Derzeit ist die Datenschutz-Grundverordnung eine der einflussreichsten, wenn nicht sogar die am meisten diskutierte Datenschutzvorschrift weltweit. Der digitale Datenschutz rückt mehr und mehr in den Vordergrund der Geschäftspraktiken. Und das wird auch Zeit. 10 Jahre nach Bekanntwerden der Snowden-Akten befinden wir uns immer noch in den Anfängen des Schutzes unserer Privatsphäre.
In letzter Zeit haben die Behörden Stellung bezogen, und die Datenschutz-NGO noyb nimmt es mit den Großen(Facebook und Google) auf, und alles scheint auf die EU-Datenschutzverordnung (GDPR) hinauszulaufen. Dieser Artikel befasst sich näher mit diesem Datenschutzgesetz und geht auf einige allgemeine und wichtige Fragen dazu ein. Was ist die GDPR? Wann gilt sie? Wie wird sie durchgesetzt?
- Was ist die GDPR?
- Gilt die DSGVO unmittelbar?
- Wann gilt die Datenschutz-Grundverordnung?
- Für wen gilt die Datenschutz-Grundverordnung?
- Wer setzt die Datenschutz-Grundverordnung durch?
- Schützt die Datenschutz-Grundverordnung die Privatsphäre?
- Wer hat Rechte nach der Datenschutz-Grundverordnung?
- Was sind die Grundsätze der Datenschutz-Grundverordnung?
- Welche Daten sind personenbezogene Daten im Sinne der DSGVO?
- Welche Daten sind sensible Daten im Sinne der Datenschutz-Grundverordnung?
- Welche Datenrechte werden durch die Datenschutz-Grundverordnung geschützt?
- Was sind die Pflichten nach der DSGVO?
- Wie hoch sind die Bußgelder nach der Datenschutz-Grundverordnung?
- Erfordert die Datenschutz-Grundverordnung eine Einwilligung?
- Verlangt die Datenschutz-Grundverordnung eine Einwilligung für Cookies?
- Wie regelt die Datenschutz-Grundverordnung die Datenübermittlung?
- Ist die Datenschutz-Grundverordnung das einzige europäische Datenschutzgesetz?
- Wie erfülle ich die Datenschutz-Grundverordnung?
- Schlussfolgerungen
Finden wir es heraus!
Was ist die GDPR?
Die Allgemeine Datenschutzverordnung (GDPR) ist eine Verordnung der Europäischen Union (Verordnung (EU) 2016/679). Sie ist die wichtigste europäische Datenschutzverordnung und das Kernstück des europäischen Datenschutzrahmens. Die Verordnung wurde 2016 verabschiedet und ist 2018 in Kraft getreten.
Die DSGVO zielt darauf ab, die Datenrechte des Einzelnen zu schützen und gleichzeitig den freien Datenverkehr zu fördern. Diese Ziele sind nicht leicht unter einen Hut zu bringen, und deshalb ist die DSGVO eine lange und komplexe Rechtsvorschrift mit vielen Grundsätzen, Regeln und Ausnahmen. Aber kurz gesagt geht es in der DSGVO darum, was mit personenbezogenen Daten gemacht werden kann und was nicht.
Gilt die DSGVO unmittelbar?
Ja, denn sie ist eine Verordnung. Im europäischen Recht stehen Verordnungen im Gegensatz zu Richtlinien, da sie nicht umgesetzt werden müssen. Andererseits gelten Richtlinien nicht unmittelbar, sondern müssen von den Mitgliedstaaten durch nationale Rechtsvorschriften umgesetzt werden.
Die Datenschutz-Grundverordnung hatte mit der Datenschutzrichtlinie einen Vorgänger. Die Datenschutz-Grundverordnung übernimmt viele Vorschriften aus der Richtlinie, schafft aber eine solidere Grundlage für die Datenschutzrechte in allen Mitgliedstaaten, da sie eine Verordnung ist.
Wann gilt die Datenschutz-Grundverordnung?
Die Datenschutz-Grundverordnung gilt für alle Mitgliedstaaten der Europäischen Union und des Europäischen Wirtschaftsraums (im Wesentlichen die EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen).
