Wir leben in einer datengetriebenen Welt – in allen Bereichen unseres Lebens haben wir mit der Sammlung, Verarbeitung und Speicherung von Daten zu tun. Kein Wunder also, dass die bisherige Datenschutzrichtlinie (Richtlinie 95/46/EG) mit den rasanten technologischen Entwicklungen nicht mehr mithalten konnte.
Aus diesem Grund hat die Europäische Kommission 2012 Gesetzgebungsvorschläge zur Reform des Datenschutzes in der gesamten Europäischen Union veröffentlicht. Ziel ist es, Europa „fit für das digitale Zeitalter“ zu machen.
Im Mittelpunkt dieser Gesetzesreform steht die Einführung der Allgemeinen Datenschutzverordnung („die DSGVO“), die darauf abzielt, Folgendes zu erreichen:
Wichtigste Änderungen durch die DSGVO
DATENVERARBEITER
Die DSGVO gilt für zwei Arten von Datenverarbeitern – Daten-Verantwortliche und Auftragsverarbeiter.
Eine betroffene Person (Data Subject) ist jede direkt oder indirekt identifizierbare Person, deren personenbezogene Daten von den Datenverarbeitern erhoben, verarbeitet, aufbereitet und gespeichert werden, z.B. Bewerber, Mitarbeiter, Kunden und Nutzer der Website.
Ein Daten-Verantwortlicher (Data Controller) ist eine natürliche oder juristische Person, die allein oder gemeinsam die Zwecke, die Mittel und die Art und Weise der Verarbeitung personenbezogener Daten bestimmt.
Ein Auftragsverarbeiter (Data Processor) ist eine eigenständige natürliche oder juristische Person, die vom Daten-Verantwortlichen beauftragt wird, personenbezogene Daten in seinem Namen und auf seine strengen Anweisungen hin zu verarbeiten.
ERHÖHTE RECHTSSICHERHEIT
Ein einziges Gesetz, das den Datenschutz in ganz Europa regelt, trägt zur Überwindung der bisher verwirrenden Situation bei. Denn bisher hatte jedes Mitgliedsland seine eigenen nationalen Gesetze, die sich in Vorschriften und Sanktionen zwischen einzelnen Mitgliedländern stark unterschieden haben.
ERWEITERUNG DES TERRITORIALEN GELTUNGSBEREICHS
Während es nach der Richtlinie 95/46/EG vage blieb, ob sie auch außerhalb der EU anwendbar wäre, macht die Verordnung deutlich, dass der geografische Standort kein Faktor ist und für Unternehmen gilt, die:
- die Waren oder Dienstleistungen in der EU anbieten;
- Informationen, die EU-Bürgern/Anwohnern gehören, erheben, verarbeiten und speichern, unabhängig davon, ob die Tätigkeit in der EU stattfindet oder nicht.
Wenn ich also beschließe, in China Urlaub zu machen und in einem Hotel zu übernachten, ist das Hotel immer noch verpflichtet, meine Daten und meine Rechte zu schützen, da das Hotel Daten erhebt, die sich auf einen EU Bürger beziehen,
VERSCHÄRFTE SANKTIONEN
Nach der alten Richtlinie variierten die Geldbußen von Land zu Land. So waren beispielsweise die Geldbußen nach dem alten Datenschutzgesetz (Kapitel 440 der maltesischen Gesetze) nicht höher als 23.000 €.
Nach der neuen Verordnung kann das Amt des Informations- und Datenschutzbeauftragten (Information and Data Protection Commissioner – „IDPC“) Geldbußen verhängen, die ab 10 Mio. EUR oder 2 % des globalen Jahresumsatzes beginnen und je nach Schwere der Verletzung auf maximal 20 Mio. EUR oder 4 % des globalen Jahresumsatzes steigen können.
DIE VERHÄNGUNG EINER ANGEMESSENEN STRAFE IST NICHT KLAR!
ABER es gilt dabei folgendes zu beachten:
- Art, Schwere und Dauer der Verletzung;
- Der vorsätzliche oder fahrlässige Charakter der Verletzung;
- Alle Maßnahmen, die ergriffen werden, um den Schaden für die betroffenen Personen zu begrenzen;
- Der Grad der Verantwortung;
- Alle früheren Verstöße.
NEUE VERPFLICHTUNGEN
Konformitätsnachweis – Neben der Einführung angemessener technischer und sicherheitstechnischer Maßnahmen sind die Verantwortlichen dafür verantwortlich, die durchgeführten Maßnahmen, ihre Wirksamkeit und die Art und Weise, wie sie überprüft und aktualisiert werden, zu dokumentieren.
Transparenz – Die für die Verarbeitung Verantwortlichen sind grundsätzlich verpflichtet, die betroffenen Personen über ihre Rechte und die Art und Weise, wie ihre personenbezogenen Daten erhoben, verwendet und gespeichert werden, auf einfache und präzise Weise zu informieren.
Ernennung eines Datenschutzbeauftragten („DSB“) – Um die Einhaltung der Vorschriften zu erleichtern, sind öffentliche Stellen (gesetzlich) verpflichtet, einen DSB zu ernennen. Der DSB ist dafür verantwortlich, regelmäßige Überprüfungen und Bewertungen durchzuführen, eine Datenschutzkultur zu fördern und als Brücke zwischen dem Unternehmen, den betroffenen Personen und der Regulierungsbehörde zu fungieren.
