GDPR
Die Allgemeine Datenschutzverordnung (engl. General Data Protection Regulation oder GDPR) ist eine neue bahnbrechende EU-Gesetzgebung, die den Schutz personenbezogener Daten von Bürgern erheblich verbessern wird.
Die Verordnung führt nun das Prinzip der Verantwortung ein, das bedeutet, dass Datenverantwortliche und -verarbeiter unabhängig von ihrer Größe oder Anzahl der Mitarbeiter technische, organisatorische und prozessuale Maßnahmen einführen müssen, um die Einhaltung der Grundsätze der DSGVO nachzuweisen. Die Umsetzung des Prinzips der Verantwortung erfordert erhebliche Zeit- und finanzielle Investitionen für Unternehmer. Sie werden insbesondere folgende Bereiche betreffen:
- Implementierung einer bewussten und notwendigen Datensicherheit
- Erstellung einer Datenschutz-Folgenabschätzung (DPIA - Data Protection Impact Assessment)
- Benennung eines Datenschutzbeauftragten (DPO - Data Protection Officer)
- Einführung der sogenannten Pseudonymisierung personenbezogener Daten
- Führung von Aufzeichnungen über Verarbeitungstätigkeiten
- Konsultation der Aufsichtsbehörde vor der eigentlichen Verarbeitung personenbezogener Daten
Pseudonymisierung bedeutet die Verarbeitung personenbezogener Daten in einer Weise, dass sie nicht mehr einer bestimmten Person zugeordnet werden können, ohne zusätzliche Informationen, die getrennt gespeichert und gegen erneute Zuordnung zu den ursprünglichen Daten geschützt werden.
Ein weiteres Prinzip im Zusammenhang mit der Verantwortungspflicht ist die Pflicht der Verantwortlichen oder Verarbeiter, Aufzeichnungen über Verarbeitungstätigkeiten zu führen. Jeder Verantwortliche und Verarbeiter ist verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten und auf deren Anfrage diese Aufzeichnungen zugänglich zu machen, um auf deren Grundlage Überwachungsvorgänge dieser Verarbeitung durchführen zu können.
Ab wann?
Die DSGVO gilt ab dem 25. Mai 2018 und stellt einen neuen rechtlichen Rahmen für den Schutz personenbezogener Daten im europäischen Raum dar. Ihr Ziel ist es, die Rechte von EU-Bürgern gegen unbefugte Nutzung ihrer Daten und personenbezogenen Informationen so weit wie möglich zu schützen. Die DSGVO betrifft alle Unternehmen und Institutionen, aber auch Einzelpersonen und Online-Dienste, die Daten von Benutzern verarbeiten.
Das Ziel der Gesetzgeber war es, den europäischen Bürgern mehr Kontrolle darüber zu geben, was mit ihren Daten geschieht. Daher führt die DSGVO astronomisch hohe Geldstrafen für Verstöße gegen die neuen, strengeren Regeln ein und verlangt von größeren Datenverarbeitern die Einrichtung einer unabhängigen Kontrollfunktion (DPO - Data Protection Officer). Die Aufgabe des DPO besteht darin, die ordnungsgemäße Behandlung personenbezogener Daten zu überwachen und mögliche Datenlecks oder Gesetzesverstöße zu melden.
Personenbezogene Daten
In der bestehenden Richtlinie von 1995 und der DSGVO werden personenbezogene Daten definiert als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Zu den allgemeinen personenbezogenen Daten gehören Name, Geschlecht, Alter und Geburtsdatum, Familienstand, aber auch IP-Adresse und Fotografie. Angesichts der Tatsache, dass die DSGVO auch für selbständige Unternehmer gilt, gehören auch organisatorische Daten wie E-Mail-Adresse, Telefonnummer oder verschiedene staatlich ausgestellte Identifikationsdaten zu den personenbezogenen Daten.
Sanktionen
Bei Verstößen, Nichtumsetzung oder Nichtvorbereitung auf die neue Verordnung drohen den betroffenen Parteien hohe Geldstrafen, die in vielen Fällen sogar existenzbedrohend sein können.
Die DSGVO führt Strafen ein, die um ein Vielfaches höher sind als das, was wir bisher gewohnt waren, ähnlich den Vorschriften zum Schutz des Wettbewerbs. Ihre Höchstgrenze beträgt 20.000.000 Euro oder 4% des gesamten Jahresumsatzes des Unternehmens (abhängig von der höheren der beiden Optionen) und hängt von einer Reihe von Faktoren ab, wie z. B. Art, Schwere und Dauer der Verstöße, Anzahl der betroffenen Personen und das Ausmaß des Schadens, die vom Verantwortlichen oder Verarbeiter ergriffenen Maßnahmen zur Schadensbegrenzung, die Art der personenbezogenen Daten, die durch den Verstoß betroffen sind, und viele andere.
Es ist wichtig zu betonen, dass die Höchststrafen sowohl kleinen Unternehmen mit fünf Mitarbeitern als auch großen multinationalen Konzernen verhängt werden können, wenn sie nicht die erforderlichen Schritte zur Einhaltung der Grundsätze und Pflichten gemäß der DSGVO unternehmen.
Neben der Verhängung dieser Geldstrafen können Verantwortliche oder Verarbeiter personenbezogener Daten auch Klagen von Privatpersonen ausgesetzt sein, die Schadensersatzansprüche bei materiellen oder immateriellen Schäden geltend machen. Schließlich sind Unternehmen Risiken des Vertrauensverlusts und des Reputationsrisikos aufgrund unsachgemäßer Behandlung personenbezogener Daten ausgesetzt.