Ein Überblick über die DSGVO: Was ändert sich?

Veröffentlicht: 2018-02-15

Am 25. Mai 2018 tritt die neue europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Sie enthält grundlegende Änderungen im Umgang mit personenbezogenen Daten. Die neue Datenschutzverordnung wird zu einem der strengsten Datenschutzgesetze der Welt. Im Internet gibt es eine Fülle von Informationen, Interpretationen und Aussagen zu diesem Thema. Hier haben wir die wichtigsten Punkte für Sie zusammengefasst.

1. Definition personenbezogener Daten

Die DSGVO definiert den Begriff der personenbezogenen Daten neu. Folgende Daten werden gemäß DSGVO als personenbezogen eingestuft:

Direkte personenbezogene Daten

  • Vollständiger Name
  • Ausweis oder Sozialversicherungsnummer
  • Biometrische Daten (z. B. Fingerabdrücke)
  • E-Mail-Addresse
  • Die Anschrift
  • Telefonnummer
  • Geburtstag
  • Logins und Online-Identifikatoren

Indirekte personenbezogene Daten

  • Wirtschaftsdaten (zB Kontonummern, Kreditkartennummer etc.)
  • IP Adresse
  • Kulturelle und soziale Daten
  • Physische, genetische und mentale Daten, wenn sie auf eine Person zurückgeführt werden können.
  • Schlecht pseudo-anonymisierte Daten
  • Geolokalisierungsdaten

Dabei ist zu beachten, dass scheinbar nicht personenbezogene Daten unter Umständen durch Kombination mit anderen Datenquellen eine Person eindeutig identifizieren können. Beispielsweise kann die Kombination von Geschlecht und Postleitzahl zu einer eindeutigen Identifizierung einer Person führen. Daher sind diese auch als personenbezogene Daten zu interpretieren.

2. Definition von Rollen

Die DSGVO definiert die folgenden drei Rollen im Hinblick auf den Datenschutz.

Daten-Betreff:

Die DSGVO gibt die Kontrolle über personenbezogene Daten wieder in die Hände der sogenannten „Datensubjekte“ zurück. Im Falle der DSGVO ist dies eine natürliche oder natürliche Person, genauer ein europäischer Bürger.

Datencontroller:

Verantwortlicher für die Verarbeitung ist eine natürliche oder juristische Person, beispielsweise eine Behörde, Behörde oder andere Stelle, die allein oder gemeinsam mit anderen über den Zweck der Erhebung und Verarbeitung von personenbezogenen Daten entscheidet. Im Falle einer Website ist dies der Websitebetreiber.

Datenprozessor:

Der Auftragsverarbeiter ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dies wären zum Beispiel: Ein Dienstleister, eine Agentur, ein Marketingtool, ein Geschäftspartner etc.

Neu in der DSGVO ist, dass sowohl der Auftragsverarbeiter als auch der Verantwortliche berücksichtigt werden und rechtlich verfolgt werden können. Es ist auch wichtig zu beachten, dass die DSGVO zwar die Erhebung und Verarbeitung personenbezogener Daten von EU-Bürgern regelt, dies jedoch auch Datenverantwortliche und Datenverarbeiter außerhalb der EU betrifft, wenn Sie Daten über EU-Bürger erheben.

