EU-Datenschutzgrundverordnung – neuer Datenschutz ab 2018

Obwohl es bereits eine europäische Datenschutzrichtlinie gab, war der Datenschutz in der EU bisher uneinheitlich geregelt. Das änderte sich am 25. Mai 2018 – seitdem gilt die EU-Datenschutzgrundverordnung, die die bis dahin geltende Richtlinie 95/46/EG aus dem Jahr 1995 ablöste. Mit der neuen Verordnung gibt es in der gesamten Europäischen Union einheitliche Regeln zum Umgang mit personenbezogenen Daten. Zudem wird mit der EU-Datenschutzgrundverordnung der freie Datenverkehr in der Europäischen Union geregelt.

Einheitlicher Datenschutz

Die EU-Datenschutzgrundverordnung wurde nach langen Verhandlungen bereits im Jahr 2015 beschlossen, seit dem 25. Mai 2018 ersetzt die Verordnung die bisherigen Regelungen. Anders als die alte Richtlinie, welche die einzelnen Mitgliedsstaaten in nationales Recht umwandeln mussten, gilt die neue Verordnung unmittelbar in der ganzen EU. Somit sind in allen Ländern der Europäischen Union die Spielregeln weitestgehend gleich.

Für die EU-Datenschutzgrundverordnung gilt das Marktortprinzip. Auch Unternehmen, die ihren Sitz außerhalb der EU haben, müssen den hier geltenden Datenschutz beachten, wenn sie Waren oder Dienstleistungen innerhalb der EU anbieten. Das betrifft z. B. auch Unternehmen wie Google oder Facebook.

EU-Datenschutzgrundverordnung: Datenschutz mit Konzept

Unternehmen sind dazu verpflichtet, ein Datenschutzkonzept zu verwirklichen und dieses stetig weiterzuentwickeln. Bereits bei der Planung neuer Angebote oder neuer Techniken muss der Datenschutz in die Erwägungen mit einbezogen werden. Außerdem soll eine regelmäßige Risikoanalyse Verstöße gegen die Verordnung verhindern. Die Grundeinstellungen sind möglichst datenschutzfreundlich zu gestalten. Das bedeutet, dass Sie als Betroffener nicht mehr nach oft versteckten Einstellungen suchen müssen, um den Datenschutz von Anwendungen oder in Kundenkonten zu verbessern. Ein Konzernprivileg zur Speicherung personenbezogener Daten sieht auch die EU-Datenschutzgrundverordnung nicht vor. Verschiedene Unternehmen können sich deshalb auch zu einer datenverarbeitenden Stelle zusammenschließen und gelten dann als gemeinsam verantwortlich.

Wichtige Regelungen

Die EU-Datenschutzgrundverordnung stellt Anforderungen an die Verarbeitung personenbezogener Daten und regelt Betroffenenrechte. Dazu gehören unter anderem:

  • Einwilligung: Eine Einwilligung stellt eine Rechtsgrundlage dar, um personenbezogene Daten zu verarbeiten. Die Einwilligung muss unmissverständlich und freiwillig erteilt werden. Sie kann jederzeit für die Zukunft widerrufen werden.
  • Informationspflicht: Ein Betrieb muss Ihnen bestimmte Informationen zum Unternehmen und zur internen Verarbeitung Ihrer Daten geben. Die Informationen müssen verständlich und einfach formuliert sein.
  • Auskunft: Sie haben das Recht zu erfahren, welche Daten ein Unternehmen über Sie gespeichert hat. Diese Auskunft muss in einfach verständlicher Form erfolgen. Das Gesetz besagt, dass Sie diese Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ erhalten müssen.
  • Löschung: Entfällt die Grundlage zur Speicherung personenbezogener Daten, weil Sie beispielsweise nicht mehr Kunde sind, haben Sie grundsätzlich das Recht, die Löschung Ihrer Daten zu verlangen, wenn Aufbewahrungsfristen abgelaufen sind. Auch bei unrichtigen oder zu Unrecht gespeicherten Daten können Sie die Löschung oder zumindest die Sperrung Ihrer persönlichen Informationen verlangen.

Damit ein Unternehmen Ihre Daten verarbeiten darf, muss ein sogenannter „Erlaubnistatbestand“ vorliegen. Dieser ist z. B. gegeben, wenn die Datenverarbeitung zwingend für die Erfüllung des geschlossenen Vertrags notwendig ist. Somit ist für die standardmäßige Verarbeitung Ihrer Daten auch heute nicht unbedingt eine schriftliche Zustimmung erforderlich. Für die Speicherung und Verarbeitung von besonderen personenbezogenen Daten wie Angaben zu Religion, Gesundheit, Zugehörigkeit zu einer Gewerkschaft oder sexueller Orientierung ist hingegen zwingend ein schriftliches Einverständnis erforderlich.

Bußgelder empfindlich hoch

Die Bußgelder für Verstöße gegen den Datenschutz wurden durch die EU-Datenschutzgrundverordnung massiv erhöht. Der maximale Strafrahmen liegt bei bis zu 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes, je nachdem, welche Summe höher ist. Unternehmen, welche die EU-Datenschutzgrundverordnung missachten, müssen somit seit Mai 2018 mit deutlich höheren Sanktionen rechnen. Für Verbraucher bringt die Verordnung also einige Vorteile mit sich, denn Betriebe sind angehalten, sensibler mit Kundendaten umzugehen. Die weitgehende Harmonisierung des EU-Datenschutzes sowie eine höhere Transparenz in Bezug auf die Nutzung und Verarbeitung von Kundendaten kann ebenfalls als Pluspunkt gesehen werden.