Die zunehmende Internationalisierung des Handels und soziale Medien führten dazu, dass die personenbezogenen Daten der Bürger nicht mehr innerhalb der Grenzen des Landes verarbeitet werden, in welchem die Betroffenen ihren Wohnsitz haben.
Die DSGVO
Die DSGVO als Grundverordnung gibt den Mitgliedsstaaten zwingend umzusetzende Grundregeln vor. Sie erlaubt den Mitgliedstaaten jedoch, durch sogenannte „Öffnungsklauseln“ länderspezifische Änderungen vorzunehmen. Diese dürfen aber die Vorgaben der DSGVO nicht aufweichen oder das dort festgelegte Schutzniveau unterschreiten. In Deutschland sind die Öffnungsklauseln der DSGVO in der neuen Fassung des Bundesdatenschutzgesetzes festgelegt (BDSG-neu).
Die Europäische Union setzt mit der DSGVO hohe Maßstäbe hinsichtlich des
Schutzes der Daten ihrer Bürger. Die Rechte der Betroffenen gegenüber den
datenverarbeitenden Verantwortlichen sind umfangreich. Die Privatsphäre ist ein
höchst schützenswertes Gut und die Möglichkeit der Selbstbestimmung über die
Verwendung der eigenen Daten gegeben. Dieses Recht auf informationelle
Selbstbestimmung ist bereits in Art. 8 der EU-Grundrechtecharta festgelegt.
DSGVO bricht nationales Recht
Im Zweifelsfall genießen die Vorschriften der DSGVO Vorrang vor den
Bestimmungen des Bundesdatenschutzgesetzes. Hier gilt der Grundsatz
„europäisches Recht bricht nationales Recht“. Datenschutz in Deutschland nach
europäischem Leitbild beruht in erster Linie auf dem sogenannten „Verbot mit
Erlaubnisvorbehalt“. Diese juristische Formulierung bedeutet, dass keine
personenbezogenen Daten ohne Rechtsgrundlage erhoben und verarbeitet werden
dürfen. Diese Rechte sind in Art. 6 Abs. 1 DSGVO festgelegt.
Eine Legitimierung für die Datenverarbeitung stellt die Einwilligung durch die betroffene Person dar. Diese ist dann nicht notwendig, wenn die Verarbeitung der Daten beispielsweise in Zusammenhang mit der Erfüllung eines Vertrages erfolgt oder eine rechtliche Verpflichtung zur Datenverarbeitung vorliegt. In jedem Fall haben die Verantwortlichen jedoch zahlreiche Schutz-, Transparenz- und Organisationspflichten zu erfüllen. Diese Pflichten zu erfüllen, obliegt den Unternehmen. Die Beratung der Verantwortlichen erfolgt durch einen internen oder externen Datenschutzbeauftragten. Dieser hat die Geschäftsführung über notwendige Maßnahmen zu unterrichten und zu beraten. Außerdem fungiert er als Ansprechpartner für die zuständige Datenschutzbehörde.
Gesetzeskonformes Datenschutzmanagement
Der Datenschutzbeauftragte berät auch darüber, wie die Vorschriften der DSGVO entsprechend umzusetzen sind. Die Verantwortung jedoch trägt weiterhin das Management. So haben die verantwortlichen Stellen ein Verarbeitungsverzeichnis (Art. 30 DSGVO) zu führen, das dokumentiert, wann, wie und zu welchem Zweck die personenbezogenen Daten verarbeitet werden. Die Datenschutzerklärung auf der Webseite informiert die Nutzer über ihre Rechte in Verbindung mit der Datenschutz-Grundverordnung (Art. 30 DSGVO).
Neben der Datenschutzerklärung muss auch der Verantwortliche weitere Maßnahmen zur Information der Betroffenen ergreifen. So sind sie schon bei der erstmaligen Erhebung der Daten zu informieren (Art. 13 DSGVO). Der Betroffene kann auch aktiv selbst Informationen mittels einer Betroffenenanfrage direkt beim Verantwortlichen einfordern. Solche Anfragen sind innerhalb eines Monats zu beantworten (Art. 12 Abs. 3 DSGVO).
Ein wichtiges Element der Datenschutzdokumentation sind die technischen und organisatorischen Maßnahmen (TOM). In den TOM soll möglichst detailliert beschrieben werden, welche Maßnahmen ein Unternehmen ergreift, um die Einhaltung der Datensicherheit zu gewährleisten.
Außerdem ist eine Datenschutz-Folgenabschätzung Teil der Dokumentation. Diese ist immer dann notwendig, wenn die Datenverarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben könnte (Art. 35 DSGVO). Das gilt insbesondere, wenn Daten der besonderen Kategorie nach Art. 9 DSGVO verarbeitet werden.
Die DSGVO bringt auch einige Änderungen im Bereich des Personalmanagements mit sich. Die Regeln für rechtmäßige Werbemaßnahmen sind ebenfalls verschärft worden und stellen die Unternehmen nun vor die Herausforderung, ihre Prozesse auf Datenschutzkonformität nach DSGVO und BDSG-neu zu überprüfen und anzupassen.
Unmittelbar anwendbares Recht
Obwohl die Regelungen der DSGVO im Zweifelsfall Vorrang vor den nationalen
Bestimmungen genießen, lässt dieses in Europa zwingend anwendbare Recht dennoch
Spielraum auf nationaler Ebene in Form sogenannter Öffnungsklauseln zu. Diese
erlauben den Mitgliedstaaten, eigene, ergänzende Regelungen zu erlassen. Daher
findet in Deutschland das Bundesdatenschutzgesetz Anwendung neben der
Datenschutz-Grundverordnung.
Um den Datenschutz im Unternehmen DSGVO-konform umzusetzen, müssen
Unternehmen ihre Prozesse hinsichtlich des Datenschutzes überprüfen, geeignete
Maßnahmen treffen und auch einige technische und organisatorische Instrumente
einführen.
In jedem Fall steht fest, dass die DSGVO einiges an Arbeit für Unternehmen
bereithält. Als Wegweiser in Bezug auf die neue Rechtslage empfiehlt es sich,
den Rat eines Datenschutzbeauftragten einzuholen.