Datenschutz

3. Datenschutzgrundverordnung (DSGVO)

Die Europäische Union aktualisiert ihre Datenschutzgesetze mit einer Richtlinie, die am 25. Mai 2018 in Kraft tritt: die Datenschutzgrundverordnung (DSGVO). Damit soll der rechtliche Flickenteppich in der EU in Fragen des Datenschutzes auf einen einheitlichen Stand gebracht werden. Ziel ist es, dass die Bürgerinnen und Bürger mehr Kontrolle über ihre Daten haben und gleiche Wettbewerbsbedingungen für Unternehmen in der EU gelten. Betroffen sind Unternehmen, Selbständige und Vereine - all jene, die automatisiert personenbezogene Daten verarbeiten.

Die grundlegenden Forderungen der DSGVO umfassen:

    • umfassende Aufklärung und Information über den Zweck der erhobenen Daten.

    • Personen müssen ihre ausdrückliche Zustimmung geben, dass ihre personenbezogene Daten erfasst werden. Unternehmen und Vereine sind in der Pflicht, diesen Prozess der Zustimmung akribisch zu dokumentieren.

    • in einem "Verzeichnis von Verarbeitungstätigkeiten" muss nachgewiesen werden, wie die personenbezogenen Daten verarbeitet werden, wer Zugriff auf die Daten hat und wie sie geschützt werden.
    • Es gibt die Verpflichtung, im Falle einer auftretenden Datenpanne die entsprechende Aufsichtsbehörde innerhalb von 72 Stunden zu informieren.

    • Jedes Unternehmen oder jeder Verein, das/der Daten in großem Umfang verarbeitet oder überwacht, muss mit einem Datenschutzbeauftragten die Einhaltung der DSGVO gewährleisten.

    • "Recht auf Vergessen", mit dem Sie einfordern können, dass Ihre Daten gelöscht oder korrigiert werden.

    • Möglichkeit der Datenübertragbarkeit, d.h. dass Anbieter es ermöglichen müssen, dass Sie Ihre Daten von einem Dienst mit zu dem anderen nehmen können.

Im Vorfeld für Aufregung sorgte Art. 8 der DSGVO: "Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft". Dieser Artikel regelt, wann Dienste der Informationsgesellschaft (z.B. Webseiten), die sich an Kinder richten, personenbezogene Daten von diesen erheben dürfen. Aktuell ist festgelegt, dass die Verarbeitung der personenbezogenen Daten eines Kindes rechtmäßig ist, wenn das Kind mindestens 16 Jahre alt ist. Ist das Kind unter 16 Jahre alt, ist eine solche Verarbeitung nur zulässig, wenn und soweit die Zustimmung des Trägers der elterlichen Verantwortung für das Kind erteilt oder genehmigt wird. In Vorbereitung auf die Umsetzung der DSGVO hatten die Mitgliedstaaten die Möglichkeit, das gesetzliche Mindestalter niedriger anzusetzen, sofern es nicht unter 13 Jahren liegt.

Bei Nichteinhaltung der DSGVO können Geldstrafen in Höhe von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes eines Unternehmens – je nachdem was höher ist – geltend gemacht werden. Darüber hinaus können Nutzerinnen und Nutzer zivilrechtlich vorgehen und Schadenersatz einklagen.