Bereit für die DSGVO? Alles, Was Sie Wissen Sollten!

Wir leben in ein­er datengetriebe­nen Welt — in allen Bere­ichen unseres Lebens haben wir mit der Samm­lung, Ver­ar­beitung und Spe­icherung von Dat­en zu tun. Kein Wun­der also, dass die bish­erige Daten­schutzrichtlin­ie (Richtlin­ie 95/46/EG) mit den ras­an­ten tech­nol­o­gis­chen Entwick­lun­gen nicht mehr mithal­ten kon­nte.

Aus diesem Grund hat die Europäis­che Kom­mis­sion 2012 Geset­zge­bungsvorschläge zur Reform des Daten­schutzes in der gesamten Europäis­chen Union veröf­fentlicht. Ziel ist es, Europa „fit für das dig­i­tale Zeital­ter“ zu machen.

Im Mit­telpunkt dieser Geset­zes­re­form ste­ht die Ein­führung der All­ge­meinen Daten­schutzverord­nung („die DSGVO“), die darauf abzielt, Fol­gen­des zu erre­ichen:

dsgvo-1

Wichtigste Änderungen durch die DSGVO

DATENVERARBEITER

Die DSGVO gilt für zwei Arten von Daten­ver­ar­beit­ern — Dat­en-Ver­ant­wortliche und Auf­tragsver­ar­beit­er.

Eine betrof­fene Per­son (Data Sub­ject) ist jede direkt oder indi­rekt iden­ti­fizier­bare Per­son, deren per­so­n­en­be­zo­gene Dat­en von den Daten­ver­ar­beit­ern erhoben, ver­ar­beit­et, auf­bere­it­et und gespe­ichert wer­den, z.B. Bewer­ber, Mitar­beit­er, Kun­den und Nutzer der Web­site.

Ein Dat­en-Ver­ant­wortlich­er (Data Con­troller) ist eine natür­liche oder juris­tis­che Per­son, die allein oder gemein­sam die Zwecke, die Mit­tel und die Art und Weise der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en bes­timmt.

Ein Auf­tragsver­ar­beit­er (Data Proces­sor) ist eine eigen­ständi­ge natür­liche oder juris­tis­che Per­son, die vom Dat­en-Ver­ant­wortlichen beauf­tragt wird, per­so­n­en­be­zo­gene Dat­en in seinem Namen und auf seine stren­gen Anweisun­gen hin zu ver­ar­beit­en.

dsgvo-2

ERHÖHTE RECHTSSICHERHEIT

Ein einziges Gesetz, das den Daten­schutz in ganz Europa regelt, trägt zur Über­win­dung der bish­er ver­wirren­den Sit­u­a­tion bei. Denn bish­er hat­te jedes Mit­glied­s­land seine eige­nen nationalen Geset­ze, die sich in Vorschriften und Sank­tio­nen zwis­chen einzel­nen Mit­gliedlän­dern stark unter­schieden haben.

ERWEITERUNG DES TERRITORIALEN GELTUNGSBEREICHS

Während es nach der Richtlin­ie 95/46/EG vage blieb, ob sie auch außer­halb der EU anwend­bar wäre, macht die Verord­nung deut­lich, dass der geografis­che Stan­dort kein Fak­tor ist und für Unternehmen gilt, die:

  • die Waren oder Dien­stleis­tun­gen in der EU anbi­eten;
  • Infor­ma­tio­nen, die EU-Bürg­ern/An­wohn­ern gehören, erheben, ver­ar­beit­en und spe­ich­ern, unab­hängig davon, ob die Tätigkeit in der EU stat­tfind­et oder nicht.

Wenn ich also beschließe, in Chi­na Urlaub zu machen und in einem Hotel zu über­nacht­en, ist das Hotel immer noch verpflichtet, meine Dat­en und meine Rechte zu schützen, da das Hotel Dat­en erhebt, die sich auf einen EU Bürg­er beziehen,

VERSCHÄRFTE SANKTIONEN

Nach der alten Richtlin­ie vari­ierten die Geld­bußen von Land zu Land. So waren beispiel­sweise die Geld­bußen nach dem alten Daten­schutzge­setz (Kapi­tel 440 der mal­te­sis­chen Geset­ze) nicht höher als 23.000 €.

Nach der neuen Verord­nung kann das Amt des Infor­ma­tions- und Daten­schutzbeauf­tragten (Infor­ma­tion and Data Pro­tec­tion Com­mis­sion­er — “IDPC”) Geld­bußen ver­hän­gen, die ab 10 Mio. EUR oder 2 % des glob­alen Jahre­sum­satzes begin­nen und je nach Schwere der Ver­let­zung auf max­i­mal 20 Mio. EUR oder 4 % des glob­alen Jahre­sum­satzes steigen kön­nen.

