GDPR - Was Sie von der neuen Europäischen Datenschutzverordnung erwarten können (Teil 1)
Fast alle Betreiber des elektronischen Geschäftsverkehrs haben davon gehört, dass die Europäische Union die Vorschriften für den Datenschutz und die Datenverwaltung harmonisiert hat, aber was bedeutet das in der Praxis? In unserem zweiteiligen Artikel erläutern wir, welche Rechte die betroffenen Personen in Bezug auf ihre Datenverarbeitung haben und welche Pflichten die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter haben werden.
Bitte beachten Sie: Der folgende Artikel stellt keine offizielle Rechtsposition dar. Jeder für die Datenverarbeitung Verantwortliche sollte die Rechtmäßigkeit seiner eigenen Datenverwaltungspraktiken mit Hilfe von Fachleuten überprüfen. Obwohl die DSGVO-Verordnung unmittelbar anwendbar ist, kann die endgültige Form der ungarischen Rechtsvorschriften bis zum 25. Mai 2018 leicht abweichende Bestimmungen enthalten.
WELCHES ZIEL VERFOLGTE DIE EUROPÄISCHE UNION MIT DER EINFÜHRUNG EINER NEUEN EINHEITLICHEN EUROPÄISCHEN DATENSCHUTZVERORDNUNG?
Die bestehenden Rechtsvorschriften waren für das sich rasch entwickelnde Online-Umfeld nicht mehr geeignet, da sie vor mehr als 20 Jahren verfasst worden waren, und die Zeit war reif für ein neues, modernes Datenschutzgesetz.
Ein wichtiger Aspekt war, das Vertrauen der Bürger in Online-Dienste zu stärken und so zur weiteren dynamischen Entwicklung der Branche beizutragen. Dies erforderte eine transparentere und kohärentere Datenschutzregelung, damit die Nutzer von Online-Diensten oder Online-Einkäufer besser über das Schicksal der von ihnen bereitgestellten Daten informiert werden können.
WANN WIRD DIE GDPR IN KRAFT TRETEN UND WER GENAU WIRD DAVON BETROFFEN SEIN?
Die GDPR (General Data Protection Regulation) ist bereits in Kraft, aber sie gilt erst ab dem 25.05.2018, wenn die Regeln in der Praxis umgesetzt werden. Bis dahin müssen wir unsere Datenverwaltung so vorbereiten, dass sie den Anforderungen der DSGVO entspricht.
Die Datenschutzverordnung gilt für jeden, der Daten von EU-Bürgern verarbeitet, unabhängig vom Standort des Unternehmens. Dies bedeutet, dass Unternehmen mit Sitz außerhalb Europas von den Änderungen ebenso betroffen sind wie der inländische KMU-Sektor; sie sind gleichermaßen verpflichtet, die Vorschriften einzuhalten.
WIE SOLLTEN DIE BETROFFENEN PERSONEN ÜBER DEN BEGINN DER DATENVERARBEITUNG INFORMIERT WERDEN, UM DIE GDPR-VORSCHRIFTEN EINZUHALTEN?
Auch unser geltendes Recht verlangt die Zustimmung der betroffenen Person zur Verarbeitung der Daten. Dieser Grundsatz wird sich durch die Datenschutz-Grundverordnung nicht ändern, aber er wird strenger geregelt. Zu den Bedingungen für die Einwilligung heißt es, dass die Einwilligung durch eine freiwillige, spezifische und unmissverständliche Willensbekundung der betroffenen Person erfolgt, mit der diese durch eine Erklärung oder eine Handlung, die ihre Einwilligung unmissverständlich zum Ausdruck bringt, zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Dies bedeutet, dass die Person aktiv sein muss, d. h. die Form "Schweigen = Zustimmung" oder ein Kästchen mit "Ich bin einverstanden", das im Voraus angekreuzt wird, ist nicht zulässig.
Die betroffene Person hat das Recht, über die Tatsache und den Zweck der Verarbeitung informiert zu werden. Die betroffene Person muss die Möglichkeit erhalten, sich vor Beginn der Verarbeitung und während der Verarbeitung bis zu deren Abschluss über die Verarbeitung zu informieren. Aus Gründen der Transparenz sollten die Informationen, die der Öffentlichkeit oder den betroffenen Personen zur Verfügung gestellt werden, knapp und leicht zugänglich sein.
