Datenschutz Grundverordnung – Grundsätze der DSGVO
Die Datenschutz Grundverordnung kurz: DSGVO wirft noch immer viele Fragen auf. Dies betrifft sowohl Behörden als auch Unternehmen und Vereine. Überall, wo Daten gespeichert werden, bestehen seit Mai 2018 deutlich erweiterte Verpflichtungen in Sachen Datenschutz. Dies betrifft sowohl die Speicherung als auch die Verwendung der gespeicherten Daten. Zu Beginn gilt es, zunächst einige zentrale Fragen rund um die Datenschutz Grundverordnung zu klären.
Datenschutz Grundverordnung - Die wichtigsten Fragen & Antworten
Bei der Datenschutz Grundverordnung handelt es sich um überall in der Europäischen Union anwendbares Recht. Verbraucher haben deshalb die gleichen Rechte, unabhängig davon, ob das Unternehmen, bei dem sie ihre Daten hinterlegt haben, seinen Sitz in Dänemark, Frankreich oder Italien hat.
Die Datenschutz Grundverordnung findet faktisch überall dort Anwendung, wo persönliche Daten erhoben und gespeichert werden. Es geht deshalb nicht nur um erweiterte Rechte von Verbrauchern gegenüber Unternehmen, sondern auch gegenüber allen anderen Stellen, die persönliche Daten gespeichert haben.
Die Geltung der Verordnung ist weder an bestimmte Datenträger oder Medien geknüpft noch auf bestimmte Bereiche beschränkt. Sie findet daher sowohl auf die automatisierte als auch die nicht automatisierte Verarbeitung von Daten Anwendung. Von der Geltung ausgeschlossen sind lediglich einige wenige Ausnahmen, die in Art. 2 Abs. 2 der Datenschutz Grundverordnung geregelt sind. Dies betrifft etwa die rein private Speicherung von Daten, die Strafverfolgung sowie die gemeinsame Außen- und Sicherheitspolitik der Europäischen Union.
Gründe der Einführung der Datenschutz Grundverordnung
Der zentrale Ansatz der neuen Regelungen zum Datenschutz betrifft die Rechte von Verbrauchern. Für diese sollten gegenüber Unternehmen erweiterte Rechte geschaffen werden, was die Speicherung und Verwendung persönlicher Daten betrifft. Hinsichtlich beider Varianten haben Verbraucher durch die Verordnung deutlich mehr Möglichkeiten an die Hand bekommen, sich mit Hilfe einer Datenschutzerklärung rechtlich gegen eine nicht oder nicht mehr genehmigte Verwendung von Daten zur Wehr zu setzen.
Nachdem die Datenschutz Grundverordnung im Mai 2018 in Kraft getreten ist, hat die breite Mehrheit der Unternehmen und anderen Stellen ihre Praxis inzwischen auf die neuen Regeln hin umgestellt und die notwendigen Genehmigungen für die fortgeführte Speicherung bei ihren Kunden eingeholt. Damit ist eines der zentralen Ziele der Datenschutz Grundverordnung erreicht, da es insbesondere um ein deutlich erhöhtes Maß an Sensibilität beim Umgang mit persönlichen Daten geht.
Grundsätze der Datenschutz Grundverordnung
Die einzelnen Rechte für Privatpersonen, die sich auf der DSGVO ergeben, fußen auf den sieben Grundsätzen, die Europäische Union für die Erhebung und Speicherung persönlicher Daten aufgestellt hat. Diese gliedern sich wie folgt:
Prinzip der Datenminimierung
Einen ähnlichen Gedanken verfolgt der Grundsatz der Datenminimierung. Nach der Datenschutz Grundverordnung ist vorgesehen, dass Daten nur insoweit erhoben und gespeichert werden sollen, wie dies für den verfolgten Zweck notwendig ist. Dies betrifft etwa Fragen, ob neben der Adresse und E-Mail-Adresse auch noch eine Telefonnummer, eine Mobilfunk Verbindung und die Telefonnummer am Arbeitsplatz benötigt wird. Im Versandhandel dürfte diese Frage zu verneinen sein, während es bei Kindergärten und Schulen Sinn macht, alle verfügbaren Kommunikationswege zu den Eltern zu hinterlegen, um im Notfall kurzfristig Kontakt herstellen zu können. Insofern gilt für diesen Grundsatz immer die Notwendigkeit der Betrachtung des Einzelfalls.
