EU DSGVO: Worum handelt es sich und wie funktioniert es?

Einführung in die EU-Datenschutz-Grundverordnung (DSGVO)

Was ist die DSGVO und warum reden alle darüber? Die Datenschutz-Grundverordnung zielt darauf ab, den EU-Bürgern einen einheitlichen und harmonisierten Ansatz in Bezug auf den Schutz der Privatsphäre in der Europäischen Union zu bieten und die Rechte der Menschen auf Datenschutz gemäß Artikel 8 der EU-Charta der Grundrechte zu stärken. Nach fast vier Jahren der Beratung und Debatte wurde die DSGVO am 14. April 2016 vom EU-Parlament gebilligt.

Obwohl das Dokument 20 Tage nach Datum der Genehmigung gültig war, wurde das Datum der Vollstreckung zum 25. Mai 2018 festgelegt. Dies mag sehr viel Vorbereitungszeit sein, aber die Wahrheit ist, dass es, aufgrund wichtiger Änderungen, viele Dinge zu tun gibt. In diesem Artikel erfahren Sie alles über die DSGVO.

Verordnung vs. Richtlinie

Eine der ersten Änderungen und gleichzeitig eine grundlegende Änderung des früheren Datenschutzrahmens (EU-Datenschutzrichtlinie - Richtlinie 95/46/EU) besteht darin, dass das EU-Parlament nach vielen Debatten entschieden hat, dass der neue Datenschutzrahmen in Form einer Verordnung und nicht einer Richtlinie aufgebaut ist.

Warum eine Verordnung? Die Antwort ist einfach - eine Verordnung ist ein verbindlicher Rechtsakt, der direkt auf alle EU-Mitgliedstaaten anwendbar ist und die Notwendigkeit der Ausarbeitung lokaler Gesetzgebungsakte entfällt. Trotz der Notwendigkeit einer lokalen Gesetzgebung kann es jedoch Unterschiede geben, wie die EU DSGVO in verschiedenen Mitgliedstaaten ausgelegt und durchgesetzt wird.

Neben der Notwendigkeit eines gemeinsamen Datenschutzrahmens sendet die EU mit dem Erlass der EU DSGVO eine starke Botschaft in Bezug auf ihre Verpflichtung zum Schutz der personenbezogenen Daten von EU-Betroffenen (eine betroffene Person ist eine lebende Person, auf die sich die personenbezogene Daten beziehen) und nicht nur von Unternehmen, die innerhalb der EU tätig sind.

Die zusätzliche Reichweite von DSGVO

Abgesehen von der Frage, was die DSGVO genau ist, lautet eine häufig gestellte Frage, wo die EU DSGVO anwendbar ist. Die extraterritoriale Reichweite der DSGVO ist eines der neuen Merkmale, die wesentlich zum erhöhten Schutz personenbezogener Daten beitragen. Was bedeutet extraterritorial? Als eine wahrscheinlich der wichtigsten Änderungen wird die DSGVO  eine erweiterte Anwendbarkeit für Unternehmen, die nicht in der EU niedergelassen sind, genießen. Natürlich müssen einige Bedingungen erfüllt sein, damit die Extraterritorialität anwendbar ist. Die EU DSGVO wird auf die Verarbeitung personenbezogener Daten von EU-Betroffenen angewendet werden, unabhängig davon, ob die Verarbeitungstätigkeit in der EU stattfindet oder nicht. Die EU DSGVO gilt auch für Einrichtungen, die außerhalb der EU ansässig sind, wenn sie Waren oder Dienstleistungen für Einzelpersonen in der Union anbieten oder das Verhalten von Einzelpersonen in der Union überwachen (d.h. Profilierungstätigkeiten, Verfolgung von Einzelpersonen im Internet usw.).

Der Schlüssel zum Verständnis der Anwendbarkeit der DSGVO der EU besteht darin, die Bedeutung von "in der Union" zu verstehen. Die DSGVO der EU gilt nur für personenbezogene Daten von Personen innerhalb der Union, während die Staatsangehörigkeit oder der gewöhnliche Aufenthaltsort dieser Personen irrelevant ist. Zum Beispiel muss ein Unternehmen mit Sitz in der EU, das die Daten von Japanern in Japan verarbeitet, die EU DSGVO einhalten. Folglich werden diese Japaner von allen Rechten gemäß der EU DSGVO profitieren, auch wenn diese Rechte in den Gesetzen ihrer eigenen Nation nicht bestehen.