3. Hauptpflichten von Datenverantwortlichen und Datenverarbeitern

  • Schutz personenbezogener Daten durch Design und durch Voreinstellungen.
  • Die Erhebung, Speicherung und Verarbeitung personenbezogener Daten muss klar und verständlich kommuniziert werden.
  • Verpflichtung zur Speicherung und Verarbeitung personenbezogener Daten nur mit ausdrücklicher Einwilligung der betroffenen Person.
  • Verpflichtung zum Schutz personenbezogener Daten vor Manipulation, Diebstahl und unberechtigtem Zugriff.
  • Pflicht zur Bestellung eines Datenschutzbeauftragten (bei Geschäftstätigkeit in der EU).
  • Pflicht zur Meldung von Datenlecks an die Behörden und zur Information der betroffenen Personen.
  • Verpflichtung, der betroffenen Person auf Anfrage (bis maximal 30 Tage) Auskunft über ihre gespeicherten Daten zu erteilen.
  • Verpflichtung sicherzustellen, dass Daten auf Wunsch vollständig gelöscht, anonymisiert oder vernichtet werden können.
  • Pflicht zur Aktualität der Datenbank (dies führt sozusagen zu einem automatischen Ablaufdatum).
  • Pflicht zur Durchführung einer DPIA (Data Protection Impact Assessment) für sehr sensible Daten.
  • Verpflichtung, Prozesse zu definieren, die im Falle einer Datenschutzverletzung zu befolgen sind.
  • Pflicht zur Information der betroffenen Person über Datenübermittlungen in andere Länder, insbesondere außerhalb der EU.
  • Verpflichtung, die Daten nur für den Zweck zu verwenden, für den die betroffene Person eingewilligt hat.
  • Verpflichtung, die Quelle aller personenbezogenen Daten zu kennen.

4. Zugehörige Rechte der betroffenen Personen

  • Recht auf transparente Information und Kommunikation über die Verwendung personenbezogener Daten
  • Recht zu wissen, wann personenbezogene Daten erhoben und verarbeitet werden
  • Recht auf Einsicht in die gespeicherten Daten
  • Recht auf Berichtigung der Daten
  • Recht auf Löschung der Daten (Recht auf Vergessenwerden)
  • Recht auf Untersagung der Verarbeitung/Nutzung von Daten
  • Recht, die Daten in einem portablen Format zu erhalten
  • Widerspruchsrecht (z.B. nachträglich)
  • Das Recht, dass Daten ohne Einwilligung nicht automatisiert verarbeitet werden, wenn dies Rechtsfolgen hat (z.B. bei Abschluss einer Versicherung oder Beantragung einer Kreditkarte).
  • Einschränkung von Rechten: Immer wenn es „höhere Gesetze“ gibt, schränken sie die Rechte der betroffenen Person ein. (Zum Beispiel Aufbewahrungsfristen für Rechnungen und Verträge, nationale Sicherheit, polizeiliche Ermittlungen etc.)

5. E-Privacy-Richtlinie (auch bekannt als Cookie-Gesetz)

Werden die oben genannten Pflichten und Rechte in absoluter Übereinstimmung mit der DSGVO angewendet, ist jede Erhebung und Verarbeitung personenbezogener Daten ohne Einwilligung untersagt. Dies würde unter anderem auch Cookies verbieten. Die aktuelle europäische Datenschutzrichtlinie 2002 (e-Privacy-Richtlinie, Cookie-Gesetz) erkennt jedoch an, dass die Verwendung von Cookies zum Betrieb und zur Messung der Website-Performance und zur Verbesserung von Online-Diensten äußerst wichtig ist. Es ist daher zulässig, für die Verarbeitung dieser Daten eine stillschweigende Einwilligung einzuholen. Dem wird seit vielen Jahren durch die „Cookie-Banner“ auf zahlreichen Websites Rechnung getragen. Die DSGVO ersetzt nicht die bestehende E-Privacy-Richtlinie, daher bleibt diese gültig. Sie wird jedoch derzeit überarbeitet und voraussichtlich 2018 in einer neuen Version veröffentlicht. Inhaltlich dürfte die Verwendung der oben genannten Cookies weiterhin durch eine implizite Einwilligung erlaubt sein. Dies gilt jedoch nicht für Marketing-Cookies, die für das Retargeting verwendet werden können.

Wie Sie sehen, bringt die DSGVO viele neue Entwicklungen, Pflichten und Rechte mit sich. Aufgrund drohender empfindlicher Bußgelder wird dringend empfohlen, Ihre Website und Ihre Online-Kanäle auf die Einhaltung der DSGVO zu überprüfen. Wir können Sie dabei unterstützen, die DSGVO-Compliance zu erreichen. Fordern Sie jetzt Ihr individuelles Angebot für ein DSGVO-Compliance-Audit an .

Bei Fragen zur neuen Datenschutzerklärung senden Sie mir bitte eine E-Mail .