DIE VERHÄNGUNG EINER ANGEMESSENEN STRAFE IST NICHT KLAR 

ABER es gilt dabei fol­gen­des zu beacht­en:

  • Art, Schwere und Dauer der Ver­let­zung;
  • Der vorsät­zliche oder fahrläs­sige Charak­ter der Ver­let­zung;
  • Alle Maß­nah­men, die ergrif­f­en wer­den, um den Schaden für die betrof­fe­nen Per­so­n­en zu begren­zen;
  • Der Grad der Ver­ant­wor­tung;
  • Alle früheren Ver­stöße.

NEUE VERPFLICHTUNGEN

Kon­for­mität­snach­weis – Neben der Ein­führung angemessen­er tech­nis­ch­er und sicher­heit­stech­nis­ch­er Maß­nah­men sind die Ver­ant­wortlichen dafür ver­ant­wortlich, die durchge­führten Maß­nah­men, ihre Wirk­samkeit und die Art und Weise, wie sie über­prüft und aktu­al­isiert wer­den, zu doku­men­tieren.

Trans­parenz – Die für die Ver­ar­beitung Ver­ant­wortlichen sind grund­sät­zlich verpflichtet, die betrof­fe­nen Per­so­n­en über ihre Rechte und die Art und Weise, wie ihre per­so­n­en­be­zo­ge­nen Dat­en erhoben, ver­wen­det und gespe­ichert wer­den, auf ein­fache und präzise Weise zu informieren.

Ernen­nung eines Daten­schutzbeauf­tragten („DSB“) — Um die Ein­hal­tung der Vorschriften zu erle­ichtern, sind öffentliche Stellen (geset­zlich) verpflichtet, einen DSB zu ernen­nen. Der DSB ist dafür ver­ant­wortlich, regelmäßige Über­prü­fun­gen und Bew­er­tun­gen durchzuführen, eine Daten­schutzkul­tur zu fördern und als Brücke zwis­chen dem Unternehmen, den betrof­fe­nen Per­so­n­en und der Reg­ulierungs­be­hörde zu fungieren.

Überwachung von Auf­tragsver­ar­beit­ern – Die Ver­ant­wortlichen müssen eine detail­lierte Due Dili­gence durch­führen, um sicherzustellen, dass die Daten­ver­ar­beit­er aus­re­ichende Garantien (d.h. Sicher­heit­skon­trollen) im Ein­klang mit den Anforderun­gen der DSGVO bieten.

HAFTUNGSPFLICHT

Während die für die Daten­ver­ar­beitung Ver­ant­wortlichen im Rah­men der Richtlin­ie 95/46/EG als eine Art Vertei­di­gung für die Daten­ver­ar­beit­er fungierten, kön­nen die betrof­fe­nen Per­so­n­en nach der neuen Verord­nung direkt gegen die Daten­ver­ar­beit­er vorge­hen und Schadenser­satz für einen materiellen oder imma­teriellen Schaden ver­lan­gen.

VERLETZUNGSMELDUNG

Nach der alten Richtlin­ie war eine solche Mel­dung nur für den Bere­ich der elek­tro­n­is­chen Kom­mu­nika­tion oblig­a­torisch.

JETZT ist jede Organ­i­sa­tion, die Dat­en sam­melt, ver­ar­beit­et und/oder spe­ichert, verpflichtet, Daten­schutzver­let­zun­gen inner­halb von 72 Stun­den, ein­schließlich Woch­enen­den und Feierta­gen, an die Auf­sichts­be­hörde zu melden. Wenn dies nicht inner­halb der geset­zten Frist geschieht und die betrof­fe­nen Per­so­n­en ein hohes Risiko tra­gen, wäre die Haf­tung des für die Ver­ar­beitung Ver­ant­wortlichen viel höher, da es sich um eine geset­zlich vorgeschriebene Verpflich­tung han­delt.

 

DATENSCHUTZABSICHTLICH & VON ANFANG AN

Von Anfang an, vor dem Kauf eines neuen Sys­tems, der Ein­leitung eines neuen Prozess­es oder der Eröff­nung ein­er neuen Ser­vicelin­ie, müssen die Ver­ant­wortlichen sich­er­stellen, dass der Daten­schutz gewährleis­tet ist.