Die DSGVO hat auch eine extraterritoriale Wirkung, da sie manchmal für Unternehmen und andere Einrichtungen außerhalb der EU/des EWR gilt. Die Regeln für den territorialen Geltungsbereich der DSGVO sind zu komplex, um sie in wenigen Worten zusammenzufassen, aber grob vereinfacht können wir sagen, dass sie für jedes Unternehmen oder jeden Dienst gilt , der auf einen europäischen Markt oder ein europäisches Publikum abzielt. Eine ausführlichere und genauere Erklärung finden Sie unter gdprhub.eu.
Es sei auch darauf hingewiesen, dass die Datenschutz-Grundverordnung nur für personenbezogene Daten gilt.
Für wen gilt die Datenschutz-Grundverordnung?
Die DSGVO gilt für die für die Datenverarbeitung Verantwortlichen und die Datenverarbeiter.
Der für die Datenverarbeitung Verantwortliche ist die Stelle, die die Datenverarbeitung "kontrolliert", da sie über die Mittel und Zwecke der Verarbeitung entscheidet. Der Datenverarbeiter hingegen ist die Stelle, die Daten im Auftrag einer anderen Person verarbeitet und deren Anweisungen befolgt. Wenn also ein Unternehmen einen Cloud-Dienst nutzt, um die personenbezogenen Daten von Mitarbeitern zu speichern, ist das Unternehmen der für die Datenverarbeitung Verantwortliche und der Cloud-Anbieter der Datenverarbeiter (während die Mitarbeiter die betroffenen Personen sind).
Andere Szenarien sind möglich. Wenn es zwei oder mehr für eine Verarbeitung Verantwortliche gibt, sind sie gemeinsam für die Verarbeitung verantwortlich. Und wenn ein Auftragsverarbeiter für einen anderen Auftragsverarbeiter arbeitet, ist er ein Unterauftragsverarbeiter.
Die Unterscheidung zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern ist wichtig, weil sie nach der Datenschutz-Grundverordnung unterschiedliche Pflichten haben. Sie ist auch kompliziert: Einige Fälle sind eindeutig, andere wiederum sind komplizierter.
Wer setzt die Datenschutz-Grundverordnung durch?
Sowohl Gerichte als auch Datenschutzbehörden setzen die Datenschutz-Grundverordnung durch.
Jeder EU- und EWR-Mitgliedstaat hat eine Datenschutzbehörde (DPA), und einige haben mehr als eine, wie Deutschland. Datenschutzbehörden sind Verwaltungsbehörden, die nach nationalem Recht handeln, um die DSGVO und das Datenschutzrecht durchzusetzen.
Alle Datenschutzbehörden sind Teil des Europäischen Datenschutzausschusses, einer EU-Institution, die die Durchsetzung der Datenschutz-Grundverordnung koordiniert. Der EDPB entscheidet über grenzüberschreitende Fälle, in denen sich die Datenschutzbehörden nicht einig sind. Der Ausschuss ist auch sehr aktiv bei der Herausgabe von Leitlinien, die zwar nicht bindend, aber sehr einflussreich sind.
Es ist auch möglich, die Datenschutz-Grundverordnung über die Justiz der Mitgliedstaaten durchzusetzen. Wenn also Ihre Rechte nach der DSGVO verletzt werden, können Sie vor Gericht gehen und Schadenersatz fordern oder eine Beschwerde bei Ihrer nationalen Datenschutzbehörde einreichen.
Zwischen diesen beiden Durchsetzungsmöglichkeiten gibt es wichtige Unterschiede. So sind Datenschutzbehörden beispielsweise nicht befugt, Schadenersatz zu leisten, und Zivilgerichte sind nicht befugt, Geldstrafen zu verhängen. Gerichte und Datenschutzbehörden spielen also unterschiedliche Rollen bei der Durchsetzung.
Rechtsmittel funktionieren bei Gerichten und DPAs unterschiedlich, aber in beiden Fällen kann ein Fall vor dem EU-Gerichtshof landen. Der Gerichtshof hat im Wesentlichen das letzte Wort bei der Auslegung der Datenschutz-Grundverordnung. Aus diesem Grund beziehen sich Datenschutzbehörden, Datenanwälte und nationale Gerichte bei der Auslegung der DSGVO häufig auf die Rechtsprechung des Gerichtshofs. Wenn Sie unseren Blog verfolgen, haben Sie wahrscheinlich nicht mehr mitgezählt, wie oft wir das Urteil in der Rechtssache Schrems II erwähnt haben - wir haben es jedenfalls getan!
