Paragraphen zum Thema Europäische Datenschutzgrundverordnung; Quelle: Fotolia.com/fotogestoeber

© Fotolia.com/fotogestoeber

Die Europäische Datenschutz-Grundverordnung (DS-GVO) (PDF: 1,04 MB) ersetzt die aus dem Jahr 1995 stammende EU-Datenschutzrichtlinie und gibt zeitgemäße Antworten auf die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft. Mit einem modernen Datenschutz auf europäischer Ebene bietet die DS-GVO Lösungen zu Fragen, die sich durch „Big Data“ und neue Techniken oder Arten der Datenverarbeitung wie Profilbildung, Webtracking oder dem Cloud Computing für den Schutz der Privatsphäre stellen.

Das Europäische Parlament hat die DS-GVO am 14. April 2016 mit breiter Mehrheit angenommen. Sie ist am 25. Mai 2018 nach einer Übergangsphase von zwei Jahren wirksam geworden und bildet den datenschutzrechtlichen Rahmen innerhalb der Europäischen Union. Unternehmen mussten ihre Geschäftsabläufe bis zum 25. Mai 2018 an die neue Rechtslage anpassen.

Modernisierung des Europäischen Datenschutzrechts

Die DS-GVO ist ein wichtiger Schritt zu einem harmonisierten europäischen Binnenmarkt. Ziel der Verordnung ist eine angemessene Balance zwischen Wirtschafts- und Verbraucherinteressen in Zeiten fortschreitender Digitalisierung. Sie stärkt das Grundrecht auf informationelle Selbstbestimmung durch höhere Transparenz und mehr Mitbestimmung der Bürgerinnen und Bürger mit Blick auf ihre Daten. Gleichzeitig schafft die Verordnung einen zukunftsorientierten Rechtsrahmen für datenverarbeitende Unternehmen und innovative Geschäftsmodelle.

Zentrale Elemente der DS-GVO

Europaweit einheitliches Datenschutzniveau

Die DS-GVO schafft ein europaweit einheitliches Datenschutzniveau. Für europäische Unternehmen entsteht ein einheitliches "level playing field". Bestehende Wettbewerbsverzerrungen und Marktzugangsbarrieren infolge unterschiedlicher nationaler Datenschutzbestimmungen werden beseitigt. Zudem enthält die DS-GVO zahlreiche Neuerungen gegenüber der EU-Datenschutzrichtlinie aus dem Jahr 1995. Einige Kernelemente sind besonders hervorzuheben:

Pseudonymisierung von Daten

Die DS-GVO setzt stärkere Anreize für die „Pseudonymisierung“ von Daten. Das bedeutet, dass der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym – zumeist eine mehrstellige Buchstaben- oder Zahlenkombination – ersetzt werden. Das macht es wesentlich schwerer, betroffene Personen zu identifizieren. Durch Pseudonymisierung können große Datenmengen ohne Personenbezug und deswegen besonders grundrechtsschonend verarbeitet werden. Die DS-GVO erleichtert Datenweiterverarbeitungen zu einem anderen als dem ursprünglichen Datenerhebungszweck, wenn diese Weiterverarbeitung in pseudonymisierter Form erfolgt. Dies ist gerade für Big-Data-Analysen besonders wichtig.

Verschiedene Rechtsgrundlagen für Datenverarbeitungen

Chancen für datenverarbeitende Unternehmen bietet auch der Umstand, dass Datenverarbeitungen nach den Vorgaben der DS-GVO – wie nach der bisherigen EU-Datenschutzrichtlinie aus dem Jahr 1995 – nicht allein auf die Einwilligung des Betroffenen, sondern auch auf andere Rechtsgrundlagen gestützt werden können. Datenverarbeitungen sind beispielsweise auch ohne Einwilligung zulässig, wenn die Datenverarbeitung für die Erfüllung eines Vertrags (etwa mit einem Kunden) erforderlich ist. Auch kann eine Datenverarbeitung im Einzelfall auf überwiegende berechtigte Interessen des Datenverarbeiters oder eines Dritten gestützt werden. Dies kann gerade für Unternehmen wichtig sein, die – anders als große Internetplattformen – nicht ohne Weiteres die Einwilligung der Betroffenen einholen können, etwa weil sie mit ihren Kunden per Brief kommunizieren. Die Erwägungsgründe der DS-GVO stellen klar, dass unter anderem die Datenverarbeitung zu Werbezwecken im Einzelfall ein legitimes Interesse darstellen kann. Unabhängig von der Wahl der Rechtsgrundlage sind jedoch die Informationspflichten der DS-GVO zu beachten. So muss der Betroffene insbesondere über den Zweck der Datenverarbeitung und die Rechtsgrundlage informiert werden.

Privilegierung von Datenverarbeitungen zu Forschungszwecken

Neu gegenüber der bisherigen Rechtslage sind die klaren Wertungen der DS-GVO im Forschungsbereich. Die DS-GVO stellt ausdrücklich klar, dass eine Weiterverarbeitung von personenbezogenen Daten zu Forschungszwecken als vereinbar mit dem ursprünglichen Datenerhebungszweck anzusehen ist. Zugleich wird mit der DS-GVO ausdrücklich die Möglichkeit eines „Broad Consent“ im Bereich der wissenschaftlichen Forschung eingeführt. Dies ermöglicht die Einholung von Einwilligungen zu Forschungszwecken, auch wenn diese Zwecke bei Erhebung der Daten im Einzelnen noch nicht detailliert dargelegt werden können.

Mehr Transparenz und Kontrolle für Betroffene

Die DS-GVO schützt die Privatsphäre von Nutzerinnen und Nutzern bei Big Data, Webtracking und Profilbildung und definiert das „Recht auf Vergessenwerden“ und auf Datenportabilität. Das ausdrücklich normierte sogenannte "Marktortprinzip" sorgt zudem dafür, dass die DS-GVO Anwendung auf Datenverarbeiter findet, die nicht in der Europäischen Union niedergelassen sind, wenn eine Datenverarbeitung dazu dient, in der Europäischen Union ansässigen Personen Waren oder Dienstleistungen anzubieten.

Die DS-GVO erhöht außerdem die Transparenzpflichten von Unternehmen gegenüber ihren Kunden und erweitert die Rechte der Betroffenen, etwa das Recht auf Auskunft. Denn: Betroffene müssen wissen, was mit ihren Daten geschieht und zu welchen Zwecken die Daten verarbeitet werden. Die DS-GVO schreibt einfache und verständliche Datenschutzerklärungen vor. Auch können Datenschutzsiegel und Zertifizierungen für mehr Transparenz sorgen. All das sorgt für mehr Kontrolle und Transparenz bei der Datenverarbeitung.

Die DS-GVO im Betrieb umsetzen

Gerade für kleine und mittlere Unternehmen kann die Umsetzung der Vorgaben der DS-GVO eine Herausforderung darstellen. Die BMWi-Checkliste zur Umsetzung der DS-GVO im Unternehmen bietet einen ersten Überblick, welche Prüfschritte notwendig werden können.

Die Checkliste finden Sie hier.