Ver­ant­wortliche müssen sich­er­stellen, dass:

  1. das Prinzip der Daten­min­imierung ange­wandt wird — es soll­ten nur Dat­en erhoben wer­den, die unbe­d­ingt erforder­lich sind. Daher ist die Erhe­bung von Dat­en für die zukün­ftige Nutzung keine Ausrede mehr;
  2. die Ver­ar­beitung auf den Zweck beschränkt ist, für den die Dat­en erhoben wur­den (Zweck­bindung);
  3. die Dat­en durch Ver­schlüs­selung, Anonymisierung, sichere Pass­wörter, Back­ups geschützt sind. Dies ist jedoch kein 100% unfehlbares Sys­tem;
  4. Vor­ab-Fol­gen­ab­schätzun­gen wer­den durchge­führt, wenn die Ver­ar­beitung Dat­en bet­rifft, die für die betrof­fe­nen Per­so­n­en mit Risiken ver­bun­den sein kön­nen;
  5. die Dat­en nur von autorisiertem Per­son­al einge­se­hen wer­den kön­nen, wenn dies unbe­d­ingt erforder­lich ist; und
  6. die Ver­ar­beitungstätigkeit­en wer­den doku­men­tiert.

VEREINFACHTE STRUKTUR DER EINWILLIGUNG

Ein­willi­gung muss fol­gen­den Anforderun­gen entsprechen:

  • Frei­willig erteilt
  • Spez­i­fisch
  • Pos­i­tives Opt-In
  • Unmissver­ständlich
  • Informiert
  • Doku­men­tiert

Das Recht auf Wider­ruf der Ein­willi­gung muss so EINFACH sein wie das Recht auf Ein­willi­gung!

DATENSPEICHERUNG

Während die Verpflich­tung, per­so­n­en­be­zo­gene Dat­en nicht länger als erforder­lich zu spe­ich­ern, bere­its in der Richtlin­ie 95/46/EG vorgeschrieben war, ver­langt die DSGVO von den für die Ver­ar­beitung Ver­ant­wortlichen, den Zeitraum, für den die per­so­n­en­be­zo­ge­nen Dat­en gespe­ichert wer­den, oder die Kri­te­rien zur Bes­tim­mung dieses Zeitraums anzugeben.

AUSNAHME — Dat­en, die im öffentlichen Inter­esse für Archivierung, Sta­tis­tik, wis­senschaftliche und his­torische Forschung gespe­ichert sind, kön­nen auf unbes­timmte Zeit auf­be­wahrt wer­den.

MEHR KONTROLLE

Obwohl die Richtlin­ie bere­its bes­timmte Rechte vor­sieht (das Recht auf Information/Auskunft, das Recht auf Zugang, das Recht auf Berich­ti­gung, das Recht auf Ein­schränkung der Ver­ar­beitung, das Recht auf Wider­spruch und das Recht, nicht ein­er automa­tisierten Entschei­dungs­find­ung unter­zo­gen zu wer­den), bestand das Hauptziel der Verord­nung darin, den Bürg­ern mehr Kon­trolle über ihre per­so­n­en­be­zo­ge­nen Dat­en zu geben.

Mit der DSGVO wur­den fol­gende zusät­zliche Rechte einge­führt:

  1. das Recht auf Löschung (auch bekan­nt als das Recht auf Vergessen­wer­den);
  2. das Recht auf Datenüber­trag­barkeit.

Die oben genan­nten Rechte sind NICHT ABSOLUT und müssen in der Regel inner­halb von 1 Monat beant­wortet wer­den.

FAZIT

Ins­ge­samt kann man zu dem Schluss kom­men, dass es bei der DSGVO keinen ein­heitlichen Ansatz gibt, der für alle Unternehmen passt. Unbe­strit­ten ist, dass Unternehmen umfassende und angemessene Maß­nah­men ergreifen soll­ten, um den Daten­schutz zu wahren und das Risiko von Ver­stößen zu min­imieren.

Die dig­i­tale Zukun­ft Europas kann nur auf Ver­trauen aufge­baut wer­den. Mit soli­den gemein­samen Stan­dards für den Daten­schutz kön­nen Men­schen sich­er­stellen, dass sie die Kon­trolle über ihre per­so­n­en­be­zo­ge­nen Dat­en haben.” — Andrus Ansip.

About Dr. Yanika Micallef

Dr. Yani­ka Micallef was born on the 10th of June 1995. She obtained her War­rant under the Laws of Mal­ta in 2019 after suc­cess­ful­ly com­plet­ing her Bach­e­lor of Laws (Hon­ours) in 2017 and Mas­ter of Advo­ca­cy in 2018 from the Uni­ver­si­ty of Mal­ta. She suc­cess­ful­ly sub­mit­ted and defend­ed her dis­ser­ta­tion enti­tled ‘The Notion of Excus­abil­i­ty in Error as a Vice of Con­sent’ in 2017.

View All Posts

Kommentar hinterlassen

Ihre E-Mail Adresse wird nicht veröffentlicht.