Die Datenschutz-Grundverordnung
Im Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Dann müssen sich im Zweifel alle Verantwortlichen für die automatisierte Verarbeitung personenbezogener Daten den Grundsätzen und Pflichten der DSGVO unterwerfen. Die Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Die Verordnung wird besonders im Internet zum Teil kritisiert: Ich halte das nicht für angebracht. Wie der aktuelle Missbrauch personenbezogener Daten bei Facebook (März 2018) wieder zeigt, sollte das Internet kein rechtsfreier Raum sein. Das beschädigt nachhaltig das Vertrauen der Nutzer und der Kunden in das System und führt womöglich langfristig zu dessen Kollaps. Das Beispiel der westlichen demokratischen Industriestaaten zeigt, dass bürgerliche Freiheitsrechte und wirtschaftlicher Erfolg einander bedingen. Die Voraussetzungen dafür hat der Rechtsstaat mit seinem Regelwerk der Balance der gesellschaftlichen und wirtschaftlichen Interessen aller Beteiligten geschaffen. Auch die DSGVO dient der Vertrauensbildung und ist als innovativ und zukunftsweisend zu begrüßen.
Verpflichtet sind „Verantwortliche“: Das sind (im unterschiedlichen Maß und mit Ausnahmen) alle natürlichen oder juristischen Personen, Behörden, Einrichtungen oder andere Stellen, die über Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheiden. Verantwortliche sind daher u.a.
– Vereine und Verbände,
– Schulen, Bildungsinstitute,
– Gewerbetreibende: Ärzte, Hausverwaltungen oder die Reparaturwerkstatt,
– Arbeitgeber,
– Betreiber von E-Commerce-Shops usw. usf..
Eine Ausnahme kann bestehen bei der Datenverarbeitung im Rahmen ausschließlich privater oder familiärer Tätigkeit, wobei auch da der Grundsatz der Verhältnismäßigkeit zu beachten ist: Im Rahmen einer rein privaten Tätigkeit kann auch die Veröffentlichung von persönlichen Daten im Internet (beispielsweise von Mitgliedern einer Kirchengemeinde) unverhältnismäßig und nicht erlaubt sein.
Umfasst von der DSGVO sind demnach z.B. die Verarbeitung der Daten von Vereinsmitgliedern, Angestellten, Mitarbeitern, Kunden, Patienten, Mietern, Schülern oder das Anbieten von Dienstleistungen im Internet: alle Verarbeitungsvorgänge, die persönliche Daten mit Hilfe von Informationstechnologie betreffen.
Allgemeine mögliche Pflichten des Verantwortlichen:
1. Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten.
2. Pflicht zur Ernennung und öffentlicher Bekanntgabe eines Datenschutzbeauftragten.
3. Informationspflichten.
4. Achtung der Betroffenenrechte.
5. Sorgfaltspflicht bei Vergabe der Auftragsverarbeitung, Erstellung neuer Verträge
6. Mitteilungspflicht bei Verletzung des Schutzes personenbezogener Daten.
7. Erstellung einer Datenschutzfolgeabschätzung bei besonders sensiblen (risikogeneigten) Daten (z.B. Patientendaten).
8. Umsetzung „data protection by design“ und „data protection by default“.
Berücksichtigung der Betroffenenrechte:
1. Recht auf Berichtigung.
2. Recht auf Löschung.
3. Recht auf Datenübertragbarkeit.
4. Widerspruchsrecht
5. Automatisierte Entscheidung im Einzelfall einschließlich Profiling.
Ob im Einzelfall alle Pflichten zu beachten sind oder Ausnahmeregelungen bestehen, ist von einem Fachmann zu prüfen. Die Verletzung der Pflichten ist mit Bußgeldern bedroht.