Schützt die Datenschutz-Grundverordnung die Privatsphäre?
Irgendwie schon. Um genau zu sein, schützt sie das Recht auf Datenschutz. Privatsphäre und Datenschutz werden oft als Synonyme verwendet. Auch wir tun das manchmal, um der besseren Lesbarkeit willen. In der Europäischen Charta der Grundrechte werden sie jedoch als unterschiedliche Menschenrechte anerkannt, so dass die beiden Rechte nach EU-Recht nicht genau dasselbe sind.
Die Unterscheidung zwischen Privatsphäre und Datenschutz mag auf den ersten Blick seltsam erscheinen, aber aus praktischer Sicht ist sie sinnvoll. Um Ihre Rechte nach der Datenschutz-Grundverordnung geltend zu machen, müssen Sie nicht nachweisen, dass intime Informationen preisgegeben wurden oder dass auf andere Weise in Ihre Privatsphäre eingegriffen wurde. Wenn jemand Ihre personenbezogenen Daten verarbeitet, haben Sie einfach Rechte nach der DSGVO. Die Unterscheidung zwischen Privatsphäre und Datenschutz erleichtert also die Ausübung Ihrer Rechte, und darauf kommt es wirklich an.
Wer hat Rechte nach der Datenschutz-Grundverordnung?
Jede Person in Europa hat im Rahmen der Datenschutz-Grundverordnung Rechte, unabhängig von ihrem Wohnsitz oder ihrer Staatsangehörigkeit. Das bedeutet, dass EU-Bürger und Nicht-EU-Bürger im Rahmen der DSGVO genau die gleichen Rechte haben, solange sie sich in der EU/im EWR aufhalten. Andererseits genießt ein EU-Bürger keine Datenrechte gemäß der DSGVO, wenn er sich außerhalb der Union/des EWR aufhält.
Darüber hinaus hat jede Person Rechte gemäß der DSGVO, egal wo sie sich befindet, solange ihre Daten in Europa verarbeitet werden. So ist beispielsweise ein französisches Unternehmen, das ausschließlich Daten von in Japan ansässigen Personen verarbeitet, weiterhin an die DSGVO gebunden.
Was sind die Grundsätze der Datenschutz-Grundverordnung?
Die meisten Grundsätze der Datenschutz-Grundverordnung finden sich in Artikel 5:
- Die Daten müssen rechtmäßig, nach Treu und Glauben und in transparenter Weise verarbeitet werden (Grundsätze der Rechtmäßigkeit, der Fairness und der Transparenz)
- Die Daten müssen für einen bestimmten Zweck erhoben werden und diesem Zweck angemessen sein (Zweckbindung)
- Daten müssen angemessen, relevant und auf das beschränkt sein, was in Bezug auf die Zwecke, für die sie verarbeitet werden, erforderlich ist (Datenminimierung - wir haben darüber geschrieben)
- die Daten müssen richtig sein und auf dem neuesten Stand gehalten werden (Richtigkeit)
- die Daten müssen gelöscht oder anonymisiert werden, sobald sie nicht mehr benötigt werden (Speicherbegrenzung)
- Daten müssen auf sichere und vertrauliche Weise verarbeitet werden, um Datenschutzverletzungen zu verhindern (Integrität und Vertraulichkeit)
- Wenn Sie personenbezogene Daten verarbeiten, müssen Sie nachweisen, dass Sie alle diese Grundsätze einhalten (Rechenschaftspflicht).
Welche Daten sind personenbezogene Daten im Sinne der DSGVO?
Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person (in der DSGVO eine betroffene Person ) beziehen.
Im juristischen Sinne ist eine natürliche Person eine Person im üblichen Sinne des Wortes. Einzelpersonen haben also Rechte nach der DSGVO, öffentliche und private Organisationen hingegen nicht. Auch Verstorbene haben nach der Datenschutz-Grundverordnung keine Rechte.
