DSGVO – Ziele und Grundsätze – Was auf Sie zukommt – Teil 1

Ein Gastbeitrag zur DSGVO von:

Dr. Oliver Hornung, Rechtsanwalt für IT & Digital Business

und Partner von SKW Schwarz Rechtsanwälte

 

Folgende Themen werden in dieser Beitragsserie behandelt

  1. Ziele und Grundsätze.
  2. Rechte der Betroffenen.
  3. Pflichten für Unternehmen.
  4. Internationale Datentransfers ins Ausland.
  5. Technischer und organisatorischer Datenschutz.
  6. Auftragsdatenverarbeitung.
  7. Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten.
  8. Neues europäisches Datenschutzrecht gilt auch für Website-Betreiber.
  9. Aufsichtsbehörden.
  10. Bußgelder und Sanktionen.
  11. Beschäftigtendatenschutz.
  12. Was ist für Unternehmen zu tun?

 

Ziele und Grundsätze der europäischen Datenschutz Grundverordnung (DSGVO)

 

Die Ziele der DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf den Schutz personenbezogener Daten sowie der freie Verkehr personenbezogener Daten. Diese Ziele sollen durch die in Artikel 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht.

Zwar werden viele in Deutschland bekannte Grundsätze beibehalten und weiterentwickelt. Die genaue Umsetzung der DSGVO unterscheidet sich allerdings oft von der aktuellen Situation im BDSG. Die DSGVO enthält darüber hinaus wesentliche neue Elemente und Regelungsinhalte.

So gilt die DSGVO für alle für die Verarbeitung Verantwortlichen und Auftragsdatenverarbeiter in der Europäischen Union. Sie gilt aber auch für Leistungsangebote oder Verhaltensbeobachtungen von in der Europäischen Union durch Datenverarbeiter außerhalb der Europäischen Union. Mit dem sogenannten Marktortprinzip enthält die DSGVO mithin einen nahezu weltweiten Anwendungsbereich.

Die immer noch umstrittene Frage, wann es sich genau um geschützte personenbezogene Daten handelt, beantwortet auch die DSGVO nicht präzise. Die bisherigen Unsicherheiten im Detail werden also nicht sicher ausgeräumt. Neu ist eine sogenannte gemeinsame Verantwortung für personenbezogene Daten durch mehrere Stellen. Ebenfalls neu ist der Begriff des „Profiling“, um personenbezogene Aspekte zu analysieren oder vorherzusagen. Für den Umgang mit personenbezogenen Daten bleibt es bei dem Verbotsprinzip: Der Umgang mit personenbezogenen Daten ist verboten, außer soweit er nach der DSGVO rechtmäßig ist. Wichtigste Rechtmäßigkeitsalternativen sind: Die Einwilligung des Betroffenen, die vertragliche Erfüllung oder vorvertragliche Maßnahmen, die Umsetzung rechtlicher Verpflichtungen, die Wahrnehmung berechtigter Interessen soweit nicht die Interessen des Betroffenen überwiegen.

Für eine Einwilligung ist eine stark informierte, freiwillige und unmissverständliche Willensbekundung des Betroffenen erforderlich. Eine bestimmte Form ist – anders als derzeit im BDSG – nicht vorgeschrieben. Die Einwilligung ist jederzeit frei widerruflich mit Wirkung für die Zukunft. Ein für die Verarbeitung Verantwortlicher muss das Vorliegen einer Einwilligung nachweisen können. Die Verarbeitung besonderer Kategorien personenbezogener Daten (etwa über ethnische Herkunft, Religion, Gesundheit, biometrische Merkmale oder Sexualleben) ist nur unter besonderen Voraussetzungen zulässig.