Zum Hauptinhalt springen
Virtuelle Zahlen und Graphen vor Geschäftsleuten

EU-Datenschutz-Grundverordnung (EU-DSGVO)

General Data Protection Regulation (GDPR)

Nach langen Verhandlungen erfolgte im Dezember 2015 die europäische Einigung auf eine EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese führt zu einer weitgehenden Vereinheitlichung des europäischen Datenschutzrechtes. Während bislang durch nationale Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie doch erhebliche Unterschiede bestanden, wird die Datenschutz-Grundverordnung geltendes Recht in allen Mitgliedsstaaten sein. Geringe Unterschiede sind allenfalls durch die Möglichkeit sogenannter „Öffnungsklauseln“ zu erwarten. Öffnungsklauseln bieten nationalen Gesetzgebern die Möglichkeit, eigene nationale Regelungen zu erlassen.

Zeitplan

Die EU-Datenschutz-Grundverordnung (EU-DSGVO bzw. GDPR) ist am 14. April 2016 durch das EU-Parlament beschlossen worden. Sie ist am 04. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht worden und am 25. Mai 2016 in Kraft getreten.

Anwendbar ist sie damit ab dem 25. Mai 2018. Viele Unternehmen sind noch nicht auf die DSGVO und deren Auswirkungen auf die Unternehmensprozesse vorbereitet. Daher haben die unabhängigen Datenschutzbehörden einige Tipps zur Erstellung eines Maßnahmenplans für Unternehmen zusammengestellt.  

Darüber hinaus bietet auch das Bayerische Landesamt für Datenschutzaufsicht BayLDA eine Orientierung, welche Fragen bzw. Aufgabenstellungen zwingend vor dem 25. Mai 2018 unternehmensseitig zu klären sind.

DSGVO und unitop

Bereiche der Neuregelung

Viele Bereiche des Datenschutzes werden durch die DSGVO nicht neu geregelt. Insbesondere bleibt der Begriff der „personenbezogenen Daten“ im Artikel 4 weiterhin weit gefasst:

„Personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Weiterhin gilt, dass die Verarbeitung personenbezogener Daten nur aufgrund eines Erlaubnistatbestands zulässig ist. Die Erlaubnistatbestände sind im Artikel 6 aufgeführt:

  • die betroffene Person hat ihre Einwilligung gegeben;
  • die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen;
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt;
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.

Im letzten Fall ist eine Interessensabwägung gegenüber den Interessen der betroffenen Person erforderlich.

Zusammenfassend gilt:

Die DSGVO ändert die Konzeption und weitgehend auch die Detailregelungen des geltenden Datenschutzrechts nicht grundlegend. Vielmehr werden vielfach Bestimmungen der EG-Datenschutzrichtlinie 95/46 übernommen, die die Grundlage des BDSG bilden. Andererseits gibt es aber auch zahlreiche neue datenschutzrechtliche Vorgaben, deren Erfüllung allein schon hinsichtlich des immens erhöhten Bußgeldrahmens korrekter Beachtung bedarf.

Blauer Schutz-Schild mit weißem Check-Haken

Ziele und Grundsätze

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO).

Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und Rechenschaftspflicht.
Das sind Ihre Rechte

Die EU-Datenschutz-Grundverordnung bringt einige Neuerungen für das Datenschutzrecht mit sich. Diese betreffen nicht nur Unternehmen, sondern auch den einzelnen Bürger. Zumindest dann, wenn es um die Rechte der Betroffenen geht. Mit dem 3. Kapitel der aktuellen Fassung der Datenschutz-Grundverordnung will der Gesetzgeber die Rechte der Betroffenen grundsätzlich stärken und weitet diese in manchen Bereichen sogar aus. Vor allem die neuen Transparenz- und Informationspflichten der Unternehmen führen zu einem deutlich stärkeren Schutz der Betroffenen als die aktuell geltenden Regelungen des Bundesdatenschutzgesetzes.

Die Datenschutzgrundverordnung in der aktuellen Version finden Sie auf der Seite der Landesbeauftragten für den Datenschutz Nordrhein-Westfalen.