben der DSGVO – wie nach der bisherigen EU-Datenschutzrichtlinie aus dem Jahr 1995 – nicht allein auf die Einwilligung des Betroffenen, sondern auch auf andere Rechtsgrundlagen gestützt werden können. Datenverarbeitungen sind beispielsweise auch ohne Einwilligung zulässig, wenn die Datenverarbeitung für die Erfüllung eines Vertrags (etwa mit einem Kunden) erforderlich ist. Auch kann eine Datenverarbeitung im Einzelfall auf überwiegende berechtigte Interessen des Datenverarbeiters oder eines Dritten gestützt werden. Dies kann gerade für Unternehmen wichtig sein, die – anders als große Internetplattformen – nicht ohne Weiteres die Einwilligung der Betroffenen einholen können, etwa weil sie mit ihren Kunden per Brief kommunizieren. Die Erwägungsgründe der DSGVO stellen klar, dass unter anderem die Datenverarbeitung zu Werbezwecken im Einzelfall ein legitimes Interesse darstellen kann. Unabhängig von der Wahl der Rechtsgrundlage sind jedoch die Informationspflichten der DSGVO zu beachten. So muss der Betroffene insbesondere über den Zweck der Datenverarbeitung und die Rechtsgrundlage informiert werden.
Privilegierung von Datenverarbeitungen zu Forschungszwecken
Neu gegenüber der bisherigen Rechtslage sind die klaren Wertungen der DSGVO im Forschungsbereich. Die DSGVO stellt ausdrücklich klar, dass eine Weiterverarbeitung von personenbezogenen Daten zu Forschungszwecken als vereinbar mit dem ursprünglichen Datenerhebungszweck anzusehen ist. Zugleich wird mit der DSGVO ausdrücklich die Möglichkeit eines „Broad Consent“ im Bereich der wissenschaftlichen Forschung eingeführt. Dies ermöglicht die Einholung von Einwilligungen zu Forschungszwecken, auch wenn diese Zwecke bei Erhebung der Daten im Einzelnen noch nicht detailliert dargelegt werden können.
Mehr Transparenz und Kontrolle für Betroffene
Die DSGVO schützt die Privatsphäre von Nutzerinnen und Nutzern bei Big Data, Webtracking und Profilbildung und definiert das „Recht auf Vergessenwerden“ und auf Datenportabilität. Das ausdrücklich normierte sogenannte „Marktortprinzip“ sorgt zudem dafür, dass die DSGVO Anwendung auf Datenverarbeiter findet, die nicht in der Europäischen Union niedergelassen sind, wenn eine Datenverarbeitung dazu dient, in der Europäischen Union ansässigen Personen Waren oder Dienstleistungen anzubieten.
Die DSGVO erhöht außerdem die Transparenzpflichten von Unternehmen gegenüber ihren Kunden und erweitert die Rechte der Betroffenen, etwa das Recht auf Auskunft. Denn: Betroffene müssen wissen, was mit ihren Daten geschieht und zu welchen Zwecken die Daten verarbeitet werden. Die DSGVO schreibt einfache und verständliche Datenschutzerklärungen vor. Auch können Datenschutzsiegel und Zertifizierungen für mehr Transparenz sorgen. All das sorgt für mehr Kontrolle und Transparenz bei der Datenverarbeitung.
Die DSGVO im Betrieb umsetzen
Gerade für kleine und mittlere Unternehmen kann die Umsetzung der Vorgaben der DSGVO eine Herausforderung darstellen. Die BMWi-Checkliste zur Umsetzung der DSGVO im Unternehmen bietet einen ersten Überblick, welche Prüfschritte notwendig werden können.
Die Checkliste finden Sie hier.
Quelle: Bundesministerium für Wirtschaft und Energie