Daten müssen nicht in die Privatsphäre eingreifen, um geschützt zu werden - sie müssen lediglich mit einer Person in Verbindung gebracht werden. Es wäre kein Weltuntergang, wenn Sie erfahren würden, dass ich heute Morgen Kaffee getrunken habe, aber diese Information ist trotzdem personenbezogene Daten, weil mein Name oben auf diesem Blog steht.
Die Definition von personenbezogenen Daten sieht einfach aus, ist es aber nicht. "Identifizierbar" ist der heikle Teil. Nach der Datenschutz-Grundverordnung ist eine betroffene Person bestimmbar, wenn sie einzeln identifiziert werden kann, d. h. wenn die Daten auf sie persönlich bezogen werden können. Es ist nicht notwendig, dass die Daten die Identität der betroffenen Person preisgeben, damit sie als personenbezogene Daten gelten.
Einige Cookies enthalten beispielsweise eindeutige Kennungen, die nach dem Zufallsprinzip aus Buchstaben und Zahlen zusammengesetzt sind. Diese Zeichenfolgen enthalten keine Informationen über die Identität der betroffenen Person, aber ihre Einzigartigkeit macht sie zu personenbezogenen Daten im Sinne der Datenschutz-Grundverordnung, da sich jede Zeichenfolge auf einen einzigen Nutzer bezieht.
Die Definition von personenbezogenen Daten hat weitere wichtige Konsequenzen. Bestimmte Daten können eine Person zwar nicht eigenständig identifizieren, wohl aber, wenn sie mit anderen Daten kombiniert werden (man denke nur an die Art und Weise, wie einige Websites auf der Grundlage von Gerätedaten Fingerabdrücke von Nutzern erstellen). Dies kann dazu führen, dass die Daten gemäß der Datenschutz-Grundverordnung personenbezogen sind. Anonymisierte und aggregierte Daten werfen ähnliche Probleme mit der Re-Identifizierung auf.
Unterm Strich ist der Begriff der personenbezogenen Daten ein großes Fass ohne Boden. Wir können hier nicht näher darauf eingehen, aber wenn Sie neugierig sind, bietet der gdprhub einige wertvolle Kommentare zu diesem Thema.
Welche Daten sind sensible Daten im Sinne der Datenschutz-Grundverordnung?
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, genetische Daten, biometrische Daten, Gesundheitsdaten und Daten über das Sexualleben oder die sexuelle Ausrichtung einer Person hervorgehen, werden von der DSGVO als sensible Daten behandelt.
Die Datenschutz-Grundverordnung legt spezifische und strengere Regeln für die Verarbeitung sensibler Daten fest.
Welche Datenrechte werden durch die Datenschutz-Grundverordnung geschützt?
Da gibt es eine ganze Reihe. Die meisten von ihnen sollen den Menschen eine gewisse Kontrolle über ihre Daten geben. So können Sie beispielsweise die Löschung oder Berichtigung Ihrer Daten verlangen, Zugang zu diesen Daten beantragen und haben das Recht, einige grundlegende Informationen über die Verarbeitung ihrer Daten zu erhalten. In einigen Situationen können Sie auch der Verarbeitung Ihrer Daten widersprechen oder Ihre Zustimmung zur Verarbeitung widerrufen.
Was sind die Pflichten nach der DSGVO?
Jedes Recht der betroffenen Person zieht eine Pflicht des für die Verarbeitung Verantwortlichen nach sich. Wenn Sie also Ihr Recht auf Löschung Ihrer Daten wahrnehmen, ist der für die Verarbeitung Verantwortliche verpflichtet, diese zu löschen usw.
Die für die Verarbeitung Verantwortlichen haben auch Pflichten, die keine direkte Entsprechung in den Rechten der betroffenen Person haben. So müssen die für die Verarbeitung Verantwortlichen personenbezogene Daten rechtmäßig verarbeiten, dürfen sie nicht länger als nötig speichern, müssen sie sicher verarbeiten und müssen Datenschutzverletzungen den Datenschutzbehörden melden. All dies sind allgemeine Pflichten im Rahmen der DSGVO, denen die für die Verarbeitung Verantwortlichen auch dann nachkommen müssen, wenn die betroffenen Personen dies nicht von ihnen verlangen.
Die für die Verarbeitung Verantwortlichen müssen auch in der Lage sein, nachzuweisen, dass sie die Datenschutz-Grundverordnung einhalten. Dies wird als Grundsatz der Rechenschaftspflicht bezeichnet.
