Einführung in die EU-Datenschutzgesetze
Lernziele
Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:
- Erläutern der Grundlagen der Datenschutz-Grundverordnung (DSGVO)
- Definieren wichtiger Begriffe zum Thema Datenschutz
- Beschreiben, inwiefern die DSGVO den Datenschutz in der EU verändert
Datenschutz als Grundrecht
Europa ist seit einigen Jahrzehnten Vorreiter in Sachen Datenschutz. Nun setzt die Europäische Union (EU) mit der Verabschiedung eines umfassenden Datenschutzgesetzes, der so genannten Datenschutz-Grundverordnung (DSGVO), wieder neue Maßstäbe. Wenn Ihr Unternehmen personenbezogene Daten über in der EU befindliche Personen sammelt, speichert oder nutzt, kann die DSGVO weitreichenden Einfluss auf Ihre Geschäftsprozesse haben.
Der Glaube an das Grundrecht auf Privatsphäre ist in der europäischen Kultur seit dem Ende des Zweiten Weltkriegs tief verwurzelt. Eines der ersten bedeutenden Datenschutzgesetze der Welt verkörperte diese Überzeugung: die EU-Datenschutzrichtlinie, die 1995 verabschiedet wurde. Die Richtlinie verlangte von Unternehmen und Regierungen Transparenz bezüglich der von ihnen verarbeiteten personenbezogenen Daten, einen berechtigten Zweck für die Nutzung dieser Daten sowie einen sorgfältigen Umgang damit.
Die Richtlinie war für den Stand der Technologie des Jahres 1995 angemessen, doch die raschen technologischen Veränderungen in den folgenden Jahren machten eine Aktualisierung notwendig. Um die Bedeutung der Datenschutzgesetzte in einer Welt, in der weit mehr Daten denn je gesammelt werden, aufrecht zu erhalten, haben die EU-Gesetzgeber die DSGVO verabschiedet. Sie wollten außerdem sicherstellen, dass es in der gesamten EU ein einheitliches Recht gibt, und große Unterschiede zwischen den einzelnen Ländern vermeiden. Die DSGVO trat am 25. Mai 2018 in Kraft und hat den Datenschutz für Privatpersonen erheblich erweitert. Sie hat Unternehmen, die mit personenbezogenen Daten umgehen, viele neue Verpflichtungen auferlegt.
Wichtige Begriffe
Bevor wir uns die Einzelheiten der DSGVO ansehen, sollten wir einige grundlegende Definitionen durchgehen.
Begriff |
Definition |
Beispiel |
---|---|---|
Betroffene Person |
Eine "natürliche Person", die direkt oder indirekt durch Informationen wie den Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung (z. B. einen Benutzernamen) oder ihre physische, genetische oder sonstige Identität identifiziert werden kann. |
Marie Dubois |
Personenbezogene Daten |
Alle Informationen, die sich auf eine identifizierte oder identifizierbare betroffene Person beziehen. |
Frau. Alter 48. Telefonnr.: 33 1 7210 940. Adresse: 99 Place de l'Étoile, 75008 Paris, Frankreich. Mag Hüte. Liest täglich Le Monde online. |
Vertrauliche personenbezogene Daten: |
Personenbezogene Daten über die ethnische Herkunft oder Rasse, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Informationen über Gesundheit, Sexualleben und sexuelle Orientierung sowie genetische oder biometrische Daten. |
Mitglied der Partei "En Marche!" . Katholisch. Brach sich letztes Jahr ein Bein. Kopie von Fingerabdrücken und Retinascan. |
Verarbeitung |
Alles, was mit personenbezogenen Daten gemacht wird. |
Jegliche Erhebung, Speicherung, Übertragung, Weitergabe, Änderung, Verwendung oder Löschung personenbezogener Daten. |
Verantwortlicher |
Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über den Zweck sowie die Art und Weise der Verarbeitung personenbezogener Daten entscheidet. |
Die Grande Banque du Nord ist ein Finanzinstitut, das Marie eine Hypothek für den Kauf eines Hauses einräumt. Als Marie sich zum ersten Mal auf der Website der Grande Banque registriert, um mehr Informationen über Hypotheken zu erhalten, wird die Grande Banque zum Verantwortlichen für die personenbezogenen Daten, die Marie zur Verfügung stellt. |
Auftragsverarbeiter |
Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. |
Salesforce wird zum Auftragsverarbeiter der personenbezogenen Daten von Marie, wenn die Grande Banque Maries Daten in ihre Sales Cloud-Instanz hochlädt. |
Pseudonymisierte Daten |
