DSGVO ÔÇô Grundprinzipien

Die DSGVO nimmt keinen Bezug zu technischen Systemen, sondern betrachtet die Verarbeitung von personenbezogenen Daten in alle seinen Verarbeitungsstufen. Dabei m├╝ssen die grundlegenden Prinzipien des Datenschutzes eingehalten werden:

Grundsatz des Privacy by Design (Art. 25 Abs.1 DSGVO)

Privacy by Design bedeutet, dass Datenschutzprobleme schon bei der Entwicklung neuer Technologien festgestellt und gepr├╝ft werden sollen. Datenschutz und Privatsph├Ąre sind von vorneherein in die Gesamtkonzeption und Entwicklung einzubeziehen.

Grundsatz des Privacy by Default (Art. 25 Abs.2 DSGVO)

Online-Dienste m├╝ssen die datenschutzfreundlichsten Voreinstellungen enthalten. Personenbezogene Daten sollen demnach nur dann verarbeitet werden, wenn dies f├╝r den Zweck erforderlich ist. Die Voreinstellungen sollen es dem Nutzer erm├Âglichen zu entscheiden, ob er Dritten den Zugriff auf seine personenbezogenen Daten erm├Âglichen will.

Grundsatz der Integrit├Ąt und Vertraulichkeit (Art. 5 Abs.1 lit. f DSGVO)

Unbefugte sollen keinen Zugang zu personenbezogenen Daten haben. Ihnen muss die Nutzung dieser Daten bzw. Ger├Ąte verwehrt bleiben. ┬ž 32 DSGVO schreibt daf├╝r technische Sicherheitsma├čnahen vor.

Grundsatz der Transparenz (Art. 5 Abs. 1 lit. A, 3.Fall DSGVO)

Der Transparenzgrundsatz ist durch die Informationspflichten in Art. 13 und 14 DSGVO n├Ąher ausgestaltet. Es ist nun erforderlich, neben Kontaktdaten des Verantwortlichen (also des die personenbezogenen Daten verarbeitenden Unternehmens) auch die Kontaktdaten des Datenschutzbeauftragten in der Datenschutzerkl├Ąrung anzugeben. Au├čerdem m├╝ssen die Betroffenen nun zus├Ątzlich auf ihre Rechte (insbesondere auf Zugang, Berichtigung, Sperrung, Beschwerderecht bei der Aufsichtsbeh├Ârde usw.) hingewiesen werden. Ferner muss der Datenverarbeitende das berechtigte Interesse zur Datenverarbeitung angeben, sofern er sich auf ein solches st├╝tzt. Zudem m├╝ssen die Herkunft der Daten und die Speicherdauer oder die Kriterien nach denen sich diese bestimmt, angegeben werden.

Technische und organisatorische Ma├čnahmen (Art. 32 DSGVO)

Die Auflistung von verpflichtenden Ma├čnahmen nach ┬ž 32 Abs. 1 DSGVO unterscheidet sich deutlich von der Anlage zu ┬ž 9 BDSG. Neu ist die Pseudonymisierungspflicht. Diese soll Daten im Missbrauchs -und Verlustfall sch├╝tzen. Art. 32 Abs.1 DSGVO enth├Ąlt dar├╝ber hinaus die Pflicht zur Datensicherung um Daten vor Verlust zu sch├╝tzen. Au├čerdem besteht f├╝r den Verantwortlichen die Verpflichtung, die Datensicherheit regelm├Ą├čig zu ├╝berpr├╝fen und zu evaluieren. Nicht in Art. 32 DSGVO aufgenommen wurden die Pflichten zur Eingabe- und Auftragskontrolle sowie das Trennungsgebot (aus Anlage 1 Satz 1 Nr. 5, 6 und 8 zu ┬ž 9 BDSG).

Datenschutzbeauftragter (Art. 39 DSGVO)

Den Datenschutzbeauftragten wird es jetzt EU-weit geben. Die Kontaktdaten des Datenschutzbeauftragten m├╝ssen ver├Âffentlicht und der zust├Ąndigen Aufsichtsbeh├Ârde mitgeteilt werden. Den Schwellenwert aus dem BDSG, nach dem Unternehmen mit mehr als neun Besch├Ąftigten einen Datenschutzbeauftragten bestellen m├╝ssen, gibt es in der Datenschutzgrundverodnung zwar nicht mehr, allerdings existiert eine ├ľffnungsklausel f├╝r nationale Regelungen. F├╝r Deutschland wird davon ausgegangen, dass der Gesetzgeber ├╝ber diese ├ľffnungsklausel die bisherige Rechtslage beibeh├Ąlt.

Auftragsdatenverarbeitung (ADV) (Art. 28 ff. DSGVO)

Zuk├╝nftig werden sowohl Auftraggeber als auch Auftragnehmer f├╝r die Datenverarbeitung gleicherma├čen verantwortlich sein. Bisher war nach dem BDSG nur der Auftraggeber verantwortlich. Auch f├╝r eventuell verh├Ąngte Bu├čgelder k├Ânnen beide herangezogen werden. Der ADV-Vertrag kann nun auch elektronisch gefasst werden, w├Ąhrend im BDSG die Schriftform zwingend vorgeschrieben ist.

Meldepflichten (Art. 33 Abs. 1 DSGVO)

Eine wichtige ├änderung betrifft auch die Meldepflicht der Unternehmen im Falle einer Datenpanne. Diese Pflicht wurde durch die neue Verordnung ausgeweitet. Sie gilt nun unabh├Ąngig von den betroffenen Daten. Zudem gibt es konkrete Meldefristen. So ist k├╝nftig grunds├Ątzlich jede Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verz├Âgerung und nach M├Âglichkeit binnen 72 Stunden der zust├Ąndigen Aufsichtsbeh├Ârde zu melden. Die Pflicht entf├Ąllt aber unter bestimmten Ausnahmen, wie etwa wenn es unwahrscheinlich ist, dass die Verletzung zu einem Risiko f├╝r die Rechte und Freiheiten von Personen f├╝hrt. Zudem wird eine Dokumentationspflicht f├╝r Unternehmen gegen├╝ber der Aufsichtsbeh├Ârde zur ├ťberpr├╝fung der Meldepflicht bestehen. Unternehmen werden demnach alle etwaigen Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, deren Auswirkungen und die ergriffenen Abhilfema├čnahmen dokumentieren m├╝ssen.

Datenweitergabe an Drittstaaten (Art. 44 ff. DSGVO)

Firmen sollen Daten nicht direkt an Beh├Ârden in Drittstaaten weitergeben d├╝rfen. Dies ist nur erlaubt auf der Grundlage von Rechtshilfeabkommen oder ├Ąhnlicher, auf EU-Recht basierender Regeln. Auch au├čerhalb der EU m├╝ssen B├╝rgerinnen und B├╝rgern, deren Daten weitergeleitet werden, gleiche Rechte zustehen, einschlie├člich der Klagem├Âglichkeit im Drittstaat.