Die Datenschutzgrundverordnung (DSGVO) - Teil 1

Am 24. Mai 2016 trat die Datenschutzgrundverordnung (DSGVO) mit einer Übergangszeit von zwei Jahren als verbindliche rechtliche Regelung in Kraft. Innerhalb dieser zweijährigen Frist müssen die daraus resultierenden Pflichten und Anforderungen von Unternehmen, Behörden und anderer Organisationen umgesetzt werden.

Die DSGVO wurde als EU Richtlinie erlassen, mit dem Ziel den Datenschutz innerhalb der Mitgliedstaaten der Europäischen Union einen einheitlichen Rechtsrahmen zu schaffen und sowohl das Schutzniveau zu erhöhen als auch die Rechte der Bürger gegenüber Unternehmen, Behörden und anderer Organisationen zu verbessern. Der Bundestag hat, um die Vorgaben aus der DSGVO in nationales Recht umzusetzen am 27. April 2017 das neu gefasste Bundesdatenschutzgesetz (BDSG) beschlossen. Das bisher geltende deutsche BDSG trat bereits vor ca. vier Jahrzehnten in Kraft. 1995 erließ die Europäische Gemeinschaft zum Schutz der Privatsphäre von natürlichen Personen bei der Verarbeitung von personenbezogenen Daten die Richtlinie 95/46/EG (Datenschutzrichtlinie), die am 25. Mai 2018 von der DSGVO abgelöst wird.

Für Unternehmen bedeutet dies, dass trotz der Übergangsfrist die Umsetzung der Vorgaben aus der DSGVO bereits jetzt erfolgen sollte. Besonders für Unternehmen, die bisher nichts oder nur sehr wenig im Bereich des Datenschutzes unternommen haben, gestaltet sich die Umsetzung noch umfangreicher. Angesichts der drastisch erhöhten Bußgelder könnte ein Versäumnis für Unternehmen weitreichende Folgen haben, die möglicherweise auch die Existenz gefährden könnten. Schließlich stehen Bußgelder von bis zu 20 Millionen Euro oder 4 % des globalen Umsatzes, je nachdem, welcher Betrag höher ist, im Raum.

Worum geht es bei der DSGVO und was soll diese regeln?

Um diese Frage zu beantworten hilft ein Blick in die Erwägungsgründe, welche in der DSGVO aufgeführt sind, weiter. Aus persönlicher Sicht beschreibt besonders der erste Erwägungsgrund die Intension, die zur DSGVO geführt hat, am besten.

„Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

Die insgesamt 173 Erwägungsgründe runden in ihrer Gesamtheit das Bild über den Bedarf und die Notwendigkeit des europaweiten einheitlichen Datenschutzes ab. Im Schutzfokus stehen alle bestimmten und bestimmbaren Informationen, die sich auf natürlichen Personen beziehen (Name, Vorname, Geschlecht), aber auch zum Beispiel die IP-Adresse des Rechners über den eine Person mit ihren Kommunikationspartnern interagiert. Damit lässt sich bereits sehr gut erahnen wie weit die DSGVO gefasst ist.

Nach welchen Kriterien dürfen personenbezogene Daten verarbeitet werden?

Hier bleibt es bei dem bisher in der Bundesrepublik bekannten Grundsatz:

„Jede Art der Verarbeitung von personenbezogenen Daten ist verboten, außer es gibt hierzu eine Erlaubnis."
Die Erlaubnis zur Verarbeitung kann sich aus folgenden Gründen zulässig sein:

Einwilligung – „Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; … “

Vertrag – „ … die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; … “

Rechtliche Verpflichtung – „ ... die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; … “

Schutz lebenswichtiger Interessen – „ … die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; … “

Wahrnehmung von Aufgaben im öffentlichen Interesse – „… die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

Wahrung der berechtigten Interessen – „ … die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“ Dies „ … gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“