Wenn die Daten von EU-Bürgern außerhalb der EU von Unternehmen, die sich auch außerhalb der EU befinden, verarbeitet werden, gilt dies nicht als "in der Union". Zum Beispiel wird die EU DSGVO für eine Schule mit Sitz in den Vereinigten Staaten nicht gelten, nur weil die Möglichkeit besteht, dass einer oder mehrere ihrer Schüler EU-Bürger sein könnten. In diesem Fall findet die Verarbeitung nicht "in der Union" statt und auch die Einzelperson befindet sich nicht "in der Union".

Die extraterritoriale Reichweite hat unter anderem zur Folge, dass Unternehmen, die nicht in der EU ansässig sind, einen Vertreter ernennen müssen. Es ist nur eine begrenzte Ausnahmeregelung zulässig, wenn die Verarbeitung gelegentlich erfolgt, keine Verarbeitung sensibler personenbezogener Daten in großem Maßstab erforderlich ist und der Zweck und das Ergebnis der Verarbeitung wahrscheinlich keine Gefahr für Einzelpersonen darstellen.

Checkliste der von der EU DSGVO verlangten Pflichtdokumentation (in Englisch)

Kostenloses Whitepaper, das erklärt, welche Dokumente zu verwenden und wie sie zu strukturieren sind

Jetzt herunterladen

Grenzüberschreitende Datenübertragung

Bei der Übertragung von Daten legt die DSGVO strenge Einschränkungen für die Übermittlung an Orte außerhalb der Europäischen Union fest. Dies geschieht, um den Schutz personenbezogener Daten auf einem angemessenen Niveau zu gewährleisten. Wann dürfen Daten an Orte außerhalb der EU übertragen werden? Wie aus der DSGVO hervorgeht, kann die Übermittlung von Daten aus der EU erfolgen, wenn:

• es eine Angemessenheitsentscheidung der EU gibt (die EU hat festgestellt, dass in einem bestimmten Land Datenschutzgesetze gelten, die denen der EU gleichwertig sind)
• angemessene Schutzvorkehrungen bestehen (z. B. Verträge einschließlich der EU-Musterklauseln für die Übermittlung personenbezogener Daten)
• spezifische Ausnahmeregelungen gelten (z. B. eindeutige Einwilligung der betroffenen Person)

Datenübertragungen sind ein komplizierter Bereich der DSGVO, insbesondere weil die Frage der Einverständnis von der EU angefochten wird und die Einverständnis weithin verwendet wird, um die grenzüberschreitende Übertragung personenbezogener Daten zu rechtfertigen. Organisationen, die sich historisch durch die Einwilligung des Benutzers geschützt haben, werden sich möglicherweise dazu veranlasst sehen, ihren Datenübertragungsrahmen zu überarbeiten oder sich mit hohen Strafen konfrontiert sehen.

Personenbezogene Daten sichern

Die EU DSGVO verlangt, dass Unternehmen ihre personenbezogenen Daten sichern, genau wie dies die derzeitige Richtlinie verlangt. Obwohl diese Verpflichtung allgemein ausgedrückt ist, enthält sie einige Hinweise zu den Maßnahmen, die zum Schutz personenbezogener Daten gedacht sind, wie:

• Verschlüsselung und Pseudonymisierung
• die Gewährleistung und Aufrechterhaltung der Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit seiner IT-Systeme
• die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten rechtzeitig wiederherzustellen
• die Wirksamkeit der zum Schutz der Daten eingesetzten Sicherheitsmaßnahmen regelmäßig zu unterstützen und zu testen

Die oben genannten Maßnahmen sind nur Beispiele – sie sind nicht verbindlich - und sollten nur „gegebenenfalls" angewendet werden. Es liegt in der Verantwortung des Unternehmens nachzuweisen, dass Sicherheitsmaßnahmen angemessen sind.

Eine bewährte Verfahrensweise in Bezug auf Sicherheitsmaßnahmen wäre der ISO 27001 Standard, weshalb Unternehmen ihn als Ausgangspunkt für den Aufbau ihrer Datenschutzmaßnahmen nutzen könnten.

Checkliste der von der EU DSGVO verlangten Pflichtdokumentation (in Englisch)

Kostenloses Whitepaper, das erklärt, welche Dokumente zu verwenden und wie sie zu strukturieren sind

Jetzt herunterladen

Verantwortliche vs. Auftragsverarbeiter

Die EU DSGVO führt auch neue Sanktionen gegen Datenauftragsverarbeiter ein. Dies ist eine große Abweichung von den bisherigen Datenschutzgesetzen, bei denen sich alle Verpflichtungen um den Datenverantwortlichen drehten. Für ein besseres Verständnis der DSGVO ist es wichtig zu wissen, dass Datenverarbeiter nun unter anderem Aufzeichnungen über die Verarbeitungsaktivitäten führen müssen.

