Datenschutz-Grundverordnung (DSGVO) – Grundlagen, Rechte & Pflichten

Am 25. Mai 2018 wird in der Europäischen Union (EU) die Datenschutz-Grundverordnung (DSGVO) wirksam – sie gilt für alle Unternehmen, die personenbezogene Daten erheben und verarbeiten. Dabei ist der Sitz der Unternehmen unerheblich – es gilt das Marktort-Pinzip: Sobald Unternehmen sich mit ihren Angeboten an EU-Bürger wenden, unterliegen sie der DSGVO und müssen ihre Datenverarbeitungsprozesse an die neuen Rahmenbedingungen anpassen.
Die EU stärkt mit der DSGVO (engl.  General Data Protection Regulation (GDPR)) das Grundrecht natürlicher Personen auf den Schutz der sie betreffenden Daten. Durch Einführung der DSGVO wird das bislang geltende Bundesdatenschutzgesetz abgelöst.
Für das Erheben und Verarbeiten personenbezogener Daten gelten künftig strengere Richtlinien in Bezug auf Rechtmäßigkeit, Zweckbindung und Richtigkeit. Die Grundsätze hierfür sind in Kapitel 2, Artikel 5 der DSGVO festgehalten:

Art. 5 DSGVO: Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden
(„Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise
weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische
Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Vereinfacht ausgedrückt:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Personenbezogene Daten müssen gesetzesgetreu und nachvollziehbar verarbeitet werden
  • Zweckbindung: Personenbezogene Daten dürfen nur für festgelegte und legitime Zwecke erhoben und verarbeitet werden
  • Datenminimierung: Nur das Mindestmaß an personenbezogenen Daten darf für den jeweiligen Zweck erhoben werden
  • Richtigkeit: Personenbezogene Daten müssen zu jeder Zeit korrekt und aktuell sein
  • Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie für den jweiligen Zweck erforderlich
  • Integrität und Vertraulichkeit: Personenbezogene Daten müssen vor unbefugter Verarbeitung geschützt werden
  • Rechenschaftspflicht: Die Einhaltung der vorherigen Punkte muss nachgewiesen werden können

Zusätzlich erhalten ab 25.5.2018 alle EU-Bürger (aktuell über 511 Millionen!) erweiterte Rechte zum Schutz Ihrer personenbezogenen Daten:

  • Recht auf Auskunft: Über alle gespeicherten personenbezogenen Daten muss Auskunft erteilt werden können
  • Recht auf Datenübertragbarkeit: Alle gespeicherten personenbezogenen Daten müssen zur Übertragung an andere Unternehmen bereitgestellt werden können
  • Recht auf Einwilligung: Für die Erhebung und Verarbeitung von personenbezogenen Daten muss eine Zustimmung eingeholt werden
  • Recht auf Berichtigung: Alle gespeicherten personenbezogenen Daten müssen korrigiert werden können
  • Recht auf Widerspruch: Der Verabeitung der personenbezogenen Daten kann jederzeit (auch teilweise) widersprochen werden
  • Recht auf Löschung: Alle gespeicherten personenbezogenen Daten müssen gelöscht werden können

Dieser Zugewinn an Datenschutz für Privatpersonen stellt Unternehmen vor neue Herausforderungen:

Vor allem die neue Beauskunftungspflicht lässt sich mit vorhandenen IT-Systemen nur schwer umsetzen. Ein Unternehmen hat typischerweise Dutzende unterschiedliche Systeme und Datenbanken. Die Erweiterung des Funktionsumfangs um die vom Gesetz geforderten neuen Rechte (Auskunft, Berichtigung, Löschung, usw.) ist nicht sinnvoll und bis 25.05.2018 auch nicht zu realisieren.

Selbstverständlich musste sich auch MIOsoft mit diesen neuen Anforderungen auseinandersetzen. Unzählige Teammeetings und Abendstunden wurden aufgewandt. Es wurde viel Kaffee getrunken – so viel, dass unser Vollautomat jetzt zum Service muss… Fachanwälte tauschten sich mit uns aus und Gesetzestexte und -kommentare zählten zu unser aller Bettlektüre. Datenbanken wurden konsolidiert und unnötige Duplikate gelöscht. Selbstverständlich wurden unsere internen Prozesse angepasst, um die DSGVO zu leben. Daher sind wir stolz, eine Datenschutzanwendung anzubieten, die alle neuen Anforderungen abdeckt:

MIOsoft DSGVO Compliance Center

Sie organisiert sämtliche personenbezogenen Daten im Unternehmen pro Person, da die neuen Verbraucherrechte nun auch pro Person erfüllt werden müssen. Wer nicht vorbereitet ist, riskiert empfindliche Strafen.

Hinweis:
Die Aussagen in diesem Blogpost spiegeln lediglich die Meinung des Autors wieder. Unsere Services und Lösungen stellen keine Rechtsberatung dar und können nicht der Beratung in Bezug auf tatsächliche Rechtstreitigkeiten dienen. Sie sollten nicht versuchen, einen realen Fall aufgrund der Informationen dieser Seiten zu lösen. Lassen Sie sich bei realen Sachverhalten stets von einem spezialisierten Rechtsanwalt beraten.

Recommended Posts

Leave a Comment