Datenverarbeiter haben ebenfalls Pflichten, aber die meisten davon unterscheiden sich von denen eines für die Verarbeitung Verantwortlichen. Dies ist sinnvoll, da sie Anweisungen befolgen und nicht so viel Entscheidungsbefugnis haben wie der für die Datenverarbeitung Verantwortliche.
Wie hoch sind die Bußgelder nach der Datenschutz-Grundverordnung?
Die Datenschutz-Grundverordnung hat den Ruf, hohe Geldstrafen zu verhängen. Die Höchstgrenze für Sanktionen liegt bei 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens, je nachdem, welcher Betrag höher ist. Der aktuelle Rekordhalter ist Amazon mit einer Geldstrafe in Höhe von 746 Millionen Euro, und wir haben vor kurzem zwei Geldstrafen gegen Meta in Höhe von insgesamt 390 Millionen Euro erörtert.
(Aktualisierung: Meta wurde zu einer Geldstrafe von 1,2 Mrd. € verurteilt und hält nun den Rekord!)
Die Einhaltung der Vorschriften kann teuer sein, aber die Geldbußen werden von Fall zu Fall festgelegt. Kleine Unternehmen, die einen ehrlichen Fehler gemacht haben, und große Unternehmen, die versuchen, das System zu umgehen, werden unterschiedlich behandelt. Und die Datenschutzbehörden versuchen in der Regel, mit den Unternehmen zusammenzuarbeiten, um die Einhaltung der Vorschriften zu erreichen, anstatt immer wieder hohe Geldbußen zu verhängen. Sie sehen es positiv, wenn Unternehmen bei den Untersuchungen mitarbeiten und Maßnahmen zur Einhaltung der Vorschriften ergreifen, selbst wenn sie dies erst tun, nachdem eine Beschwerde eingereicht wurde.
Erfordert die Datenschutz-Grundverordnung eine Einwilligung?
Nein, die Datenschutz-Grundverordnung erfordert keine Einwilligung. Zumindest nicht immer.
Wir haben bereits einen Blog über die Einwilligung geschrieben, daher hier eine kurze Erklärung: Nach der DSGVO dürfen Daten nur aus einem bestimmten Grund verarbeitet werden. Jede Datenverarbeitung braucht eine Rechtsgrundlage - im Wesentlichen eine Rechtfertigung. Die Einwilligung ist einer dieser Rechtfertigungsgründe. Die Datenschutz-Grundverordnung enthält fünf weitere, wie z. B. das berechtigte Interesse oder eine rechtliche Verpflichtung.
Die korrekteste Antwort auf die Frage lautet also: Es kommt darauf an. Die Vorstellung, dass die Datenschutz-Grundverordnung immer eine Einwilligung verlangt, ist falsch. Man braucht immer eine Rechtsgrundlage für die Verarbeitung von Daten. Das kann die Einwilligung sein oder etwas anderes (wie eine rechtliche Verpflichtung oder die Erfüllung eines Vertrags). Und es gibt in der Tat Fälle, in denen die Einwilligung die einzige Option ist, weil keine andere Rechtsgrundlage für das jeweilige Szenario in Frage kommt - aber das ist keine allgemeine Regel.
Verlangt die Datenschutz-Grundverordnung eine Einwilligung für Cookies?
Das kommt darauf an. Notwendige Cookies, wie z. B. Sicherheits-Cookies, bedürfen keiner Zustimmung. Für nicht notwendige Cookies wie Analyse- und Marketing-Cookies ist hingegen immer eine Zustimmung erforderlich. Aus diesem Grund sehen Sie beim Surfen so viele Cookie-Banner.
Das hat nichts mit der Datenschutz-Grundverordnung zu tun. Cookies fallen unter die Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie), und die Richtlinie verlangt die Zustimmung zu Cookies. Nebenbei bemerkt deckt die Richtlinie auch ähnliche Technologien wie Cookies ab, z. B. Werbetracker auf Geräten (wir haben kürzlich über einen interessanten Fall zu diesem Thema berichtet).
Wie regelt die Datenschutz-Grundverordnung die Datenübermittlung?