Und wer ist ein Datenverarbeiter? Wie bisher ist ein Datenauftragsverarbeiter eine Stelle (wie zum Beispiel eine juristische Person, eine Behörde, eine Einrichtung oder eine andere Stelle), die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

Neue Rechte für betroffene Personen

In einem wichtigen Update führte die EU DSGVO neue Rechte für betroffene Personen ein. Diese sind:

• Rechte auf Zugang, Berichtigung und Übertragbarkeit
• Recht Widerspruch zu erheben
• Rechte zur Löschung und Einschränkung der Verarbeitung

Die am weitesten verbreitete dieser Veränderungen ist das viel diskutierte „Recht auf Vergessenwerden" (das jetzt „Recht auf Löschung" genannt wird). Dieses Recht auf Löschung kann in bestimmten spezifischen Situationen ausgelöst werden, einschließlich der, wenn die betroffene Person ihre Zustimmung widerruft, oder wenn die Verarbeitung personenbezogener Daten nicht mehr gerechtfertigt ist.

Der Datenverantwortliche muss beim Empfang dieser Anforderungen „ohne unnötige Verzögerung" antworten und alle Stellen, mit denen er diese Daten geteilt hat, benachrichtigen. Es ist klar, dass es für alle Rechte der betroffenen Personen strenge Anforderungen für Datenverantwortliche gibt, um die gespeicherten personenbezogenen Daten zu inventarisieren und zuzuordnen, um auf alle Arten von Anfragen (in allen Formen) „ohne unnötige Verzögerung" reagieren zu können.

Entscheidung für oder gegen einen DSB

Gemäß der DSGVO besteht für einige Organisationen auch die Verpflichtung, einen Datenschutzbeauftragten zu ernennen, allerdings nur in bestimmten Fällen:

• wenn der Datenverantwortliche oder -auftragsverarbeiter eine Behörde ist
• wenn die Kernaktivitäten des Datenverantwortlichen oder Datenauftragsverarbeiters die „regelmäßige und systematische Überwachung der betroffenen Personen in großem Maßstab" sind
• wenn der Datenverantwortliche oder -auftragsverarbeiter bestimmte Kategorien personenbezogener Daten (wie Ethnizität, Rasse, politische Überzeugungen, religiöse Überzeugungen usw.) in großem Maßstab verarbeitet

Datenschutzverletzungen & Sicherheit

Neben der Einführung neuer Rechte für betroffene Personen stellt die EU DSGVO auch neue Regeln für Datenschutzverletzungen vor. Im Vergleich zur vorherigen Richtlinie sieht die DSGVO Verpflichtungen sowohl für Datenverantwortliche, als auch für Datenauftragsverarbeiter vor. Die DSGVO bietet auch Anleitungen und Beispiele an, um Organisationen die Risikominderung zu erleichtern. Dazu gehören:

• Pseudonymisierung personenbezogener Daten (das heißt, Verarbeitung von personenbezogenen Daten auf eine Weise, die nicht mehr einer bestimmten betroffenen Person ohne die Verwendung zusätzlicher Informationen zugeordnet werden kann)
• die Fähigkeiten, die Verfügbarkeit von (und Zugang zu) personenbezogenen Daten rechtzeitig nach physischen oder technischen Vorfällen wiederherzustellen
• die Fähigkeiten, Vertraulichkeit, Integrität und Widerstandsfähigkeit der Verarbeitungssysteme zu gewährleisten
• Hinzufügen von Prozessen zur regelmäßigen Überprüfung und Bewertung technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der verarbeiteten personenbezogenen Daten

Darüber hinaus müssen Unternehmen bei der Meldung von Datenschutzverletzungen jetzt Standards einhalten. Erstens müssen Organisationen, die eine Datenschutzverletzung erlitten haben, die Aufsichtsbehörde (unabhängige Behörde, die von einem Mitgliedstaat gemäß Artikel 51 der DSGVO eingerichtet wurde) „unverzüglich" unterrichten, es sei denn, die Verletzung stellt für die betroffenen Personen kein Risiko dar. Wenn ein Risiko für die betroffenen Personen besteht, müssen die Organisationen dies auch den betroffenen Personen ebenfalls „unverzüglich" mitteilen.

Geldbußen und Sanktionen im Rahmen der DSGVO

Damit die DSGVO erklärt werden kann, ist es äußerst wichtig zu wissen, dass der unsachgemäße Umgang mit Datenverletzungen mit der Höchststrafe im Rahmen der DSGVO geahndet werden kann.