Prinzip der Zweckbindung
Ein weiteres Problem, dem sich die EU mit der Datenschutz Grundverordnung angenommen hat, ist die inflationäre Speicherung von Daten. Diese wurden in der Vergangenheit oft auch dann weiter gespeichert, wenn Kunden schon lange keine Geschäftsbeziehung mehr mit dem Unternehmen führten. Das Prinzip der Zweckbindung sorgt dafür, dass Daten nur noch dann gespeichert werden dürfen, wenn es für diese Speicherung einen sachlichen Grund gibt. Entfällt dieser Zweck später, sind die jeweiligen Daten grundsätzlich zu löschen.
Prinzip der Rechtmäßigkeit der Verarbeitung nach Treu und Glauben und Transparenz
In der Vergangenheit war es für Privatpersonen oft bereits schwierig, in Erfahrung zu bringen, welche persönlichen Daten bei welchem Unternehmen gespeichert waren. Die Datenschutz Grundverordnung hat hier deutlich mehr Rechte geschaffen. Dies betrifft eben nicht nur die Löschung von Daten, sondern gerade auch die Möglichkeit der Anfrage, welche Daten genau gespeichert sind und wofür diese verwendet werden.
Prinzip der Richtigkeit
Fehlerhaft abgespeicherte persönliche Daten können in vielfältiger Hinsicht zu Problemen führen. Neben dem Auskunftsanspruch haben Privatpersonen daher auch einen Anspruch auf die Berichtung der von ihnen gespeicherten Daten. Dies dient nicht zuletzt auch dem Interesse des speichernden Unternehmens bzw. der Behörde oder des Vereins. Denn nur mit richtigen Daten lässt sich am Ende vernünftig arbeiten.
Prinzip der Speicherbegrenzung
Da die Datensätze von Unternehmen in der Regel nicht regelmäßig daraufhin überprüft werden, ob ein bestimmter Zweck noch vorhanden ist oder nicht, sieht die Datenschutz Grundverordnung eine Begrenzung der Speicherung vor. Die Speicherung erfolgt daher von Anfang an unter der Prämisse, dass sie nur für den jeweils notwendigen Zeitraum erfolgt.
Prinzip der Integrität und Vertraulichkeit
Die Datenschutz Grundverordnung legt, wie der Name bereits aussagt, außerdem ein besonderes Augenmerk auf den Schutz persönlicher Daten. In der DSGVO sind daher zahlreiche Regelungen getroffen, die einen unbefugten Gebrauch von Daten oder deren Auslesung durch Unbefugte verhindern sollen.
Prinzip der Rechenschaftspflicht
Schlussendlich trifft Unternehmen nach der Datenschutz Grundverordnung außerdem eine Rechenschaftspflicht. Die Einhaltung der Regelungen der Datenschutz Grundverordnung müssen Unternehmen und andere Stellen daher jederzeit nachweisen können.
DSGVO Checkliste
Für Unternehmen haben vor allem folgende Bereiche besondere Bewandtnis:
| Kunden: | Arbeitnehmer: |
| Vertragsdaten | Arbeitsverträge |
| Kundenbefragung | Personalmappen |
| Newsletter | Arbeitszeiterfassung |
| Gewinnspiele | Lohnabrechnung |
Aktenvernichtung nach der Datenschutz Grundverordnung
Nach Art. Art. 5 Abs. 1 f DSGVO trifft Unternehmer eine besondere Pflicht im Hinblick auf die Sicherheit von Daten. Diese Pflicht folgt aus dem Grundsatz der Integrität und Vertraulichkeit. Daher ist es bei der Aktenvernichtung beispielsweise mit einem Aktenvernichter wichtig, sicherzustellen, dass der jeweilige Datenträger vollständig beseitigt wird und kein Auslesen der Daten mehr erfolgen kann. Elektronische Datenträger werden dabei meist neu bespielt. Anders sieht es bei einfach beschreibbaren DVDs und Aktenordnern aus. Hier sollten die DIN Vorschriften im Hinblick auf eine ordnungsgemäße Vernichtung von Akten in jedem Fall eingehalten werden und dies auch dokumentiert werden (Rechenschaftspflicht).
Konsequenzen bei Nichteinhaltung der Datenschutz Grundverordnung
Sofern es zu Verstößen gegen Regelungen der Datenschutz Grundverordnung kommt, sieht diese empfindliche Bußgelder für das betroffene Unternehmen vor. Bei diesen handelt es sich nicht um feste Größen. Vielmehr gibt die Datenschutz Grundverordnung nur Mindest- und Höchstbeträge an. Im Kern orientiert sich die Höhe der Bußgelder jedoch an den vom jeweiligen Unternehmen getätigten Umsätzen. Große Konzerne zahlen daher deutlich mehr als keine Firmen. Auf diese Weise ist gewährleistet, dass es sich in allen Fällen um eine für das Unternehmen spürbare Strafe handelt, da Bußgelder bis zu 20 Millionen Euro verhängt werden können.