Schutz personenbezogener Daten

Die ‚Verordnung (EU) 2016/679 – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr‘ tritt ab 25. Mai 2018 in Kraft. Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Die Datenschutz-Grundverordnung stärkt bestehende Rechte, führt neue Rechte ein und ermöglicht Bürgern der Europäischen Union (EU) eine bessere Kontrolle über ihre personenbezogenen Daten. Diese umfassen:

• einfacherer Zugang zu personenbezogenen Daten – einschließlich der Bereitstellung von umfassenderen Informationen zur Verarbeitung der Daten und Gewährleistung, dass diese Informationen klar und verständlich verfügbar gemacht werden;
• neues Recht auf Datenübertragbarkeit – einfachere Übermittlung personenbezogener Daten zwischen Anbietern;
• ein eindeutigeres Recht auf Löschung („Recht auf Vergessenwerden“) – wenn eine Person ihre Daten nicht länger verarbeiten lassen will und kein berechtigter Grund besteht, sie zu bewahren, werden die Daten gelöscht;
• Recht auf Unterrichtung über gehackte personenbezogene Daten – Unternehmen und Organisationen müssen Personen sofort über ernsthafte Verletzungen des Schutzes personenbezogener Daten informieren. Sie müssen außerdem die zuständige Datenschutzaufsichtsbehörde benachrichtigen.

Weiterhin gilt ebenfalls, dass die Verarbeitung personenbezogener Daten nur aufgrund eines Erlaubnistatbestands zulässig ist. Diese sind im Artikel 6 aufgeführt:

• Die betroffene Person hat ihre Einwilligung gegeben;
• die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich;
• die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
• die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen;
• die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt;
• die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.

Grundsätze der Verarbeitung personenbezogener Daten

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
• Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
• Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
• Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)
• Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
• Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)
• Außereuropäische Unternehmen, die eine Niederlassung in der EU haben oder Daten von Unionsbürgern erheben, unterliegen ebenfalls der einheitlichen EU-DSGVO (siehe Artikel 3 der VERORDNUNG (EU) 2016/679).

Relevanz für Webseiten

• Ersetzt die EU-DSGVO das Telemediengesetz?
  Aktuell wird vermutet, dass zunächst die Art. 12 bis 14 EU-DSGVO an die Stelle der §§ 11 ff. TMG treten. Die EU-DSGVO ist allerdings eher abstrakt gehalten und und wurde nicht wirklich für den Umgang mit Telemedien gemacht. Man sollte hier deshalb auf die ePrivacy-Verordnung warten, diese befindet sich derzeit noch im Gesetzgebungsverfahren.
• Datenschutzerklärung
  Alle Informationen sind zukünftig „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“. Fachleute sind sich einig, dass auch in Zukunft großer Wert auf datenschutzkonforme Angaben zu den Themen „Like-Buttons bei Social Media“, „Kontakt- und andere Web-Formulare“, „Cookies“ sowie „Analyse- und ähnliche Tools“ gelegt wird. Auch hier gibt es noch etliche Ungereimtheiten, die hauptsächlich dadurch entstehen, dass die eher behäbige Rechtsprechung nicht mit dem technischen Fortschritt Schritt halten kann. Hier muss noch auf einige Grundsatzurteile gewartet werden. Grundsätzlich ist jedoch zu befürchten, dass eine neue EU-DSGVO-konforme Datenschutzerklärung eher erheblich umfangreicher werden wird.
• Recht auf Vergessenwerden
  Auch hier sind Sie in der Pflicht, alle Daten auf Wunsch zu löschen und diese Löschung ggf. auch bei Dritten zu gewährleisten, wenn Sie Daten weitergegeben haben. Auch die Datenschutzerklärung muss in dieser Hinsicht erweitert werden. Hier sollte man auf alle Fälle unbedingt die weiteren Entwicklungen und Gerichtsentscheidungen im Auge behalten.
• Versand von Newslettern
  Die Voraussetzungen zur Verwendung von persönlichen Daten werden in der EU-DSGVO neu geregelt. Eine Einwilligung in den Erhalt von Newslettern darf nicht vom Vertragsabschluss abhängig gemacht werden, sofern diese nicht erforderlich für die Erfüllung des Vertrages sind.

Begriffserklärung

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …

Dokumente

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1-88)

Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89-131)

Ich habe die Informationen aufgrund unten aufgeführter Quellen zusammengetragen und niedergeschrieben und übernehme keine Gewähr für die Richtigkeit und/oder die Vollständigkeit der Angaben, die ich nach bestem Wissen zusammengetragen und zusammengefasst  habe. Sie geben völlig subjetiv meinen Kenntnisstand wieder und sollen keinerlei Rechtsberatung/-belehrung darstellen.

Quellen:

• https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung
• http://eur-lex.europa.eu