Worum handelt es sich bei der Datenschutz-Grundverordnung?
Bei der Datenschutz-Grundverordnung handelt es sich um eine Verordnung, die in der gesamten EU gültig ist. Diese Verordnung gibt Unternehmen und anderen Organisationen die Art und Weise des Schutzes personengebundener Daten vor. Es ist die bedeutendste Initiative im Rahmen des Datenschutzes innerhalb der letzten 20 Jahren und wirkt sich weltweit entscheidend auf Organisationen aus, die im Dienste von EU-Kunden tätig sind.
Dass Menschen kontrollieren können, inwiefern ihre Daten genutzt und geschützt werden, gehört zu den „grundsätzlichen Rechten und Freiheiten natürlicher Personen“. Deshalb bestehen rechtlich strenge Vorgaben zu den Themen Abwicklungsverfahren, Transparenz, Dokumentation und Einwilligung der Nutzer.
Jedes Unternehmen ist verpflichtet, die Abwicklung personengebundener Daten aufzuzeichnen und zu überwachen.
Dies betrifft personengebundene Daten, die innerhalb der Organisation, aber auch von Dritten (sogenannte Datenprozessoren) verarbeitet werden.
Der Begriff „Datenprozessor“ kann z. B. auf Software-as-a-Service-Anbieter, auf integrierte Dienste Dritter sowie auf die Nachverfolgung und Profilierung von Besuchern der Unternehmenswebseite verweisen.
Datenverantwortliche, wie auch Datenprozessoren, müssen in der Lage sein, Auskunft zu geben über die Art und Weise der zu verarbeitenden Daten, den Zweck der Verarbeitung sowie über die Staaten und Dritte, an und über die die Daten versandt werden. Daten dürfen nur an Organisationen versandt werden, die sich der Konformität gegenüber der Datenschutz-Verordnung ebenfalls verpflichtet haben oder an solche, die sich in „angemessenen“ Rechtsprechungsgebieten befinden.
Die Verarbeitung personengebundener Daten ist nur nach vorherigem Einverständnis rechtskonform. Das bedeutet: Ein solches Einverständnis muss im Vorfeld eines jeglichen Datenverarbeitungsschritts auf der Grundlage eindeutiger und spezifischer Informationen über Datentypen und Verarbeitungszwecke erfolgen. Bei sensiblen personengebundenen Daten muss ein ausdrückliches Einverständnis vorliegen, welches dessen Wichtigkeit im Rahmen der Verarbeitung personengebundener Daten hervorhebt.
Alle Einverständniserklärungen gelten als Nachweis und müssen in diesem Sinne archiviert werden.
Für Personen besteht nun das „Recht auf Datenübertragbarkeit“, „Datenzugriff“, „Datenlöschung“ sowie das „ständige Recht auf Widerruf ihres Einverständnisses“. In solchen Fällen ist der Datenverantwortliche zur Löschung personengebundener Daten verpflichtet, sofern der ursprüngliche Zweck der Datenerhebung die Datenaufbewahrung nicht mehr erfordert.
Bei Datenschutzverletzungen muss das Unternehmen die Datenschutzbehörden und die mit den Daten verknüpften Personen innerhalb von 72 Stunden benachrichtigen.
Weiterhin verpflichtet die Datenschutz-Verordnung öffentliche Behörden und Unternehmen, im Rahmen der Verarbeitung sensibler Daten in großem Umfang einen Datenschutzbeauftragten einzusetzen. Dieser muss Maßnahmen zur Konformität mit der Datenschutz-Verordnung innerhalb des gesamten Unternehmens ergreifen.
Im Zuge des „Brexits“ plant die Regierung Großbritanniens, mit der Datenschutz-Verordnung im Einklang stehende Gesetzgebungen zu erlassen.
Welche Bedeutung hat die Datenschutz-Verordnung für meine Website?
Sofern Ihre Website EU-Kunden bedient und Sie – bzw. integrierte Dienste Dritter (z. B. Facebook, Google) – personengebundene Daten verarbeiten, sind Sie zur vorherigen Einholung des Einverständnisses der Anwender verpflichtet.
Die Grundlage dessen bildet Ihre Beschreibung des Ausmaßes und des Zweckes der Datenvereinbarung in leicht verständlicher Ausdrucksweise, die einem Anwender vor jeglichen Datenverarbeitungsschritten vorliegen müssen.
Informationen dieser Art müssen dem Website-Besucher gegenüber jederzeit sichtbar bleiben, z. B. als Bestandteil Ihrer Datenschutzrichtlinien. Des weiteren sind Sie verpflichtet, dem Website-Besucher benutzerfreundlich die Änderung oder den Widerruf seines Einverständnisses zu ermöglichen.
Sämtliche Einverständniserklärungen müssen als Nachweis protokolliert und jegliche Nachverfolgung personengebundener Daten, auch durch die integrierten Dienste Dritter, müssen dokumentiert werden. Dies schließt die Angabe von Staaten ein, in die die Daten übermittelt werden.
Worauf verweist der Begriff „personengebundene Daten“?
Die Datenschutzverordnung definiert persönliche Daten als „Daten/Informationen, die mit identifizierten oder identifizierbaren natürlichen Personen („Datensubjekten“) verknüpft sind. Identifizierbare natürliche Personen können direkt oder indirekt, im Besonderen durch Verweis auf Identifizierungsmerkmale (Namen, ID-Nr., Ortsdaten u. a.) sowie Online-Identifizierungsmerkmale aus mindestens einem Faktor hinsichtlich der konkreten physischen, physiologischen, genetischen, mentalen, ökonomischen, kulturellen oder soziologischen Gegebenheiten im Zusammenhang mit dieser natürlichen Person identifiziert werden.“
Online-Identifizierungsmerkmale, wie etwa IP-Adressen, gelten als personengebundene Daten, sofern sie nicht gezielt anonymisiert werden.
Pseudonymisierte persönliche Daten sind ebenfalls Gegenstand der Datenschutz-Verordnung, sofern durch eine technische Zurückentwicklung der Daten die Möglichkeit der personengebundenen Zuordnung gegeben ist.
Bußgelder und Strafen der Datenschutz-Verordnung:
Unternehmen, die gegen die o. g. Verordnung verstoßen, werden mit Geldbußen von bis zu 20 Mio. EUR oder 4 % ihres Jahresumsatzes belegt, je nachdem, welcher Betrag höher ausfällt.
