Snezhana DubrovskayaGesetzgebung
Datenschutzrichtlinie
Die Europäische Richtlinie 95/46/EG regelt die Verarbeitung personenbezogener Daten in der EU und wird ab dem 25. Mai 2018 durch die DSGVO ersetzt. In der Richtlinie wurden Mindeststandards eingeführt, die in jedem EU-Mitgliedstaat durch eine gesonderte Gesetzgebung umgesetzt werden mussten. Dies gab den Mitgliedstaaten die Möglichkeit, den Geltungsbereich der Richtlinie zu erweitern oder bestehende höhere Standards beizubehalten oder zu beschließen, oder die Ausnahmeregelungen nicht in vollem Umfang zu nutzen, weshalb in Europa unterschiedliche Datenschutzstandards gelten. Sie kann online abgerufen werden: https://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_de.pdf
EU DSGVO
Die Allgemeine Datenschutzverordnung wurde am 27. April 2016 als Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates erlassen.
Im Gegensatz zur Datenschutzrichtlinie soll die DSGVO unmittelbar in jedem EU-Mitgliedstaat ohne die Notwendigkeit von Durchführungsvorschriften gelten und einen Rahmen schaffen, in dem detailliertere Regeln festgelegt werden können. Dies harmonisiert die Gesetzgebung in ganz Europa [siehe Räumlicher Anwendungsbereich]. Zum Beispiel wird die Anforderung die Datenschutzbehörde [siehe DSB] von einer neuen Verarbeitung zu benachrichtigen, abgeschafft (außer in einer begrenzten Anzahl von Fällen) und durch eine Verpflichtung zur Dokumentation aller Prozesse ersetzt. Verantwortliche [siehe Datenverantwortliche] und Auftragsverarbeiter [siehe Datenauftragsverarbeiter] müssen die Verantwortlichkeiten zwischen ihnen vereinbaren; andernfalls haften sie gesamtschuldnerisch. Die Verordnung ist online verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/
Datenschutzrichtlinie für elektronische Kommunikation
Die Datenschutzrichtlinie für elektronische Kommunikation wurde erstmals als Richtlinie 2002/58/EG des Europäischen Parlaments und der Ratsversammlung erlassen. Sie kontrolliert derzeit die Datenschutzrechte, die auf elektronische Kommunikationstechnologie und Inhalte angewendet werden. Die Richtlinie ist online verfügbar: https://eur-lex.europa.eu/LexUriServ/LexUriServ.do
Verordnung für elektronische Kommunikation
Nach der Verabschiedung der DSGVO wird die Datenschutzrichtlinie für elektronische Kommunikation überarbeitet, um die DSGVO einzuhalten und die seit der letzten Änderung der Richtlinie im Jahr 2009 geschaffenen technologischen Neuerungen zu berücksichtigen. Ein Vorschlagsentwurf für die Verordnung mit dem Titel „Verordnung über Privatsphäre und elektronische Kommunikation“ wurde am 10. Januar 2017 veröffentlicht. Die Verordnung gilt für jeden Anbieter elektronischer Kommunikationsdienste oder für jede Stelle, die elektronische Kommunikationsdaten verarbeitet. Es wird sich auf die Art und Weise auswirken, wie Organisationen elektronisch mit EU-Bürgern interagieren, einschließlich Nutzerverfolgung, Datenerfassung in Nutzergeräten und Direktmarketing. Der Verordnungsentwurf und die zugehörigen Dokumente sind im Internet verfügbar: https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications
DSGVO Institutionen
EDSB
Der Europäische Datenschutzbeauftragte (EDSB) wurde 2004 mit dem Ziel gegründet, sicherzustellen, dass die Organe und Einrichtungen der EU das Recht der Menschen auf Privatsphäre bei der Verarbeitung ihrer personenbezogenen Daten achten. In seinen Hauptfunktionen überwacht der EDSB (1) die Verarbeitung personenbezogener Daten durch die EU-Verwaltung, um die Einhaltung der Datenschutzvorschriften zu gewährleisten, Beschwerden zu bearbeiten und Untersuchungen durchzuführen und (2) berät die EU-Organe und EU-Einrichtungen in allen Aspekten der Verarbeitung personenbezogener Daten und verwandter Politiken und Rechtsvorschriften.