Überwachung von Auftragsverarbeitern – Die Verantwortlichen müssen eine detaillierte Due Diligence durchführen, um sicherzustellen, dass die Datenverarbeiter ausreichende Garantien (d.h. Sicherheitskontrollen) im Einklang mit den Anforderungen der DSGVO bieten.
HAFTUNGSPFLICHT
Während die für die Datenverarbeitung Verantwortlichen im Rahmen der Richtlinie 95/46/EG als eine Art Verteidigung für die Datenverarbeiter fungierten, können die betroffenen Personen nach der neuen Verordnung direkt gegen die Datenverarbeiter vorgehen und Schadensersatz für einen materiellen oder immateriellen Schaden verlangen.
VERLETZUNGSMELDUNG
Nach der alten Richtlinie war eine solche Meldung nur für den Bereich der elektronischen Kommunikation obligatorisch.
JETZT ist jede Organisation, die Daten sammelt, verarbeitet und/oder speichert, verpflichtet, Datenschutzverletzungen innerhalb von 72 Stunden, einschließlich Wochenenden und Feiertagen, an die Aufsichtsbehörde zu melden. Wenn dies nicht innerhalb der gesetzten Frist geschieht und die betroffenen Personen ein hohes Risiko tragen, wäre die Haftung des für die Verarbeitung Verantwortlichen viel höher, da es sich um eine gesetzlich vorgeschriebene Verpflichtung handelt.
DATENSCHUTZ – ABSICHTLICH & VON ANFANG AN
Von Anfang an, vor dem Kauf eines neuen Systems, der Einleitung eines neuen Prozesses oder der Eröffnung einer neuen Servicelinie, müssen die Verantwortlichen sicherstellen, dass der Datenschutz gewährleistet ist.
Verantwortliche müssen sicherstellen, dass:
- das Prinzip der Datenminimierung angewandt wird – es sollten nur Daten erhoben werden, die unbedingt erforderlich sind. Daher ist die Erhebung von Daten für die zukünftige Nutzung keine Ausrede mehr;
- die Verarbeitung auf den Zweck beschränkt ist, für den die Daten erhoben wurden (Zweckbindung);
- die Daten durch Verschlüsselung, Anonymisierung, sichere Passwörter, Backups geschützt sind. Dies ist jedoch kein 100% unfehlbares System;
- Vorab-Folgenabschätzungen werden durchgeführt, wenn die Verarbeitung Daten betrifft, die für die betroffenen Personen mit Risiken verbunden sein können;
- die Daten nur von autorisiertem Personal eingesehen werden können, wenn dies unbedingt erforderlich ist; und
- die Verarbeitungstätigkeiten werden dokumentiert.
VEREINFACHTE STRUKTUR DER EINWILLIGUNG
Einwilligung muss folgenden Anforderungen entsprechen:
- Freiwillig erteilt
- Spezifisch
- Positives Opt-In
- Unmissverständlich
- Informiert
- Dokumentiert
Das Recht auf Widerruf der Einwilligung muss so EINFACH sein wie das Recht auf Einwilligung!
DATENSPEICHERUNG
Während die Verpflichtung, personenbezogene Daten nicht länger als erforderlich zu speichern, bereits in der Richtlinie 95/46/EG vorgeschrieben war, verlangt die DSGVO von den für die Verarbeitung Verantwortlichen, den Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder die Kriterien zur Bestimmung dieses Zeitraums anzugeben.
AUSNAHME – Daten, die im öffentlichen Interesse für Archivierung, Statistik, wissenschaftliche und historische Forschung gespeichert sind, können auf unbestimmte Zeit aufbewahrt werden.
MEHR KONTROLLE
Obwohl die Richtlinie bereits bestimmte Rechte vorsieht (das Recht auf Information/Auskunft, das Recht auf Zugang, das Recht auf Berichtigung, das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch und das Recht, nicht einer automatisierten Entscheidungsfindung unterzogen zu werden), bestand das Hauptziel der Verordnung darin, den Bürgern mehr Kontrolle über ihre personenbezogenen Daten zu geben.
Mit der DSGVO wurden folgende zusätzliche Rechte eingeführt:
- das Recht auf Löschung (auch bekannt als das Recht auf Vergessenwerden);
- das Recht auf Datenübertragbarkeit.
Die oben genannten Rechte sind NICHT ABSOLUT und müssen in der Regel innerhalb von 1 Monat beantwortet werden.
FAZIT
Insgesamt kann man zu dem Schluss kommen, dass es bei der DSGVO keinen einheitlichen Ansatz gibt, der für alle Unternehmen passt. Unbestritten ist, dass Unternehmen umfassende und angemessene Maßnahmen ergreifen sollten, um den Datenschutz zu wahren und das Risiko von Verstößen zu minimieren.
„Die digitale Zukunft Europas kann nur auf Vertrauen aufgebaut werden. Mit soliden gemeinsamen Standards für den Datenschutz können Menschen sicherstellen, dass sie die Kontrolle über ihre personenbezogenen Daten haben.” – Andrus Ansip.