Personenbezogene Daten, die ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, wobei diese zusätzlichen Informationen gesondert, mithilfe technischer Maßnahmen, die eine Kombination der personenbezogenen Daten mit den zusätzlichen Informationen verhindern, aufbewahrt werden. |
Als Marie das in Experience Cloud gehostete Portal der Grande Banque-Website besucht, um mehr über die Abläufe bei Hypothekendarlehen zu erfahren, zeichnet das System ihre IP-Adresse in Hash-Form auf und verknüpft sie mit den Seiten, die Marie besucht. Die gehashte IP-Adresse gilt als pseudonymisiert, da, obwohl die gehashte IP-Adresse alleine Marie nicht identifiziert, es dennoch möglich ist, sie mit anderen Informationen zu verknüpfen, die sich auf Marie beziehen. |
Anonyme Daten |
Daten, die niemals mit einer identifizierten oder identifizierbaren Person in Verbindung gebracht werden können. |
Die Besucher der Grande Banque-Website werden gebeten, Bewertungen zu hinterlassen. Das System erhebt keinerlei Informationen von Besuchern, die Bewertungen abgeben – nicht einmal die IP-Adresse. Die Bewertungen als solche können daher als anonym betrachtet werden. |
Was sind die Anforderungen der DSGVO?
Nachdem wir jetzt die Begrifflichkeiten definiert haben, wenden wir uns den konkreten Inhalten der DSGVO zu. Kurz gesagt, legt die DSGVO Regeln dafür fest, wie Unternehmen, Regierungen und andere juristische Personen die personenbezogenen Daten der betroffenen Personen, die sich in der EU aufhalten, verarbeiten dürfen. Viele dieser Regelungen gab es bereits in vorangegangenen EU-Gesetzen, aber einige Regelungen sind jetzt strenger, andere weniger aufwändig und wieder andere brandneu. Die Regelungen finden über die physischen Grenzen der EU hinaus Anwendung und gelten für jedes Unternehmen, unabhängig davon, ob es in der EU eine Niederlassung hat, wenn es Waren oder Dienstleistungen für Menschen in der EU anbietet oder das Verhalten dieser Personen verfolgt (auch durch die Verwendung von Cookies).
Hier sind einige der wichtigsten Änderungen, die die DSGVO mit sich bringt:
Grundsätze für die Verarbeitung personenbezogener Daten: Um personenbezogene Daten verarbeiten zu dürfen, müssen Unternehmen eine rechtmäßige Grundlage für deren Verarbeitung haben, wie beispielsweise, um einen Vertrag mit der betroffenen Person erfüllen zu können, oder die betroffene Person hat ihre Einwilligung für die Verarbeitung gegeben. Soweit die Einwilligung die einzige rechtmäßige Grundlage ist, muss sie freiwillig, konkret für den bestimmten Fall, in informierter Weise und unmissverständlich erteilt werden. Anders ausgedrückt, müssen Unternehmen betroffenen Personen die freie Wahl geben, ob sie die Verarbeitung ihrer Daten zulassen möchten und Personen müssen sich durch eine eindeutige Erklärung oder durch eine bestätigende Handlung einverstanden erklären. Wird von betroffenen Personen bei der Nutzungsregistrierung eines Service eine weitgefasste Zustimmung zur Verarbeitung ihrer personenbezogenen Daten verlangt, so könnte dies als nicht freiwillig erteilte Einwilligung angesehen werden, die über die für die Erbringung des Service erforderliche Verarbeitung hinausgeht. Darüber hinaus müssen Unternehmen nachweisen können, dass sie eine gültige Einwilligung erhalten haben.
Verpflichtungen zur Einhaltung: Bisherige EU-Gesetze enthielten in erster Linie Regelungen für die Verantwortliche, die DSGVO hingegen erlegt Auftragsverarbeitern zahlreiche direkte Verpflichtungen auf. Dazu gehören Anforderungen, dass Auftragsverarbeiter personenbezogene Daten nur gemäß den Anweisungen des Verantwortlichen verarbeiten, sie Daten nicht ohne die Einwilligung des Verantwortlichen mit anderen Anbietern teilen und angemessene Sicherheitsmaßnahmen umsetzen (die wir in der nächsten Einheit näher behandeln). Darüber hinaus sieht das Gesetz eine Reihe weiterer Verpflichtungen sowohl für die Verantwortlichen als auch für die Auftragsverarbeiter vor: geeignete Richtlinien zu implementieren, die datenschutzrechtlichen Auswirkungen bei Änderungen der Geschäftspraktiken zu bewerten und detaillierte Aufzeichnungen über Datenaktivitäten zu führen.