Grundsätzlich sollten Daten sicher außerhalb Europas übermittelt werden. Um dies zu gewährleisten, enthält die Verordnung ein komplexes System von Vorschriften für Datenübermittlungen. Wir haben dieses Thema ausführlich erörtert, aber kurz gesagt müssen Sie sich bei jeder Datenübermittlung in ein Drittland auf einen der in der Datenschutz-Grundverordnung aufgeführten Compliance-Mechanismen verlassen, die alle als Schutz für die Daten dienen sollen.
Für die USA ist dies aufgrund des Ausmaßes und der Invasivität der staatlichen Überwachung ausländischer Daten kompliziert. Das Risiko der Überwachung ist der Grund dafür, dass der Europäische Gerichtshof in seinem Urteil in der Rechtssache Schrems II aus dem Jahr 2020 einen bestehenden Mechanismus für Datenübertragungen zwischen der EU und den USA (das Privacy Shield) für ungültig erklärte. Insgesamt erschwert das Urteil die Einhaltung der Vorschriften für die Datenübermittlung in die USA.
Schrems II steht im Mittelpunkt der Probleme von Google Analytics bei der Datenübermittlung und ist der Grund dafür, dass Google Analytics in Österreich, Frankreich, Italien, Dänemark und Finnland (sowie in Norwegen, auch wenn die Entscheidung nur vorläufig ist) praktisch verboten wurde. Schrems II ist auch der Grund dafür, dass Meta zu einer Geldstrafe von 1,2 Milliarden Euro verurteilt wurde und derzeit ein Blackout von Facebook in Europa droht.
Aber das Problem ist größer als Facebook und Google Analytics. In Zukunft könnten auch andere Dienstanbieter betroffen sein, darunter wichtige Dienste wie AWS, Oracle und Microsoft Azure.
Aus diesem Grund arbeitet die EU-Kommission am Trans-Atlantic Data Privacy Framework, einem neuen System zur Erleichterung des Datentransfers zwischen der EU und den USA. Es ist jedoch nicht klar, ob der neue Rahmen die Probleme des Privacy Shields lösen wird. Und irgendwann wird der Transatlantische Datenschutzrahmen sicherlich auch vor dem Europäischen Gerichtshof angefochten werden (wahrscheinlich von Herrn Schrems selbst).
Unterm Strich wird die Zukunft des Datentransfers zwischen der EU und den USA ungewiss bleiben, bis eine Entscheidung zu "Schrems III" ergeht.
Ist die Datenschutz-Grundverordnung das einzige europäische Datenschutzgesetz?
Nein. Die Datenschutz-Grundverordnung ist für das EU-Datenschutzrecht von entscheidender Bedeutung, aber es gibt auch noch andere wichtige Quellen.
Eine davon haben wir bereits erwähnt: die ePrivacy-Richtlinie. Die Richtlinie richtet sich vor allem an Anbieter von Kommunikationsdiensten, wie Telekommunikationsunternehmen und Internetanbieter (die erwähnten Cookie-Vorschriften haben jedoch einen größeren Anwendungsbereich). Eine ePrivacy-Verordnung ist in Arbeit und soll die Richtlinie ersetzen, so wie die GDPR die alte Datenschutzrichtlinie ersetzt hat.
Die Strafverfolgungsrichtlinie ist ein weiteres Teil des Puzzles. Sie befasst sich mit strafrechtlichen Ermittlungen und der Strafjustiz und wurde parallel zur Datenschutz-Grundverordnung ausgearbeitet und verabschiedet. Der Gegenstand der Richtlinie fällt nicht in den Geltungsbereich der Datenschutz-Grundverordnung, so dass sich die beiden Quellen gegenseitig ergänzen.
Andere Quellen des EU-Rechts sind keine Datenschutzgesetze, haben aber Auswirkungen auf die Datenschutzrechte. Der kürzlich verabschiedete Digital Markets Act und der Digital Services Act sind zwei bemerkenswerte Beispiele.
Auf höherer Ebene schützt die Charta der Grundrechte der Europäischen Union das Recht auf Privatsphäre und Datenschutz. Die Charta hat denselben rechtlichen Status wie die Verträge, die die Union begründen: Sie ist eine der höchsten Quellen des EU-Rechts und hat Vorrang vor Richtlinien und Verordnungen.
