EU-Datenschutzgrundverordnung – wesentliche Neuerungen

5. Juli 2016

Mit der kürzlich beschlossenen EU-Datenschutzgrundverordnung (DSGVO) wird ein einheitliches europäisches Datenschutzrecht geschaffen. Anwendbar ist die DSGVO ab dem 25.5.2018. Unternehmen haben jetzt also noch knapp 2 Jahre Zeit, um sich auf die Änderungen vorzubereiten. Nachstehend wird eine Auswahl wesentlicher Neuerungen vorgestellt, auf die sich Internetanbieter frühzeitig einstellen sollten.

Inhalt

Recht auf Datenübertragbarkeit, Art. 20 DSGVO
Recht auf Vergessenwerden, Art. 17 DSGVO
Mindestalter Einwilligung
Datenschutz durch Technik („Data Protection by Design“)
Datenschutz durch Voreinstellungen („Data Protection by Default“)
Datenschutz-Folgenabschätzung
Betrieblicher Datenschutzbeauftragter

Recht auf Datenübertragbarkeit, Art. 20 DSGVO

Nach Art. 20 DSGVO hat der Betroffene das Recht, seine personenbezogenen Daten, bspw. Fotos, Kontaktlisten, veröffentlichte Nachrichten o.ä. aus einer Anwendung, bspw. einem sozialen Netzwerk, auf eine andere Anwendung zu übertragen oder übertragen zu lassen.

Konkret soll der Betroffene das Recht haben, seine personenbezogenen Daten von einer automatisierten Anwendung in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an eine andere Anwendung zu übermitteln, oder – soweit dies technisch machbar ist – direkt von der alten Anwendung an die neue Anwendung übermitteln zu lassen.

Grundsätzlich sicher ein zukunftsweisender Gedanke, die praktische Umsetzung dürfte allerdings nur bei zumindest annähernd vergleichbaren Formate der jeweiligen Anwendungen gelingen.

Recht auf Vergessenwerden, Art. 17 DSGVO

Wenn die Speicherung personenbezogener Daten für die Zwecke, für welche die Daten erhoben oder auf sonstige Weise verarbeitet wurden,nicht mehr notwendig ist, so müssen sie nach Art. 17 DSGVO auf Verlangen des Betroffenen gelöscht werden. Ausnahmen bestehen u.a. dann, wenn das Recht auf freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen, wenn die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient oder wenn die Speicherung zur Geltendmachung von Rechtsansprüchen erforderlich ist.

Das entspricht soweit der bisherigen Rechtslage. Neu ist aber, dass der Anbieter im Falle, dass er die Daten des Betroffenen öffentlich gemacht hat, unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, treffen muss, um dritte Datenverarbeiter darüber zu informieren, dass der Betroffene die Löschung aller Links zu seinen personenbezogenen Datensowie von Kopien oder Replikationen dieser Daten verlangt hat.

Verlangt der Betroffene also die Löschung seiner Daten, dann kann die o.g. Informationspflicht für den Anbieter recht hohen Aufwand mit sich bringen, je nachdem welche Maßnahmen Datenschutzbehörden und Gerichte künftig für noch „angemessen“ im o.g. Sinne erachten.

Mindestalter Einwilligung

Für die datenschutzrechtliche Einwilligung von Minderjährigen sieht Art. 8 Abs. 1 DSGVO eine Altersgrenze vor, bei deren Unterschreitung die Einwilligung unwirksam ist bzw. vom Träger der elterlichen Verantwortung erteilt werden muss oder dessen Zustimmung bedarf. Diese Altersgrenze liegt bei 16 Jahren und kann von den EU-Mitgliedsstaaten gesenkt werden, darf jedoch 13 Jahre nicht unterschreiten.

Nach Artikel 8 Abs. 2 DSGVO muss der Verantwortliche unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen unternehmen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde. Daraus könnte man ableiten, dass der Verantwortliche sich auf eine Altersangabe des Nutzers grundsätzlich erst einmal verlassen darf und erst aktiv werden muss, wenn eine Altersangabe das Mindestalter unterschreitet.

Abgesehen davon berührt die Altersgrenze natürlich nur die Einwilligung in die Verarbeitung personenbezogener Daten. Die Wirksamkeit eines über die Website abgeschlossenen Vertrages richtet sich hingegen nach wie vor nach den einschlägigen Bestimmungen des (nationalen) Zivilrechts.

Datenschutz durch Technik („Data Protection by Design“)

Es sind geeignete technische Maßnahmen zur Datenvermeidung zu treffen, bspw. Minimierung der Verarbeitung personenbezogener Daten, schnellstmögliche Pseudonymisierung, Herstellung von Transparenz über die Verarbeitung, Ermöglichung einer Überwachung der Verarbeitung durch den Betroffenen.

Datenschutz durch Voreinstellungen („Data Protection by Default“)

Voreinstellungen müssen so getroffen werden, dass grundsätzlich nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Das betrifft die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.

Datenschutz-Folgenabschätzung

Birgt eine Verarbeitung personenbezogener Daten, insbesondere bei der Verwendung neuer Technologien, ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, so ist eine Datenschutz-Folgenabschätzung durchzuführen. Als Beispielsfälle nennt die DSGVO Bewertungen natürlicher Personen, die auf automatisierte Verarbeitung einschließlich Profiling gestützt werden und als Grundlage für Entscheidungen von besonderer Tragweite für die Betroffenen genutzt werden, außerdem eine umfangreiche Verarbeitung besonders sensibler Daten sowie eine systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Die Datenschutzbehörden können Positiv- und Negativlisten für einzelne Verfahren veröffentlichen.

Betrieblicher Datenschutzbeauftragter

Die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten besteht nach der DSGVO für Unternehmen anders als bisher im Wesentlichen nur noch dann, wenn dieKerntätigkeit des Unternehmens eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen mit sich bringt oder besonders sensible Daten verarbeitet werden. Die Mitgliedstaaten können allerdings weitergehende Fälle regeln, in denen ein Datenschutzbeauftragter bestellt werden muss. Es wird also abzuwarten bleiben, ob und in welchem Umfang Deutschland davon Gebrauch macht.

Den Text der DSGVO in Englisch und Deutsch finden Sie hier: https://www.bvdnet.de/DSGVO.html.

In der kommenden Zeit werden wir voraussichtlich Informationen zu weiteren Regelungen der DSGVO veröffentlichen, bspw. zur Nutzung von Daten für Werbung und zur Übermittlung von Daten in Drittländer.

Autor: Rechtsanwalt Marc Dimolaidis LL.M.

WEITERE ARTIKEL ZUM DATENSCHUTZRECHT: