Die Datenschutzgrundverordnung ist da! Was bedeutet das für mich?

Nach zwei Jahren Übergangszeit ist die bereits 2016 beschlossene Europäische Datenschutzgrundverordnung (DSGVO) ab dem 25. Mai 2018 in allen 28 Mitgliedstaaten der Europäischen Union gültiges Recht. Die DSGVO hat Auswirkungen auf jeden von uns – ob als Verbraucher und Anwender oder als Unternehmen, Host einer Website etc., der personenbezogene Daten wie z.B. Namen, Adresse, IP-Adresse speichert oder verarbeitet.

Da die Bundesregierung unserer Meinung nach nicht ausreichend darüber informiert hat, was das eigentlich für jeden einzelnen bedeutet, legen wir nach:

Für Anwender / Privatnutzer

  • – Datenschutzfreundliche Voreinstellungen sind jetzt Standard und jeder Anwender kann nun nach dem opt-in Prinzip darüber entscheiden, ob und wer welche seiner personenbezogenen Daten verarbeiten darf (explizite Einwilligung nach verständlicher Erklärung).
  • – Die Einwilligung in die Verarbeitung personenbezogener Daten muss freiwillig erfolgen, kann jederzeit widerrufen werden und ist nur dann gültig, wenn die Erfüllung eines Vertrags unabhängig von der Einwilligung zu nicht für den Vertragszweck notwendiger Verarbeitungen ist (Kopplungsverbot).
  • – Nach den nun geltenden Informationsrechten hat jeder die Möglichkeit, bei Unternehmen und anderen datenverarbeitenden Stellen u.a. nachzufragen, welche Daten zu welchem Zweck erhoben, an wen die Daten weitergegeben wurden oder noch werden, wie lange die Daten gespeichert werden sollen und ob die Daten zur Profilbildung verwendet werden.
  • – Verbraucher haben die Möglichkeit, eine Kopie der bei einem Unternehmen gespeicherten personenbezogenen Daten zu erhalten und den Anspruch darauf, diese Daten in einem gängigen Format herunterladen zu können, um sie zu einem anderen Dienst mitzunehmen (Datenportabilität). Sie haben das Recht auf Löschung von personenbezogenen Daten sowie das Recht auf Vergessenwerden, wenn Daten einer breiten Öffentlichkeit zugänglich sind.
  • – Verstöße können bei den zuständigen Datenschutzbeauftragten der Länder gemeldet werden, die die Beschwerden prüfen und ggf. Bußgelder verhängen können. Bei schwerwiegenden Verstößen drohen Bußgelder in Höhe von bis zu €20 Millionen oder bis zu 4% des weltweiten jährlichen Umsatzes eines Unternehmens.

 

Für Unternehmen, Website-Betreiber oder im Verein Engagierter

  • – Die DSGVO gilt für alle, die personenbezogene Daten von EU-Bürgern, verwalten, verarbeiten oder speichern, unabhängig davon, wo der Datenverwalter seinen Sitz hat.
  • – Viele Regelungen der DSGVO orientieren sich am bisherigen deutschen Datenschutzrecht, so gilt z.B. weiterhin das Verbot mit Erlaubnisvorbehalt (Datenverarbeitung grundsätzlich verboten, außer mit Einwilligung), die Zweckbindung (Verarbeitung nur zu einem bestimmten Zweck) oder das Gebot der Datenminimierung (Erhebung von so wenig Daten wie nötig).
  • – Neu sind z.B. eine erweiterte Datenschutzerklärung und Kriterien für die Einwilligung der Nutzer, Rechenschaftspflichten gegenüber den Kunden/Anwendern (Dokumentation über die einzelnen Schritte der Datenverarbeitung) oder eine fortlaufende Risikoabschätzung bei der Datenverarbeitung bei größeren Unternehmen. Zudem muss die Datenintegrität und Vertraulichkeit gewährleistet sein, z.B. über Verschlüsselungstechnologien.
  • – Sofern besonders geschützte Daten verarbeitet werden oder mehr als 10 Personen in der Datenverarbeitung involviert sind, müssen Unternehmen, aber auch z.B. Vereine, einen Datenschutzbeauftragten ernennen, der Ansprechpartner für die Nutzer ist (Auskunftspflicht) und Verstöße gegen die Schutzpflicht personenbezogener Daten unaufgefordert bei der zuständigen Datenschutzbehörde zu melden hat (Meldepflicht).
  • – Sofern mit externen Dienstleistern wie z.B. Website-Hosts, E-Mail-, Cloud- oder Usertracking-Diensten bei der Datenverarbeitung zusammengearbeitet wird, sollte ggf. ein Auftragsverarbeitungsvertrag abgeschlossen werden bzw. bestehende an die DSGVO angepasst werden.

 

(Diese Informationen entstanden u.a. auf Grundlage der Kompac’t-Ausgabe 1/2018: Fit für die DSGVO (Beilage der c’t 2018/11))

 

Nützliche Tipps: