Die Europäische Datenschutzgrundverordnung

Änderungen für Verbraucher und Unternehmen

Das Wichtigste zur europäischen Datenschutzgrundverordnung (EU-DSGVO) in Kürze

  • Die europäische Datenschutzgrundverordnung (EU-DSGVO) wird am 25. Mai 2018 in der gesamten Europäischen Union wirksam und sorgt dann für eine einheitliche Regelung zum Schutz von personenbezogenen Daten.
  • Insbesondere Unternehmen müssen sich mit den Änderungen befassen: Die Umsetzung der EU-DSGVO ist mit weitreichenden Pflichten verbunden. Hohe Sanktionen schrecken vor Zuwiderhandlungen ab.
  • Gleichzeitig kommen mit der europäischen Datenschutz-Grundverordnung Änderungen, die die Verbraucherrechte ausweiten, zum Beispiel bei Auskunft und Löschung. Neu ist auch das Recht auf Datenübertragbarkeit.

EU-DSGVO: Die EU-Datenschutzgrundverordnung

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) findet ab dem 25. Mai 2018 in der gesamten Europäischen Union Anwendung – also auch in Deutschland. Doch was hat es mit der EU-DSGVO auf sich? Und was ändert sich eigentlich konkret für Verbraucher und Unternehmen?

Die europäische Datenschutzgrundverordnung (EU-DSGVO) vereinheitlicht die Regelungen zum Datenschutz in der EU. In Deutschland galt bisher das Bundesdatenschutzgesetz (BDSG), welches die alte europäische Datenschutzrichtlinie umsetzt. Im Gegensatz dazu wird die DSGVO unmittelbar geltendes Recht.

Um die EU-DSGVO besser zu verstehen, sollen zunächst einige Grundbegriffe erläutert werden. Anschließend geht es um die konkreten Änderungen zum einen für Unternehmen und zum anderen für Privatpersonen.

Die Haupt-Beteiligten der EU-DSGVO: Personenbezogene Daten

Die EU-DSGVO regelt den Datenschutz. Allerdings geht es nicht um irgendwelche Daten, sondern ganz speziell um die sogenannten personenbezogene Daten.

Was ist damit genau gemeint? Hierunter fallen alle Angaben, die sich einer bestimmten natürlichen Person (also einem Menschen) zuordnen lassen und sie dadurch identifizieren oder identifizierbar machen kann (Art. 4 Abs. 1 EU-DSGVO).

Beispiele für personenbezogene Daten sind:

  • Name
  • Geburtsdatum
  • Kontaktdaten wie
    • Adressen und
    • Telefonnummer
  • Kontodaten
  • Sozialversicherungsnummern

Besondere Arten personenbezogener Daten, die in höherem Maße sensibel sind, unterliegen einem verschärften Schutz. In diese Kategorie fallen Angaben zu:

  • Rassischer und ethnischer Herkunft
  • Politischen Meinungen
  • Religiösen oder weltanschaulichen Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Gesundheit und Sexualität

Diese Daten dürfen nur mit ausdrücklicher Einwilligung der betroffenen Person verarbeitet werden.

Weitere wichtige Begriffe zur EU-DSGVO

Ausgehend von den personenbezogenen Daten geht es in DSGVO und BDSG vor allem um deren Verarbeitung:
Im Sinne der DSGVO wird hierunter jeder Vorgang verstanden, der mit personenbezogenen Daten zu tun hat. Dazu zählen zum Beispiel deren Erhebung, Speicherung oder auch deren Löschung. Den Grundsatz bildet dabei das Verbot mit Erlaubnisvorbehalt: Dieses sagt aus, dass die Verarbeitung personenbezogener Daten zunächst grundsätzlich verboten ist – außer es liegt eine ausdrückliche Erlaubnis vor. Diese kann in folgenden zwei Formen vorliegen:

  • Gesetzliche Regelung
  • Einwilligung des Betroffenen

Was ändert sich mit der EU-DSGVO für Unternehmen?

Die EU-DSGVO bringt einige Neuerungen mit, welche die Unternehmen in Sachen Datenschutz noch stärker in die Pflicht nehmen. Zum Teil sind diese für deutsche Unternehmen gar nicht so neu, da sie bereits im Bundesdatenschutzgesetz bestanden.

Zum Beispiel muss laut EU-DSGVO ein Datenschutzbeauftragter bestellt werden, wenn die Datenverarbeitung eine Kerntätigkeit des Unternehmens ist und einen großen Umfang aufweist.

