DSGVO Wissen

Datenschutz Grundlagen:
Die europäische Datenschutz-Grundverordnung

Seit dem 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (EU-DSGVO) unmittelbar anwendbar und bringt eine Reihe von Veränderungen und neuen Anforderungen für den Umgang mitpersonenbezogenen Daten mit sich.

Das Bundesministerium für Wirtschaft und Energie (BMWI) fasst die Kernelemente der DS-GVO, die das Datenschutzniveau europaweit vereinheitlichen soll, wie folgt zusammen:

Pseudonymisierung von Daten

Die DS-GVO setzt stärkere Anreize für die „Pseudonymisierung“ von Daten. Das bedeutet, dass der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym – zumeist eine mehrstellige Buchstaben- oder Zahlenkombination – ersetzt werden. Das macht es wesentlich schwerer, betroffene Personen zu identifizieren. Durch Pseudonymisierung können große Datenmengen ohne Personenbezug und deswegen besonders grundrechtsschonend verarbeitet werden. Die DS-GVO erleichtert Datenweiterverarbeitungen zu einem anderen als dem ursprünglichen Datenerhebungszweck, wenn diese Weiterverarbeitung in pseudonymisierter Form erfolgt. Dies ist gerade für Big-Data-Analysen besonders wichtig.

Verschiedene Rechtsgrundlagen für Datenverarbeitungen

Chancen für datenverarbeitende Unternehmen bietet auch der Umstand, dass Datenverarbeitungen nach den Vorgaben der DS-GVO – wie nach der bisherigen EU-Datenschutzrichtlinie aus dem Jahr 1995 – nicht allein auf die Einwilligung des Betroffenen, sondern auch auf andere Rechtsgrundlagen gestützt werden können. Datenverarbeitungen sind beispielsweise auch ohne Einwilligung zulässig, wenn die Datenverarbeitung für die Erfüllung eines Vertrags (etwa mit einem Kunden) erforderlich ist. Auch kann eine Datenverarbeitung im Einzelfall auf überwiegende berechtigte Interessen des Datenverarbeiters oder eines Dritten gestützt werden. Dies kann gerade für Unternehmen wichtig sein, die – anders als große Internetplattformen – nicht ohne Weiteres die Einwilligung der Betroffenen einholen können, etwa weil sie mit ihren Kunden per Brief kommunizieren. Die Erwägungsgründe der DS-GVO stellen klar, dass unter anderem die Datenverarbeitung zu Werbezwecken im Einzelfall ein legitimes Interesse darstellen kann. Unabhängig von der Wahl der Rechtsgrundlage sind jedoch die Informationspflichten der DS-GVO zu beachten. So muss der Betroffene insbesondere über den Zweck der Datenverarbeitung und die Rechtsgrundlage informiert werden.

Privilegierung von Datenverarbeitungen zu Forschungszwecken

Neu gegenüber der bisherigen Rechtslage sind die klaren Wertungen der DS-GVO im Forschungsbereich. Die DS-GVO stellt ausdrücklich klar, dass eine Weiterverarbeitung von personenbezogenen Daten zu Forschungszwecken als vereinbar mit dem ursprünglichen Datenerhebungszweck anzusehen ist. Zugleich wird mit der DS-GVO ausdrücklich die Möglichkeit eines „Broad Consent“ im Bereich der wissenschaftlichen Forschung eingeführt. Dies ermöglicht die Einholung von Einwilligungen zu Forschungszwecken, auch wenn diese Zwecke bei Erhebung der Daten im Einzelnen noch nicht detailliert dargelegt werden können.

Mehr Transparenz und Kontrolle für Betroffene

Die DS-GVO schützt die Privatsphäre von Nutzerinnen und Nutzern bei Big Data, Webtracking und Profilbildung und definiert das „Recht auf Vergessenwerden“ und auf Datenportabilität. Das ausdrücklich normierte sogenannte „Marktortprinzip“ sorgt zudem dafür, dass die DS-GVO Anwendung auf Datenverarbeiter findet, die nicht in der Europäischen Union niedergelassen sind, wenn eine Datenverarbeitung dazu dient, in der Europäischen Union ansässigen Personen Waren oder Dienstleistungen anzubieten. Die DS-GVO erhöht außerdem die Transparenzpflichten von Unternehmen gegenüber ihren Kunden und erweitert die Rechte der Betroffenen, etwa das Recht auf Auskunft. Denn: Betroffene müssen wissen, was mit ihren Daten geschieht und zu welchen Zwecken die Daten verarbeitet werden. Die DS-GVO schreibt einfache und verständliche Datenschutzerklärungen vor. Auch können Datenschutzsiegel und Zertifizierungen für mehr Transparenz sorgen. All das sorgt für mehr Kontrolle und Transparenz bei der Datenverarbeitung.

Weiterführende Links / Rechtsquellen:

Link zum vollständigen Gesetzestext der DSGVO

Link zur Neufassung des Bundesdatenschutzgesetzes (BDSG-neu)

Checkliste des BMWI zur Umsetzung der DSGVO im Unternehmen

Erwägungsgründe zur DS-GVO