Die neue EU-Datenschutzgrundverordnung

Die neue Datenschutzgrundverordnung (DSGVO) ist am 14.04.2016 verabschiedet worden (Hier der Link zum amtlichen Text der Datenschutzgrundverordnung) . 261 Seiten feinste Literatur zum Datenschutzrecht und sie gilt dann 2 Jahre ab der amtlichen Bekanntmachung. Hiermit wird noch im Mai 2016 gerechnet. Also könnte sie im Mai 2018 rechtsverbindlich sein.

Das Ziel ist es die Harmonisierung des Datenschutzrechts innerhalb der EU zu erreichen. Öffnungsklauseln werden den Nationalstaaten die Umsetzung in das nationale Rechte überlassen.

Da Deutschland ein sehr hohes Datenschutzniveau hat, wird hier nicht das Rad neu erfunden werden müssen. So gilt bereits heute das Verbot mit Erlaubnisvorbehalt, das heißt, dass personenbezogene Daten grundsätzlich nicht erhoben, verarbeitet und genutzt werden dürfen. Nur dann, wenn der Betroffene einwilligt und/oder eine gesetzliche Erlaubnis besteht, ist die Datenerhebung, die Datenverarbeitung und die Datennutzung zulässig.

  • Artikel 5 der DSGVO hält die Grundsätze der Rechtmäßigkeit, der Zweckbindung, der Datenminiminierung, der Richtigkeit, der zeitlichen Speicherbegrenzung, der Vertraulichkeit und der Rechenschaft der verantwortlichen Stelle fest.
  • Das Marktortprinzip wird eingeführt. Daher folgt das anzuwendende Datenschutzrecht nicht mehr dem Sitz des Anbieters, sondern dem Ort wo die Leistungen angeboten werden.
  • Unternehmen die ihren Sitz außerhalb der EU haben, müssen einen Bevollmächtigten benennen (Art. 27 DSGVO).
  • Die Voraussetzungen für eine Einwilligung finden sich in den Art. 7 und 8 der DSGVO. Die Einwilligung muss transparent sein, freiwillig erfolgen, ist widerruflich und darf nicht von der Erbringung einer Dienstleistung abhängig gemacht werden.
  • Ab 16 Jahren kann ein Mensch datenschutzrechtlich einwilligen. Der Träger der elterlichen Verantwortung kann natürlich auch schon früher einwilligen. Die Mitgliedsstaaten können dieses Alter in ihren nationalen Umsetzungen auf 13 Jahre herabsetzen. Dieser Passus ist aus meiner Sicht sehr bedenklich. Denn die Eltern wissen zum Teil nicht was sie tun (siehe Onlinevideoblog über das Aufwachsen des Sprößlings) und das Persönlicheitsrecht, dessen Ausfluss das Datenschutzrecht ist, ist unverzichtbar. Social – Media – Plattformen können dies über Altersverifikationen und/oder über „Sendezeiten“ regeln. Die letzte Alternative ist für das Internet antiquiert? Mitnichten! Jede Mediathek oder Onlinespieleplattform muss auf den Jugendschutz achten.
  • Die besonderen personenbezogenen Daten sind in Art. 9 Abs. 1 DSGVO definiert. Es sind die sensiblen Bereiche der Ethnie, Rasse, Religion, politische Meinung, Gesundheitsdaten und die sexuelle Orientierung.
  • Art. 10 der DSGVO betrifft die personenbezogenen Daten von Straftätern.
  • Art. 12 -16 der DSGVO regeln die Informationpflichten der verantwortlichen Stellen. Hiernach sind Belehrungen über die Rechtsgrundlage, Dauer und Ort der Speicherung, der Weitergabe, Speicherfristen, Löschfristen, Auskunftsstellen, und Widerrufsmöglichkeiten zu entwerfen.
  • Art. 17 der DSGVO enthält das „Recht auf Vergessenwerden“.
  • Art. 20 der DSGVO betrifft die Datenportabilität. Daten müssen an die betroffene Person in einem gängigen, strukturierten und maschinenlesbaren Format übergeben werden können.
  • Art. 21 der DSGVO regelt das Widerspruchsrecht von betroffenen Personen (opt-out), hierauf wird hinzuweisen sein). Es betrifft Profiling und Direktwerbung.
  • Art. 22 der DSGVO verbietet die automatisierte Datenverarbeitungsentscheidung mit rechtliche oder beeinträchtigender Wirkung.
  • Art. 24 – 27 der DSGVO begründen eine Rechenschaftspflicht der verantwortlichen Stelle.
  • Der Grundsatz „privacy by design“ (Datenschutz vom Werk aus) ist in Art. 25 DSGVO geregelt.
  • Art. 28 der DSGVO regelt die Auftragsverarbeiter und die Anforderungen, die an sie zu stellen sind.
  • Art. 30 der DSGVO regelt das Verarbeitungsverzeichnis. Dies sieht so aus, wie das in Deutschland bereits bekannt Verfahrensverzeichnis.
  • Meldepflichten werden in den Art. 33 und 34 der DSGVO statuiert.
  • Eine Folgenabschätzung ist nach Art. 35 DSGVO bei einem hohen Risiko für Rechte und Freiheiten natürlicher Personen durch die Verarbeitung durch neue Technologien vorzunehmen. Die Aufsichtsbehörde ist zu informieren (Art. 36).
  • Datenschutzbeauftragte ist nach den Kriterien des Art. 37 DSGVO erforderlich und weiterhin immer ratsam. Es darf nun einen Konzerndatenschutzbeauftragten geben. Die Aufgaben sind ähnlich wie bisher im Bundesdatenschutzgesetz.

Verstöße werden bußgeldbewert und abmahnfähig sein. Also rüsten Sie rechtzeitig auf und lassen Sie sich beraten.

 

Thilo Zachow, Fachanwalt für IT-Recht (Berlin, Chemnitz, Dresden)

 

 

 

Author: Rechtsanwalt Zachow - Fachanwalt für IT-Recht, Fachanwalt für Urheber- und Medienrecht, TÜV zertifizierter Datenschutzbeauftragter

Ich bin Fachanwalt für IT-Recht (Fachanwaltslehrgang IT-Recht), Fachanwalt für Urheber- und Medienrecht (Fachanwaltslehrgang Urheber- und Medienrecht) und vertrete Contentprovider zu den Rechtsthemen e-commerce, Datenschutzrecht, Markenrecht, Urheberrecht und Wettbewerbsrecht. Weiterhin berate ich Hosting- und Accessprovider zum Telekommunikationsrecht. Die individuelle Beratung mittelständischer Unternehmen und von Privatpersonen aus einer Hand, fachlich kompetent durch einen sehr hohen Grad der Spezialisierung, laufende Fortbildungen und 10 Jahren Erfahrung im IT-Recht, Urheber- und Medienrecht, sind mein Anspruch. Der TÜV Nord hat mich als Datenschutzbeauftragter zertifiziert. Lernen Sie mich persönlich kennen.