Sie kommt, und zwar bald. Ab 25.05.2018 wird sie auch in der EU angewendet, und bringt einige Neuerungen für das Datenschutzrecht mit sich. Diese betreffen nicht nur große Unternehmen wie manch einer vielleicht meinen würde, sondern eben auch den einzelnen Bürger. Zumindest dann, wenn er irgendwo mit personenbezogener Daten arbeitet. Was genau ist aber nun das Ziel der neuen DSGVO?
„Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. (Art1.Abs.1 DSGVO)
Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“ (Art. 1 Abs. 2 DSGVO)
Kurz gesagt: die persönlichen Daten sollen wesentlich besser vor Diebstahl und unerlaubter Weitergabe geschützt werden. Eigentlich richtig gut oder?
Die Ziele der DSGVO sollen durch festgelegten Regeln der Verarbeitung personenbezogener Daten erreicht werden nämlich: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht – geregelt in Art. 5. DSGVO
Das bisherige EU Datenschutzrecht wird deshalb nicht völlig verändert, weißt aber doch erhebliche Änderungen, die in der Praxis umgesetzt werden müssen, auf. Bei nicht einhalten drohen Abmahnung mit enorm hohen Strafen – auch das ist neu!!! Wir sprechen hier bei bestimmten Verstößen in Summen von bis zu 20 Mio EUR oder 4% des weltweit erzielten Jahresumsatzes. Diese Summen sind in der DSGVO festgelegt, da ist kein Verhandlungsspielraum oder Willkür seitens der Abmahner gegeben.
So und für wen gilt die DSGVO nun konkret? Ganz einfach für ALLE die mit personenbezogenen Daten arbeiten, oder Ware/Dienstleistungen anbieten. Personenbezogener Daten heißt Name, Adresse, Emailadresse, aber auch die MAC Adresse des Smartphones, PC IDs, die Posts in den social Media Kanälen, die religiöse und philosophische Besinnung. All das sind persönliche Daten.
Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ (Art. 2 Abs. 1 DSGVO).
Was ist nun zu tun um nicht Gefahr zu laufen so eine Abmahnung zu kassieren?
- Größere Unternehmen sind dazu verpflichtet eine Datenschutzbeauftragten zu benennen, und diesen auch namentlich bekannt zu geben.