Die im Mai 2018 in Kraft tretende Allgemeine Datenschutzverordnung (GDPR) ist eine dringend benötigte Aktualisierung der EU-Datenschutzbestimmungen, sowie Vereinfachung der Datenschutzprogramme für in der EU tätige Unternehmen. Für einige Unternehmen beinhaltet die Vorbereitung für GDPR-Compliance eine Überprüfung der gängigen Praktiken, während sich andere Unternehmen aufgrund von GDPR völlig neu ausrichten müssen. Im ersten Teil dieser Serie erläutern wir die Grundlagen von GDPR.
Wieso GDPR?
Anders als Technologieinnovation bewegen sich die Räder der Gesetzgebung langsam. Die bisherige Datenschutzrichtlinie, die durch das GDPR ersetzt wird, trat im Jahr 1995 in Kraft. Das ist richtig: Windows 95 war brandneu und Bill Clinton US Präsident.
Obwohl die Datenschutzrichtlinie mit einer Änderung im Jahr 2003 aktualisiert wurde, konnte sie nicht mit den extremen Entwicklungen innerhalb der Technologiebranche mithalten. Zur Freude der Journalisten und des Schreckens der Gerichte in ganz Europa gab es eine wachsende Zahl von Streitigkeiten, die die bestehenden Gesetze einfach nicht verarbeiten konnten. Als Beispiel dient der Prozess eines Spaniers, der 2010 gegen Google Inc., Google Spanien und die lokale Zeitung La Vanguarida geklagt hatte und das Recht auf Vergessen einforderte. Ihm missfielen die Ergebnisse der Suchmaschine. Diese zeigten bei der Suche nach seinem Namen Artikel der spanischen Zeitung La Vanguardia, in diesen der Kläger in Verbindung mit einer gepfändeten Immobilie gebracht wurde. Die spanische Datenschutzagentur AEPD gab der Beschwerde gegenüber Google Inc. und Google Spanien recht. Google erwiderte mit einer Klage vor dem spanischen Gericht Audiencia Nacional in Madrid, das die Angelegenheit jedoch aussetzte und zur Vorabentscheidung an den EuGH übergab.
Was ist GDPR?
Die Allgemeine Datenschutzverordnung (GDPR) (Verordnung EU 2016/679) ist eine Verordnung, mit der das Europäische Parlament, der Europäische Rat und die Europäische Kommission den Datenschutz für Personen innerhalb der Europäischen Union (EU) stärken und vereinheitlichen möchte. Es bezieht sich außerdem auf den Export von persönlichen Daten außerhalb der EU. Das primäre Ziel von GDPR ist es, den Bürgern die Kontrolle über ihre personenbezogenen Daten zu ermöglichen und das Regulierungsumfeld für das internationale Geschäft durch eine Vereinheitlichung der Verordnung innerhalb der EU zu vereinfachen. Wenn GDPR wirksam wird, wird es die seit 1995 geltende Datenschutzrichtlinie (offizielle Richtlinie 95/46 / EG) ablösen. Die Verordnung wurde am 27. April 2016 verabschiedet. Sie tritt am 25. Mai 2018 nach einer zweijährigen Übergangszeit in Kraft und verlangt im Unterschied zu einer Richtlinie keine Ermächtigungsgesetzgebung von nationalen Regierungen. Wer nun Lust hat in die Tiefen von GDPR einzutauchen, kann sich unter folgendem Link die EU Verordnung komplett durchlesen. Für mich stellte diese meine Weihnachtslektüre dar und ich kann euch sagen: Ich erlebte schon spannendere Dinge in meinem Leben!
Wen betrifft GDPR?
Die Regelung findet Anwendung, wenn der Datenverwalter oder -verarbeiter (Organisation/Unternehmen) oder die betroffene Person in der EU ansässig ist. Darüber hinaus gilt die Verordnung, im Gegensatz zur derzeitigen Richtlinie, auch für Organisationen, die außerhalb der Europäischen Union ansässig sind, wenn diese personenbezogene Daten von EU-Bürgern verarbeiten. Die Verordnung gilt dagegen nicht für die Verarbeitung personenbezogener Daten für nationale Sicherheitsdienste oder Strafverfolgungsbehörden. Nach Angaben der Europäischen Kommission sind „personenbezogene Daten“ Informationen, die sich auf eine Privatperson beziehen, egal ob diese innerhalb des privaten, beruflichen oder öffentlichem Leben entstehen. Es kann sich dabei um einen Namen, ein Foto, eine E-Mail-Adresse, Angaben auf Social Media, medizinische Informationen oder gar eine IP-Adresse handeln.
Das Recht auf Vergessen
Mit Einführung von GDPR ergeben sich aus den Grundsätzen eine Reihe von Pflichten für alle Firmen, die mit den personenbezogenen Daten von EU-Bürgern hantieren. Darunter unter anderem das Recht auf Vergessen: Wünscht es der Bürger, so muss ein Unternehmen seine personenbezogenen Daten in einer gewissen Frist löschen, und zwar komplett.
Während sich in diesem Artikel alles um die Grundlagen von GDPR drehte, werden wir in den nächsten Wochen genauer auf die Konsequenzen, mögliche Strafen und die aktuelle Lage und Umsetzbarkeit innerhalb deutscher Firmen eingehen. Bei Fragen oder Anregungen, melden Sie sich gerne bei uns!