Meldung bei Datenschutzverstößen: Verantwortliche müssen jeden Datenschutzverstoß so schnell wie möglich, aber spätestens 72 Stunden nach Bekanntwerden des Verstoßes ihrer Datenschutzbehörde melden, es sei denn, der Verstoß wird bei den betroffenen Personen wahrscheinlich keinen Schaden zur Folge haben. Bei einem hohen Schadensrisiko müssen die Verantwortlichen den Betroffenen Datenschutzverstöße so schnell wie möglich melden. Auftragsverarbeiter müssen die Verantwortlichen ebenfalls schnellstmöglich über Datenschutzverstöße informieren.
Datenschutzbeauftragter: Jedes Unternehmen, das regelmäßig in großem Umfang sensible personenbezogene Daten verarbeitet oder am regelmäßigen und systematischen Monitoring der betroffenen Personen beteiligt ist, muss einen Datenschutzbeauftragten ernennen, um sicherzustellen, dass das Unternehmen die Datenschutzgesetze einhält.
Durchsetzung: Nach bisherigem EU-Recht hatten Datenschutzbehörden in Europa nur begrenzte Möglichkeiten, Unternehmen zu bestrafen, die gegen Datenschutzrecht verstießen. Gemäß der DSGVO können die Aufsichtsbehörden Geldstrafen in Höhe von bis zu 20 Millionen Euro oder 4 % des vom Unternehmen weltweit erzielten Jahresumsatzes – je nachdem, welcher der Beträge der höhere ist –verhängen. Die Höhe richtet sich nach der Schwere des Verstoßes und den dadurch entstandenen Schäden.
Einsatz von Auftragsverarbeitern: Die Verantwortlichen müssen schriftliche Vereinbarungen mit den Auftragsverarbeitern getroffen haben, die sicherstellen, dass diese nur in Übereinstimmung mit den Anweisungen des Verantwortlichen handeln, angemessene Sicherheitsmaßnahmen zum Schutz der Daten implementieren, den Verantwortlichen bei der Erfüllung seiner Verpflichtungen unterstützen, personenbezogene Daten am Ende der Geschäftsbeziehung zurückgeben oder vernichten und die für Auftragsverarbeiter geltenden Bestimmungen der DSGVO einhalten.
Profiling: Die DSGVO enthält gewisse Einschränkungen für die automatisierte Verarbeitung personenbezogener Daten zur Bewertung einer betroffenen Person ("Profiling). Dazu gehört die Überwachung oder die Nachverfolgung betroffener Personen, um Arbeitsleistung, wirtschaftliche Lage, Gesundheit, Verhalten, persönliche Vorlieben oder Einstellungen zu analysieren oder vorherzusagen. Automatisierte Prozesse, die eine signifikante Auswirkung auf eine Person haben können, wie z. B. die Ablehnung einer Bewerbung oder eines Kreditantrags, gelten als hohes Risiko und sind nur in begrenzten Fällen zulässig.
Rechte der betroffenen Person: Die DSGVO sieht für betroffene Personen ein breites Spektrum an Rechten in Bezug auf ihre personenbezogenen Daten vor. Die betroffenen Personen können Auskunft von den Verantwortlichen über alle durch sie aufbewahrten personenbezogenen Daten verlangen. Außerdem können sie fordern, dass die Daten berichtigt, gelöscht, eingefroren oder übertragbar gemacht (z. B. heruntergeladen) werden. Darüber hinaus können sie einer bestimmten Verarbeitung widersprechen und zuvor erteilte Einwilligungen widerrufen. In der nächsten Lektion befassen wir uns eingehender mit diesen Rechten.
Federführende Aufsichtsbehörde: Die DSGVO schafft eine zentrale Stelle zur Durchsetzung der Vorgaben, indem sie Unternehmen mit Niederlassungen in mehreren EU-Mitgliedsstaaten dazu verpflichtet, bei grenzübergreifenden Datenschutzthemen mit einer federführenden Aufsichtsbehörde zusammenzuarbeiten.
Nach dieser Einführung in die DSGVO und ihrer Bedeutung sehen wir uns in der nächsten Einheit genauer an, wie sich diese Anforderungen tatsächlich auf Unternehmen auswirken, die personenbezogene Daten verarbeiten.