DSGVO – Ein europäisches Gesetz

Ziel der DSGVO ist, den Schutz der personenbezogenen Daten in den Mitgliedstaaten der EU zu harmonisieren und so ihren Bürgern ein einheitliches Datenschutzniveau zu garantieren.

Die zunehmende Internationalisierung des Handels und soziale Medien führten dazu, dass die personenbezogenen Daten der Bürger nicht mehr innerhalb der Grenzen des Landes verarbeitet werden, in welchem die Betroffenen ihren Wohnsitz haben.

Die DSGVO

Die DSGVO als Grundverordnung gibt den Mitgliedsstaaten zwingend umzusetzende Grundregeln vor. Sie erlaubt den Mitgliedstaaten jedoch, durch sogenannte „Öffnungsklauseln“ länderspezifische Änderungen vorzunehmen. Diese dürfen aber die Vorgaben der DSGVO nicht aufweichen oder das dort festgelegte Schutzniveau unterschreiten. In Deutschland sind die Öffnungsklauseln der DSGVO in der neuen Fassung des Bundesdatenschutzgesetzes festgelegt (BDSG-neu).

Die Europäische Union setzt mit der DSGVO hohe Maßstäbe hinsichtlich des Schutzes der Daten ihrer Bürger. Die Rechte der Betroffenen gegenüber den datenverarbeitenden Verantwortlichen sind umfangreich. Die Privatsphäre ist ein höchst schützenswertes Gut und die Möglichkeit der Selbstbestimmung über die Verwendung der eigenen Daten gegeben. Dieses Recht auf informationelle Selbstbestimmung ist bereits in Art. 8 der EU-Grundrechtecharta festgelegt.

DSGVO bricht nationales Recht

Im Zweifelsfall genießen die Vorschriften der DSGVO Vorrang vor den Bestimmungen des Bundesdatenschutzgesetzes. Hier gilt der Grundsatz „europäisches Recht bricht nationales Recht“. Datenschutz in Deutschland nach europäischem Leitbild beruht in erster Linie auf dem sogenannten „Verbot mit Erlaubnisvorbehalt“. Diese juristische Formulierung bedeutet, dass keine personenbezogenen Daten ohne Rechtsgrundlage erhoben und verarbeitet werden dürfen. Diese Rechte sind in Art. 6 Abs. 1 DSGVO festgelegt.

Eine Legitimierung für die Datenverarbeitung stellt die Einwilligung durch die betroffene Person dar. Diese ist dann nicht notwendig, wenn die Verarbeitung der Daten beispielsweise in Zusammenhang mit der Erfüllung eines Vertrages erfolgt oder eine rechtliche Verpflichtung zur Datenverarbeitung vorliegt. In jedem Fall haben die Verantwortlichen jedoch zahlreiche Schutz-, Transparenz- und Organisationspflichten zu erfüllen. Diese Pflichten zu erfüllen, obliegt den Unternehmen. Die Beratung der Verantwortlichen erfolgt durch einen internen oder externen Datenschutzbeauftragten. Dieser hat die Geschäftsführung über notwendige Maßnahmen zu unterrichten und zu beraten. Außerdem fungiert er als Ansprechpartner für die zuständige Datenschutzbehörde.

Gesetzeskonformes Datenschutzmanagement

Der Datenschutzbeauftragte berät auch darüber, wie die Vorschriften der DSGVO entsprechend umzusetzen sind. Die Verantwortung jedoch trägt weiterhin das Management. So haben die verantwortlichen Stellen ein Verarbeitungsverzeichnis (Art. 30 DSGVO) zu führen, das dokumentiert, wann, wie und zu welchem Zweck die personenbezogenen Daten verarbeitet werden. Die Datenschutzerklärung auf der Webseite informiert die Nutzer über ihre Rechte in Verbindung mit der Datenschutz-Grundverordnung (Art. 30 DSGVO).

Neben der Datenschutzerklärung muss auch der Verantwortliche weitere Maßnahmen zur Information der Betroffenen ergreifen. So sind sie schon bei der erstmaligen Erhebung der Daten zu informieren (Art. 13 DSGVO). Der Betroffene kann auch aktiv selbst Informationen mittels einer Betroffenenanfrage direkt beim Verantwortlichen einfordern. Solche Anfragen sind innerhalb eines Monats zu beantworten (Art. 12 Abs. 3 DSGVO).

Ein wichtiges Element der Datenschutzdokumentation sind die technischen und organisatorischen Maßnahmen (TOM). In den TOM soll möglichst detailliert beschrieben werden, welche Maßnahmen ein Unternehmen ergreift, um die Einhaltung der Datensicherheit zu gewährleisten.

Außerdem ist eine Datenschutz-Folgenabschätzung Teil der Dokumentation. Diese ist immer dann notwendig, wenn die Datenverarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben könnte (Art. 35 DSGVO). Das gilt insbesondere, wenn Daten der besonderen Kategorie nach Art. 9 DSGVO verarbeitet werden.

Die DSGVO bringt auch einige Änderungen im Bereich des Personalmanagements mit sich. Die Regeln für rechtmäßige Werbemaßnahmen sind ebenfalls verschärft worden und stellen die Unternehmen nun vor die Herausforderung, ihre Prozesse auf Datenschutzkonformität nach DSGVO und BDSG-neu zu überprüfen und anzupassen.

Unmittelbar anwendbares Recht

Obwohl die Regelungen der DSGVO im Zweifelsfall Vorrang vor den nationalen Bestimmungen genießen, lässt dieses in Europa zwingend anwendbare Recht dennoch Spielraum auf nationaler Ebene in Form sogenannter Öffnungsklauseln zu. Diese erlauben den Mitgliedstaaten, eigene, ergänzende Regelungen zu erlassen. Daher findet in Deutschland das Bundesdatenschutzgesetz Anwendung neben der Datenschutz-Grundverordnung.

Um den Datenschutz im Unternehmen DSGVO-konform umzusetzen, müssen Unternehmen ihre Prozesse hinsichtlich des Datenschutzes überprüfen, geeignete Maßnahmen treffen und auch einige technische und organisatorische Instrumente einführen.

In jedem Fall steht fest, dass die DSGVO einiges an Arbeit für Unternehmen bereithält. Als Wegweiser in Bezug auf die neue Rechtslage empfiehlt es sich, den Rat eines Datenschutzbeauftragten einzuholen.

Tags
  • DSGVO
  • Datenschutz
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649