EU-DSGVO und Recht

Permanent online mit den Paragraphen

Von Karl-Heinz Möller · 2018

Die Einführung neuer Strafvorschriften nach EU-DSGVO bringen im Vergleich zu den bisher gültigen Bedingungen des Bundesdatenschutzgesetzes BDSG erhebliche Schärfungen und empfindlichen Strafzahlungen. Die Beachtung der international geltenden Regeln wird dringend empfohlen. Um die speziellen Strukturen dafür zu schaffen, bleibt gerade noch Zeit bis zum 25. Mai 2018.

Ein Würfel mit einem aufgedruckten Paragraphen liegt auf einer Laptoptastatur. Symbolbild EU-DSGVO und Recht

Datenschutz war für Unternehmer wie Shop-Betreiber oder Dienstleister schon immer ein äußerst heikles Thema. Kundenbestellungen, Direktwerbung, Mail-Kampagnen oder Nutzertracking: Viele Aktionen glichen einer Gratwanderung und gelten juristisch als ein hochsensibles Betätigungsfeld. Während in Deutschland nach dem aktuellen Bundesdatenschutzgesetz (BDSG) Verstöße mit bis zu 300.000 Euro geahndet wurden, erreicht mit der neuen Datenschutzgrundverordnung das Thema eine neue Dimension. Abgesehen vom wesentlich höheren Aufwand und enormer Komplexität sind in Zukunft Strafzahlungen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes eines Konzerns möglich.

EU-DSGVO und Recht: Dokumentation und Richtlinien zur Folgeabschätzung gehören zum Repertoire

Da sich das Zeitfenster für durchgreifende interne Maßnahmen bald schließt, sollten Punkte geklärt sein, die rechtliche Konsequenzen nach sich ziehen könnten. Konkret bedeutet dies im Einzelnen, dass alle Datenverarbeitungsprozesse, die personenbezogene Daten betreffen, penibel erfasst und dokumentieren sind. Dazu gehören fixierte Richtlinien zur zukünftigen Verarbeitung personenbezogener Daten, damit eine Datenschutz-Folgenabschätzung möglich wird.

Sieben Prinzipien liegen in rechtlicher Betrachtung der Verordnung zugrunde: „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“, „Zweckbindung“, „Datenminimierung”, „Richtigkeit“, „Speicherbegrenzung”, „Integrität und Vertraulichkeit“ und „Rechenschaftspflicht“. Demnach müssen personenbezogene Daten sachlich richtig und rechtlich auf dem neuesten Stand sein. Angemessene Maßnahmen sind darüber hinaus zu treffen, falls sie im Zusammenhang ihrer Verarbeitung falsch gespeichert wurden. Speicherbegrenzung bedeutet, dass personenbezogene Daten nur in einer Form gespeichert werden, die für die Identifizierung der betroffenen Personen erforderlich sind. Es sei denn, die Speicherung liegt im öffentlichen Interesse und ist für Archivzwecke oder für wissenschaftliche und historische Forschungungen oder für statistische Analysen wichtig.

Im Detail unterscheidet die EU-DSGVO in Daten, die beim Betroffenen erhoben werden und Daten, die anderweitig erhoben wurden. Webseitenbetreiber müssen die Verarbeitungszwecke und deren Rechtsgrundlage benennen.

Wenn eine Übermittlung personenbezogener Daten an Dritte beabsichtigt ist, sind die konkreten Empfänger anzugeben. Werden die Daten bei Betroffenen erhoben, müssen sie darauf hingewiesen werden, ob die Bereitstellung für einen Vertragsschluss erforderlich ist.

Quelle: Ponemon Institute; IBM, 2017

Für international operierende Händler gilt die Methode des One-Stop-Shop

Weitere Informationspflichten betreffen die Speicherdauer, Betroffenenrechte wie Zugang, Berichtigung, Sperrung, Löschung, Widerspruch und Datenübertragbarkeit. So ist auch das Zugriffsrecht als Ergänzung zum Auskunftsrecht anders als bisher geregelt.

Mit der Datenschutzgrundverordnung wird das Verfahren rund um Datenschutzverstöße und Streitigkeiten vereinfacht. International operierenden Online-Händlern, ist bereits die Methode des One-Stop-Shop vertraut. Sie ermöglicht den EU-Bürgern, dass sie sich bei Beschwerden immer an ihre eigene Datenschutzbehörde wenden können.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 1106
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1498644329
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)