Was ist die Datenschutzgrundverordnung ( DSGVO )?
Die EU Datenschutzgrundverordnung (EU-DSGVO) ist eine neue EU-Verordnung – also eine Rechtsvorschrift, die für die gesamte Europäische Union gilt. Die Vorschrift regelt also das Datenschutzrecht – den Umgang von Unternehmen mit personenbezogenen Daten natürlicher Personen – einheitlich und europaweit.
Wann tritt die DSGVO in Kraft?
Schon im März 2016 ist die DSGVO in Kraft getreten, gilt aber erst ab dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedsstaaten.
Was bedeutet das?
Viele der Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten dann nicht mehr bzw. wird das BDSG zeitgleich neu gefasst. Das BDSG-neu ergänzt, konkretisiert und modifiziert die DSGVO. Es beinhaltet beispielsweise spezielle Regelungen im Bereich Beschäftigtendatenschutz, für Bonitätsauskünfte, das sogenannte Profiling, sowie zum betrieblichen Datenschutzbeauftragten.
Hintergrund zum BDSG-neu
Die EU-DSGVO enthält sogenannte Öffnungsklauseln. Bei diesen Klauseln handelt es sich um Regelungen, die dazu führen, dass bestimmte Datenschutzthemen auf nationaler Ebene geregelt werden dürfen oder müssen. Die Öffnungsklauseln betreffen zum Beispiel die Rechtmäßigkeit der Datenverarbeitung, die Einschränkung von Betroffenenrechten oder die Pflicht zur Bestellung eines Datenschutzbeauftragten. Der deutsche Gesetzgeber hat von diesen Öffnungsklauseln umfassend Gebrauch gemacht: Das BDSG-neu ergänzt, konkretisiert und modifiziert also die DSGVO in vielen Themenbereichen.
Was ist das Ziel der DSGVO (und somit auch des BDSG-neu)
Die Datenschutzverordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten und vereinheitlicht das Datenschutzrecht innerhalb der EU. Bisher galten in jedem Mitgliedsstaat verschiedene Datenschutzgesetze und damit unterschiedliche Standards. Unternehmer können also zukünftig weitestgehend darauf vertrauen, dass innerhalb der EU ein überwiegend einheitliches Datenschutzrecht gilt.
Muss die EU-Verordnung nicht erst umgesetzt werden?
Die EU-Datenschutzgrundverordnung ist, wie der Name schon sagt, eine Verordnung. Verordnungen müssen die Mitgliedstaaten nicht extra in nationales Recht umsetzen. Sie gelten, anders als EU-Richtlinien unmittelbar. Allerdings haben die Mitgliedstaaten in einigen Bereichen durch die enthaltenen Öffnungsklauseln auch Gestaltungsspielräume, sodass es keine 100%ig einheitliche Rechtslage in der Europäischen Union geben wird.
Wann ist ein Datenschutzbeauftragter Pflicht?
Wenn Sie,
1. Besondere Kategorien von Daten gemäß Artikel 9 der DSGVO verarbeiten oder
2. Ihre „Kerntätigkeit“ eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“ betrifft.
Allerdings ist zu beachten, dass nach Artikel 37 Abs. 4 DSGVO ein Datenschutzbeauftragter darüber hinaus dann zu bestellen ist, wenn dies nach dem Recht der Mitgliedsstaaten vorgesehen ist.
Für wen gilt die DSGVO?
Gemäß Artikel 3 DSGVO:
1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
2.1. betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
2.2. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.
DAS BEDEUTET:
Die Verordnung gilt für jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten erhebt, verarbeitet oder in irgendeiner Art und Weise nutzt. (z.B. durch das Bereitstellen von Newsletter und Kontaktformular auf einer Website oder einem Onlineshop)
Dabei spielt es keine Rolle, ob das Unternehmen den Sitz in einem Mitgliedsstaat der EU hat oder nur die personenbezogenen Daten eines EU-Bürgers erhebt/verarbeitet (wie beispielsweise Google, Facebook, Instagram oder Whatsapp)
Was bedeutet das für mich und/oder mein Unternehmen?
Die DSGVO ändert einiges am Datenschutzrecht. In Deutschland existiert aber bereits ein recht hohes Datenschutzniveau, daher kommen auf Händler nur wenige Änderungen zu. Die Unternehmer in Deutschland, die sich schon vorher um den Datenschutz gekümmert haben, hier also im Vorteil.
1. Für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten bedarf es der Einwilligung der betroffenen Person sofern es keine Notwendigkeit der Datenverarbeitung für die Durchführung eines Vertrags oder ein legitime Interesse des Datenverarbeiters vorliegt.
2. Es dürfen nur die notwendigen und erforderlichen Daten erhoben und verarbeitet werden.
3. Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht für einen anderen Zweck weiterverarbeitet werden.
4. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für die Identifizierung der betroffenen Personen und für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
5. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn:
– Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
– Die betroffene Person widerruft ihre Einwilligung.
– Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
– Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
6. Das Recht auf Datenübertragbarkeit ermöglicht es, die eigenen personenbezogenen Daten zu einem anderen Anbieter „mitzunehmen“. Die betroffene Person kann von dem Datenverantwortlichen verlangen, seine personenbezogenen Daten in einem „gängigen Format“ an einen anderen Verantwortlichen weiterzugeben.
7. Verstöße gegen die EU-DSGVO können mit Bußgeldern geahndet werden. Der Bußgeldrahmen beträgt bis zu 20 Mio. EUR oder 4 Prozent des gesamten weltweiten erzielten Jahresumsatzes.
8. Auf Aufforderung der Aufsichtsbehörde müssen Datenverantwortliche die Einhaltung aller Datenschutzprinzipien nachweisen können.
9. WICHTIG!
Gemäß Artikel 12 DSGVO muss der Verantwortliche geeignete Maßnahmen treffen, um der betroffenen Person alle Informationen gemäß dem Artikel 13 und Artikel 14 und alle Mitteilungen gemäß den Artikeln 15 bis Artikel22 und Artikel 34, die sich auf die Datenverarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln. Des Weiteren erleichtert der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis Artikel 22.
Erfahren Sie mehr über die Möglichkeit einen externen Dantenschutzbeauftragten zu bestellen.
Zum vollständigen Inhaltsverzeichnis der Datenschutzgrundverordnung mit passenden Verweisen zum neuen Bundesdatenschutzgesetz.
Wir weisen darauf hin, dass wir als Full-Service Agentur nicht dazu berechtigt sind Rechtsberatungen durchzuführen. Wenn Sie konkrete Fragen zu der Datenschutzgrundverordnung und den Auswirkungen haben, lassen Sie sich bitte von einem Fachanwalt beraten oder kontaktieren Sie Online-Dienstleister für Rechtstexte, wie beispielsweise den Händlerbund. Der obige Blogbeitrag stellt lediglich die bereits öffentlich zur Verfügung stehenden Informationen zusammen.