Die Artikel-29-Datenschutzgruppe
Die Artikel-29-Datenschutzgruppe („G29“) ist ein nichtlegislatives Datenschutzgremium. Ihre Hauptaufgabe besteht darin Expertenrat zu geben und den Mitgliedstaaten und der Öffentlichkeit Empfehlungen zum Datenschutz und zur Verarbeitung personenbezogener Daten zu unterbreiten. Das Gremium selbst besteht aus Vertretern der nationalen Datenschutzbehörden der EU, des Europäischen Datenschutzbeauftragten („EDSB“) und der Europäischen Kommission. Es wurde im Rahmen der DSGVO in den „Europäischen Datenschutzausschuss“ („EDA“) umgewandelt.
EDA
Der Europäische Datenschutzausschuss wird die Artikel-29-Datenschutzgruppe ersetzen und seine Aufgaben umfassen die Gewährleistung der Übereinstimmung bei der Anwendung der Datenschutz-Grundverordnung, die Beratung der EU-Kommission, die Erteilung von Richtlinien, Leitfäden und Empfehlungen, die Akkreditierung von Zertifizierungsstellen und die Erarbeitung von Stellungsnahmen zu Entwürfen von Entscheidungen der Aufsichtsbehörden.
Datenschutzbehörde / Aufsichtsbehörde / Federführende Behörde
Datenschutzbehörden sind nationale Datenschutzbehörden, die für den Schutz der Privatsphäre und der personenbezogenen Daten zuständig sind. Jeder Mitgliedstaat benannte ein Gremium der Datenschutzbehörde, um das lokale Datenschutzrecht um- und durchzusetzen und eine beratende Funktion einzunehmen. Datenschutzbehörden verfügen über signifikante Durchsetzungsbefugnisse, einschließlich der Möglichkeit zur Erhebung beträchtlicher Geldbußen.
DSGVO Terminologie
Betroffene Person
Eine betroffene Person ist eine natürliche Person. Beispiele für eine betroffene Person können eine Person, ein Kunde, ein Interessent, ein Mitarbeiter, eine Kontaktperson usw. sein.
Personenbezogene Daten
Alle Informationen in Bezug auf eine identifizierte / identifizierbare Person, unabhängig davon, ob sie sich auf ihr oder sein privates, berufliches oder öffentliches Leben beziehen. Kann ein Name, ein Foto, eine E-Mail-Adresse, Bankdaten, Posts auf sozialen Netzwerken, medizinische Informationen, IP-Adressen oder eine Kombination der Daten sein, die die Person direkt oder indirekt identifizieren.
Sensible personenbezogene Daten
Die DSGVO bezieht sich auf sensible personenbezogene Daten als „spezielle Kategorien personenbezogener Daten“. Zu den besonderen Datenkategorien gehören rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Ansichten, Gewerkschaftszugehörigkeit, sexuelle Orientierung sowie Gesundheit, genetische und biometrische Daten, die verarbeitet wurden, um eine Person eindeutig zu identifizieren. Personenbezogene Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten sind nicht enthalten, aber für ihre Verarbeitung gelten ähnliche zusätzliche Schutzmaßnahmen.
Datenverantwortlicher
Jede Organisation, Person oder Stelle, die Zwecke und Mittel zur Verarbeitung personenbezogener Daten bestimmt, kontrolliert die Daten und ist allein oder gemeinsam für diese verantwortlich. Beispiele für den Datenverantwortlichen sind Allgemeinmediziner, Apotheker und Politiker, die personenbezogene Informationen über ihre Patienten, Kunden, Mitgliedsgruppen usw. aufbewahren. Beispiele für Organisationen können Datenverantwortliche sein, die entweder zur Gewinnerzielung oder als nichtkommerzielle Organisation, privat oder staatlich, Groß- oder Kleinunternehmen, personenbezogene Informationen über ihre Mitarbeiter, Kunden usw. führen.
Datenauftragsverarbeiter
Ein Datenauftragsverarbeiter verarbeitet die Daten im Namen des Datenverantwortlichen. Beispiele sind Lohn- und Gehaltsabrechnungsunternehmen, Buchhalter und Marktforschungsunternehmen.
DSB
Die Ernennung eines Datenschutzbeauftragten ist obligatorisch, wenn: (1) die Verarbeitung durch eine Behörde erfolgt; oder (2) die „Kerntätigkeiten“ eines Datenverantwortlichen / Datenauftragsverarbeiters entweder „die regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang“ erfordern oder aus der Verarbeitung besonderer Kategorien von Daten oder Daten über strafrechtliche Verurteilungen „in großem Umfang“ bestehen.
