Unser Einkaufsverhalten, unser Gesundheitszustand, unsere Privatfotos, wo wir heute waren und was wir gemacht haben, welche Newsletter wir gelesen haben u.v.m., all das ist nur ein Teil des digitalen Fingerabdrucks, den wir jeden Tag hinterlassen. Diese Daten sind unser digitales Spiegelbild.
Wir willigen täglich in Allgemeine Geschäftsbedingungen ein, schließen Verträge ab und vertrauen darauf, dass Unternehmen, vertrauenswürdig mit den Daten sowie den daraus gewonnenen Informationen umgehen. Aber: Ohne passende Gesetze ist es kaum möglich, sich davor zu schützen, dass unsere Daten missbraucht, verkauft, gestohlen oder an Orten gespeichert werden, wo wir diese nicht haben möchten.
Einheitlicher Datenschutz für die ganze EU
Das Datenschutzrecht wurde jetzt so vereinheitlicht, dass alle Rechtsgeschäfte, die innerhalb der EU getätigt werden, denselben Regeln unterliegen. So kann man sich bei Verstößen an die nationalen Datenschutzbehörden wenden, auch wenn die Datenschutzverletzung nicht im Inland begangen wurde. Exportorientierte Unternehmen benötigen nun nur noch einen Datenschutzstandard für die gesamte EU.
Wer muss sich nach den neuen Regeln richten?
Die DSGVO gilt für alle, die personenbezogene Daten verarbeiten. Daraus ergibt sich, dass natürliche Personen, Unternehmen, Behörden, Vereine, und Körperschaften gleichermaßen zum Datenschutz verpflichtet sind. Auch Cloud-Dienste und Sozialmedianetzwerke, welche Daten außerhalb der EU verarbeiten, sind verpflichtet, diese Verordnung umzusetzen. Gleiches gilt auch für alle Unternehmen aus Nicht-EU-Ländern, welche Geschäfte mit Personen in der EU tätigen.
Viele der bekannten Grundsätze ändern sich nicht, nur wenige sind gänzlich neu, doch sollten folgende Grundsätze beachtet werden:
- Verbot mit Erlaubnisvorbehalt Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten. Die Erlaubnis kann entstehen aus Gesetzen, z. B. aus dem BDSG, TMG, EU-DSGVO oder der freiwilligen Einwilligung der betroffenen Person.
- Datensparsamkeit Der User darf nicht gezwungen werden, mehr Daten preiszugeben als zwingend notwendig.
- Zweckbindung Es dürfen nur die Daten verarbeitet werden, die für den festgelegten, eindeutigen und legitimen Zweck erhoben wurden.
- Datensicherheit Dies umfasst alle Bereiche der Verarbeitung von Daten. Die Verarbeitung der personenbezogenen Daten bezeichnet jeden Vorgang in Zusammenhang mit diesen, also das Erfassen, Speichern, Verändern, Verknüpfen oder Löschen. Der Verantwortliche muss das angepasste Schutzniveau gewährleisten.
Das regelmäßige Schulen der Mitarbeiter, bezüglich Verhalten und Maßnahmen zur Gewährleistung der IT-Sicherheit in ihrem Unternehmen und eine dokumentierte Datenschutz-Prozesslandschaft, zählen zu den organisatorischen Sicherheitsvorkehrungen.
Tipp der Redaktion: Lesen Sie im zweiten Teil der Serie im nächsten GLASWELT Newsletter, was es mit dem "Recht auf Vergessenwerden" auf sich hat.
Der Autor
Harald Hochstaffl war von 2010 bis 2016 GF des Softwarehauses 3E und zudem verantwortlich für das Stammdatenmanagement.