WAS BEDEUTET DAS "RECHT AUF VERGESSENWERDEN" IM ZUSAMMENHANG MIT DER NEUEN EUROPÄISCHEN DATENSCHUTZVERORDNUNG?
Wir haben bereits die Möglichkeit, unsere Daten zu ändern oder zu löschen, dies ist also nichts Neues. Die Verordnung erweitert dies jedoch um eine sehr wichtige Bestimmung: Wenn der für die Verarbeitung Verantwortliche personenbezogene Daten weitergegeben hat, die betroffene Person jedoch aus irgendeinem Grund deren Löschung verlangt, muss der für die Verarbeitung Verantwortliche alle angemessenen Maßnahmen (unter Berücksichtigung der verfügbaren Technologie und der Kosten der Umsetzung) ergreifen, um die betreffenden personenbezogenen Daten sowie alle Kopien und Verweise darauf zu löschen.
Es ist jedoch zu beachten, dass eine Ausnahme vom "Recht auf Vergessenwerden" der Fall ist, dass der für die Verarbeitung Verantwortliche eine andere Rechtsgrundlage für die Verarbeitung und Verwaltung der Daten hat. Wenn der für die Verarbeitung Verantwortliche nachweisen kann, dass seine berechtigten Interessen überwiegen, kann er seine Tätigkeiten trotz des Widerspruchs der betroffenen Person fortsetzen.
WELCHE MÖGLICHKEITEN GIBT ES, EINER AUTOMATISIERTEN ENTSCHEIDUNGSFINDUNG ZU WIDERSPRECHEN?
Nach der neuen einheitlichen europäischen Datenschutzverordnung hat die betroffene Person auch das Recht, sich gegen Entscheidungen zu wehren, die ausschließlich auf einer automatisierten Verarbeitung beruhen, die sich auf die Bewertung sie betreffender persönlicher Aspekte stützt (z. B. Online-Bonitätsprüfung/Bewerbung). Eine solche Verarbeitung umfasst das "Profiling", insbesondere im Hinblick auf die Arbeitsleistung der betroffenen Person, ihre finanzielle Situation, ihren Gesundheitszustand, ihre persönlichen Vorlieben, ihre Interessen, ihre Zuverlässigkeit oder ihr Verhalten, ihren Standort sowie die Analyse und Vorhersage ihrer Bewegungen.
Diese Art der Verarbeitung kann nur mit angemessenen Garantien durchgeführt werden, einschließlich spezifischer Informationen und des Rechts der betroffenen Person, eine Erläuterung der auf der Grundlage einer solchen Bewertung getroffenen Entscheidung zu verlangen und zu erhalten, sowie des Rechts, die Entscheidung anzufechten.
WAS IST IM FALLE EINER DATENSCHUTZVERLETZUNG ZU TUN?
Die derzeit geltenden Rechtsvorschriften sehen eine Aufzeichnungspflicht vor, die nach der Datenschutz-Grundverordnung in eine Meldepflicht umgewandelt werden soll. Wenn wir Kenntnis von einer unrechtmäßigen Verarbeitung oder Handhabung personenbezogener Daten erhalten, sind wir verpflichtet, die Aufsichtsbehörde (NAIH) unverzüglich, wenn möglich innerhalb von 72 Stunden, zu benachrichtigen. Ausgenommen von dieser Meldepflicht sind Fälle, in denen die Datenverletzung wahrscheinlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
In unserem kommenden zweiten Teil werden wir die Rechte der betroffenen Personen und die Pflichten der für die Datenverarbeitung Verantwortlichen weiter erörtern und einige Möglichkeiten zur Vorbereitung auf die Erwartungen der DSGVO aufzeigen.
Quellen:
Leitlinien für für die Datenverarbeitung Verantwortliche und Auftragsverarbeiter
Leitfaden für Datenschutzbeauftragte und für die Verarbeitung Verantwortliche