Rechenschaftspflicht
Rechenschaftspflicht ist die Fähigkeit, die Einhaltung der DSGVO nachzuweisen. In der Verordnung heißt es ausdrücklich, dass dies die Verantwortung der Organisation ist. Um die Einhaltung nachzuweisen, müssen geeignete technische und organisatorische Maßnahmen umgesetzt werden. Best-Practice-Tools wie Datenschutz-Folgeabschätzungen und eingebauter Datenschutz sind nun unter bestimmten Umständen gesetzlich vorgeschrieben.
Einwilligung
Einwilligung ist jede „frei gegebene, spezifische, informierte und eindeutige“ Angabe der Wünsche des Einzelnen, durch die die betroffene Person entweder durch eine Erklärung oder durch eine eindeutige bestätigende Handlung eine Einwilligung in die Verarbeitung der ihr zugehörigen personenbezogenen Daten zu einem oder mehreren Zwecke/n gibt.
Die zustimmende Maßnahme oder ein positives Opt-in bedeutet, dass die Zustimmung nicht aus Stillschweigen, vorangekreuzten Feldern oder Inaktivität abgeleitet werden kann. Es sollte von den Geschäftsbedingungen getrennt sein und auf einfache Art zu widerrufen sein. Behörden und Arbeitgeber müssen besonders darauf achten, dass die Zustimmung freiwillig gegeben wird.
Die bestehenden Zustimmungen müssen nicht automatisch in der Vorbereitung auf die DSGVO aktualisiert werden, aber sie müssen den DSGVO Standard erfüllen und spezifisch, detailliert, klar, eindeutig und ordnungsgemäß dokumentiert sein und einfach zu widerrufen sein. Wenn dies nicht der Fall ist, ändern Sie Ihre Einwilligungsmechanismen und bitten Sie um eine neue, der DSGVO entsprechende Einwilligung oder finden Sie eine Alternative zur Einwilligung
One-Stop-Shop-Konzept
Wenn ein Unternehmen in mehr als einem Mitgliedstaat ansässig ist, wird es eine „federführende Behörde“ haben, die durch den Ort seiner „Hauptniederlassung“ in der EU bestimmt wird. Eine Aufsichtsbehörde, die keine federführende Behörde ist, kann auch eine Regulierungsfunktion haben, z. B. wenn die Verarbeitung betroffene Personen in dem Land betrifft, in dem diese Aufsichtsbehörde die nationale Behörde ist.
Datenschutz-Folgenabschätzung (DSFA)
Die DSGVO schreibt für Datenverantwortliche und Datenauftragsverarbeiter eine neue Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung (auch als Datenschutz-Verträglichkeitsprüfung, oder DSFA bekannt) vor, bevor sie eine Verarbeitung vornimmt, die aufgrund ihrer Art, ihres Umfangs oder Zweckes ein Risiko für die Privatsphäre darstellt.
Verarbeitung
Verarbeitung ist jede Tätigkeit, die an personenbezogenen Daten (Sets) durchgeführt wird, wie z. B. Erstellung, Sammlung, Speicherung, Ansicht, Transport, Verwendung, Änderung, Übertragung, Löschung usw., unabhängig davon, ob dies automatisiert erfolgt oder nicht.
Profiling
Profiling ist jede Form der automatisierten Verarbeitung personenbezogener Daten, die bestimmte personenbezogene Aspekte des Einzelnen bewerten oder die Leistung dieser Person bei der Arbeit, die wirtschaftliche Situation, den Standort, die Gesundheit, persönliche Vorlieben, Zuverlässigkeit oder Verhalten analysieren oder vorhersagen sollen.
Subjektzugriff
Das Recht der betroffenen Person, vom Datenverantwortlichen auf Anfrage bestimmte Informationen bezüglich der Verarbeitung ihrer personenbezogenen Daten einzuholen.
Räumlicher Anwendungsbereich
Der räumliche Anwendungsbereich der DSGVO umfasst den Europäischen Wirtschaftsraum (EWR – alle 28 EU-Mitgliedstaaten), Island, Liechtenstein und Norwegen, aber nicht die Schweiz.
Dritter
Ein Dritter ist jede natürliche oder juristische Person, öffentliche Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die Daten zu verarbeiten.
Übermittlung
Die Übermittlung personenbezogener Daten an Länder außerhalb des EWR oder an internationale Organisationen unterliegt Beschränkungen. Wie bei der Datenschutzrichtlinie müssen Daten nicht physisch transportiert werden, um übertragen zu werden. Die Anzeige von Daten, die an einem anderen Ort gehostet werden, würde eine Übermittlung für Zwecke der DSGVO bedeuten.