Auch in der Europäischen Menschenrechtskonvention wird der Schutz der Privatsphäre als Grundrecht anerkannt. Die Konvention ist technisch gesehen nicht Teil des EU-Rechtsrahmens, hat aber dennoch Einfluss auf das EU-Recht. Das Gleiche gilt für die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte - ein Gericht, das die Konvention durchsetzt und keine Institution der EU ist.
Wie erfülle ich die Datenschutz-Grundverordnung?
Es gibtkeine allgemeingültige Antwort. Es gibt auch keine umfassende Checkliste. Jede Compliance-Strategie muss auf ein bestimmtes Szenario zugeschnitten sein und die Art der Daten, die Zwecke, für die sie verarbeitet werden, den Umfang der Datenverarbeitung usw. berücksichtigen. Eine gute Compliance-Strategie muss alle Beteiligten innerhalb einer Organisation einbeziehen und erfordert ein gutes Verständnis der Art und Weise, wie Daten verarbeitet werden, was nicht trivial ist(ja, Meta, ich schaue dich an).
Davon abgesehen fasst Artikel 5 DSGVO die meisten Grundsätze der Datenschutzgrundverordnung zusammen, so dass Sie ihn als Ausgangspunkt nutzen können, um sich die richtigen Fragen zu stellen. Zum Beispiel:
- Welche Rechtsgrundlage habe ich für die Verarbeitung personenbezogener Daten?
- Stelle ich meinen Kunden oder anderen Personen, auf die sich die Daten beziehen, ausreichende Informationen zur Verfügung? Verstehen sie, was ich mit ihren Daten tue und warum ich es tue, zumindest in sehr allgemeiner Form? Wissen sie, welche Rechte sie haben und wie sie diese ausüben können?
- Erhebe ich die Daten mit einem klaren und spezifischen Zweck vor Augen?
- Brauche ich wirklich alle diese Daten? Gibt es welche, die ich löschen oder anonymisieren könnte? Speichere ich Daten länger als nötig?
- Kann ich irgendetwas tun, um das Risiko einer Datenschutzverletzung zu mindern? Kann ich die technische Sicherheit meiner Systeme verbessern? Kann einer meiner Mitarbeiter auf personenbezogene Daten zugreifen, die er eigentlich nicht braucht?
- Kann ich erklären, warum meine Datenverarbeitung mit den Vorschriften vereinbar ist? Und kann ich diese Gründe dokumentieren?
Dies sind keine einfachen Fragen, aber sie im Hinterkopf zu behalten ist ein guter erster Schritt, auch wenn Sie noch nicht alle Antworten kennen.
Abgesehen davon sollten Sie sicherstellen, dass Sie die Einwilligung richtig einsetzen. Die Einwilligung wird manchmal als Allheilmittel für die Einhaltung von Vorschriften angesehen, aber es gibt Grenzen für die Möglichkeiten, die eine Einwilligung bietet, und Szenarien, in denen das Vertrauen auf die Einwilligung nicht funktioniert. Unser Blog gibt Ihnen einen schnellen Überblick über die Funktionsweise der Einwilligung im Rahmen der DSGVO.
Wenn Sie Google Analytics verwenden, ist der Wechsel zu einem anderen Webanalysedienst ein weiterer Schritt zur Einhaltung der Vorschriften. Natürlich gehört zur Einhaltung der Vorschriften noch viel mehr, aber die Abschaffung von Google Analytics ist für viele Unternehmen die niedrigste Hürde.
Schlussfolgerungen
Der Datenschutz liegt uns sehr am Herzen. Deshalb tun wir unser Bestes, um über Neuigkeiten im Bereich des Datenschutzes zu berichten und das Datenschutzrecht auf präzise und verständliche Weise zu erörtern. Wir sind der Meinung, dass das Datenschutzrecht uns alle angeht und nicht nur Juristen und Juristensprechern vorbehalten sein sollte.
Wir glauben auch, dass das Internet ein besserer, datenschutzfreundlicherer Ort sein könnte. Aus diesem Grund haben wir Simple Analytics entwickelt. Wir sind stolz darauf, dass wir unseren Kunden alle benötigten Einblicke bieten können, ohne Nutzer zu verfolgen und ohne persönliche Daten zu sammeln. Wenn sich das für Sie gut anhört, probieren Sie uns doch einfach aus!