Da in Deutschland bereits ein Datenschutzbeauftragter vor der EU-DSGVO vorgesehen war, müssen Unternehmen hier nur mit Anpassungen im Detail rechnen. Im Rest Europas stellt dies aber zum Teil eine größere Änderung dar. Welche Neuerungen die DSGVO mit ihrem Inkrafttreten konkret für Unternehmen mit sich bringt, stellen wir nun im Folgenden vor.

WICHTIG: In diesem und anderen Punkten erlaubt die EU-DSGVO mit sogenannten Öffnungsklauseln eine nationale Regelung der Details – in Deutschland erfolgt diese durch das neue BDSG (BDSG_neu).

Neuerungen und Pflichten für Unternehmen nach der EU-DSGVO

Anwendungsbereich:
Die neue Datenschutzverordnung gilt nicht nur für alle Unternehmen, die ihren Sitz in der EU haben, sondern auch für außereuropäische, die auf dem europäischen Markt tätig sind oder personenbezogene Daten von EU-Bürgern verarbeiten.
Sanktionen:
Sehr empfindlich fallen jetzt die von der EU-Datenschutz-Grundverordnung vorgesehenen Konsequenzen bei Nichteinhaltung der Regelungen aus. Die Geldbußen können bis zu 20 Mio. Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes betragen.
Privacy by Design:
Die EU-DSGVO setzt beim Datenschutz schon früh an. So sollen technische Maßnahmen, die dem Schutz personenbezogener Daten dienen, bereits bei der Entwicklung von Vorgängen mit einbezogen werden. Im Sinne der EU-DSGVO soll “Privacy by Design“ also dafür sorgen, dass Datenschutz von vornherein zum Standard gehört.
Privacy by Default:
Privacy by Default ist mit dem vorherigen Punkt verwandt. Hier geht es darum, dass die Voreinstellungen bereits datenschutzfreundlich sein sollen, so dass die personenbezogenen Daten von Verbrauchern auch ohne besondere Anpassungen von vornherein geschützt sind.
Meldepflicht:
Wenn der Schutz personenbezogener Daten verletzt wurde, etwa durch eine Datenpanne, muss das Unternehmen dies innerhalb von 72 Stunden melden. Allerdings besteht eine solche Pflicht nicht, wenn diese Verletzung “voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ (Art. 33 EU-DSGVO). Diese Einschränkung stellt eine deutliche Abschwächung der Regelung dar.

Im Vergleich zum alten BDSG bringt die EU-DSGVO Neuerungen, welche die Rechte betroffener Personen stärken. Zum Teil ergeben diese sich aus den oben dargestellten Pflichten für die Unternehmen. So schützen die Meldepflicht und die Vorgabe des voreingestellten Datenschutzes die Rechte der Verbraucher.

Auch die Vereinheitlichung der Regeln innerhalb der Europäischen Union sowie die Androhung hoher Sanktionen für Unternehmen, die der EU-DSGVO zuwiderhandeln, stärken insgesamt die Position von Verbrauchern.
Einige spezifische Verbesserungen, welche die EU-DSGVO in der EU für Verbraucher bringt, werden im Folgenden näher beleuchtet.

Einzelne Verbesserungen für Verbraucher

Datenportabilität:
Betroffene haben mit der DSGVO das Recht, ihre personenbezogenen Daten zu einem anderen Anbieter mitzunehmen. Hierzu müssen die Daten in einem sicheren und gängigen Format entweder an die neu Stelle oder die betreffende Person ausgehändigt werden. Dieses Recht auf Datenübertragbarkeit erleichtert dem Verbraucher einen Wechsel.
Einwilligung in die Datenverarbeitung:
Diese muss stets freiwillig erfolgen – so besagt z. B. das Koppelungsverbot, dass ein Vertrag nicht von einer Einwilligung in eine nicht erforderliche Verarbeitung abhängen darf. Zudem kann der Betroffene laut EU-DSGVO seine Einwilligung zu jedem Zeitpunkt widerrufen.
Recht auf Löschung:
Dieses ist erstmals in Art. 17 EU-DSGVO festgeschrieben. Verarbeitende Stellen müssen die Daten löschen, sobald beispielsweise der Zweck wegfällt oder die Einwilligung widerrufen wird.
Auskunftsrecht:
Auch in diesem Bereich wurden die Rechte der Verbraucher erweitert. Nach Artikel 15 EU-DSGVO beinhaltet dies nun zum Beispiel nicht nur die Auskunft über den Zweck der Datenverarbeitung, sondern auch über die Dauer und die bestehenden Rechte in Verbindung mit dieser (z. B. Widerrufsrecht, Beschwerderecht, Recht auf Löschung).