Eine andere Weise, in der sich das Europäische Parlament zu seiner Verpflichtung gegenüber der Privatsphäre  bekennt, ist eine neue Strafe, die deutlich höher ist als die vorherige Richtlinie. Die Strafen können jetzt bis zu 4% des weltweiten Umsatzes des unter Verstoß stehenden Unternehmens betragen. Die Logik, die hinter den enormen Bußgeldern, die Kartellstrafen ähneln steht, ist recht einfach: Höhere Strafen für Nichteinhaltung führen zu höheren Stufen der Einhaltung. Es wird für Unternehmen immer schwieriger, ein gewisses Maß an Risiko beim Umgang mit personenbezogenen Daten zu akzeptieren, da die Strafen jetzt enorm hoch sind und ein Unternehmen in die Knie zwingen können.

Sanktionen im Rahmen der DSGVO werden hinsichtlich der Höhe der Geldbuße in zwei Kategorien unterteilt:

1. 1. Bis zu 2% des weltweiten Jahresumsatzes bzw. 10 Mio. € je nachdem, welcher Betrag höher ist, für Zuwiderhandlungen in folgenden Fällen:
   • Versäumnis, eine Datenschutzverletzung zu melden
   • Nichteinhaltung der Privatsphäre durch Gestaltungsprinzipien gemäß Artikel 25 der DSGVO
   • Versäumnis, einen Vertreter zu bestellen (wenn das Unternehmen außerhalb der EU ansässig ist)
   • Nichteinholung der Zustimmung bei der Verarbeitung der Daten von Kindern
   • fehlende angemessene Datenschutzklauseln in Verträgen mit Auftragsverarbeitern
   • Versäumnis einen Datenschutzbeauftragten zu bestellen
   • Versäumnis, schriftliche Aufzeichnungen zu führen
2. 1. Bis zu 4% des jährlichen weltweiten Umsatzes oder 20 Mio. €, je nachdem, welcher Wert höher ist, für schwerwiegendere Verstöße wie:
   • Nichteinhaltung der Grundsätze der legalen Datenverarbeitung gemäß der DSGVO
   • Nichteinhaltung der Bestimmungen im Zusammenhang mit personenbezogenen Datenübermittlungen außerhalb der EU
   • Nichteinhaltung der Rechte der betroffenen Personen

Die neuen Sanktionen werden auch durch zusätzliche Befugnisse ergänzt, die für die Datenschutzaufsichtsbehörden leicht zugänglich sind, etwa Warnungen vor Nichteinhaltung, Durchführung von Audits, die eine spezifische Sanierung innerhalb eines bestimmten Zeitraums erfordern, die Anweisung zur Löschung von Daten und Aussetzung von Datenübertragungen in ein Drittland.

Die Auswirkungen der DSGVO in verschiedenen Rechtsordnungen

Was ist mit den Auswirkungen der DSGVO in verschiedenen Rechtsordnungen? Die Auswirkungen der DSGVO könnten für Organisationen, die in Hoheitsgebieten wie Deutschland, Frankreich oder den Niederlanden tätig sind, bei denen das Datenschutzrecht historisch streng ist und in manchen Fällen die geltende Richtlinie sogar übertrifft, geringfügig abweichen. Die Einhaltung der DSGVO wird von Unternehmen, die in diesen Bereichen tätig sind, leichter erreicht, da die Aufsichtsbehörden in diesen Ländern bereits gewissenhaft daran gearbeitet haben, die Rechte und Freiheiten des Einzelnen zu schützen.

In anderen Rechtsordnungen, in denen die Datenschutzbehörden wegen fehlender Verwaltungsbefugnisse und fast unerheblicher Geldbußen „brachlagen", haben die Organisationen die Risiken für die Rechte und Freiheiten von Einzelpersonen ignoriert, da die Aufsichtsbehörden nicht über die Ressourcen oder die Stärke verfügten gegen Übertreter Strafen zu verhängen. Insbesondere werden die Auftragsverarbeiter in diesen Rechtsordnungen betroffen sein, da sie bisher nie Gegenstand von Ermittlungen der Datenschutzbehörden waren.

Ein Schritt vorwärts . . . ?

Welchen Stellenwert hat die DSGVO insgesamt? Sie ist zweifelsohne ein notwendiger Schritt in Bezug auf die Einbeziehung der datenschutzrechtlichen Rahmenbedingungen in das 21. Jahrhundert. In Verbindung mit der Verabschiedung der ePrivacy-Richtlinie hat sich das Datenschutzrecht nie radikaler verändert, vielleicht seit Louis Brandeis argumentierte, dass Privatsphäre ein Recht und kein Privileg sei.

Mit anderen Worten, wenn Ihre Organisation nicht bereits mit der Überarbeitung ihres Datenschutzrahmens begonnen hat, wäre jetzt ein guter Zeitpunkt, um damit zu beginnen.

Um mehr über die Implementierung von EU DSGVO zu erfahren, besuchen Sie bitte unsere Seite EU DSGVO Kostenloser Download. Dort finden Sie eine Vielzahl hilfreicher Ressourcen.