Im Mai 2018 wurde Europa auf die aktualisierten Regeln für die Bearbeitung personenbezogener Daten umgestellt, die in der Allgemeinen Datenschutzverordnung (EU-Verordnung 2016/679 vom 27. April 2016 oder GDPR) festgelegt sind. Diese Verordnung, die in allen 28 EU-Ländern unmittelbare Wirkung hat, ersetzt die Datenschutzrichtlinie 95/46/EG vom 24. Oktober 1995.
Der in der DSGVO verankerte Grundsatz der Extraterritorialität der neuen europäischen Vorschriften für die Bearbeitung personenbezogener Daten ist sehr wichtig, so dass Sie sie beachten sollten, wenn die von Ihrem Unternehmen angebotenen Dienstleistungen auf den europäischen oder internationalen Markt ausgerichtet sind.
Die neue Verordnung gibt den in der EU ansässigen Personen die Möglichkeit, die volle Kontrolle über ihre personenbezogenen Daten auszuüben. Seit Mai 2018 ist die Verantwortung für Verstöße gegen die Regeln für die Verarbeitung personenbezogener Daten verschärft worden: manchmal erreichen die Geldbußen 20 Millionen Euro, was 4 % des Jahreseinkommens der DSGVO entspricht. In diesem Artikel haben wir die neuen Regeln für die Verarbeitung personenbezogener Daten in der EU analysiert und Empfehlungen für Unternehmen formuliert, wie sie die DSGVO einhalten können.
Welche Unternehmen fallen unter die Datenschutz-Grundverordnung?
Die Datenschutz-Grundverordnung hat extraterritoriale Wirkung und gilt für alle Unternehmen, die personenbezogene Daten von in der EU ansässigen Personen und Bürgern verarbeiten, unabhängig vom Standort eines solchen Unternehmens. Natürlich müssen auch Filialen und Repräsentanzen von nicht in der EU ansässigen Unternehmen die neuen Anforderungen erfüllen.
In welchen Fällen müssen Unternehmen alle Anforderungen der DSGVO erfüllen? Wenn:
- Ihre Dienstleistungen/Produkte an die lokalen Sprachen der in der EU ansässigen Personen angepasst sind;
- Ihre Dienstleistungen/Waren in den lokalen EU-Währungen bezahlt werden;
- Ihre Dienstleistungen/Waren unter den nationalen Top-Level-Domains der EU-Länder angeboten werden.
Das bedeutet, dass Organisationen, die bei der Durchführung von Online-Verkäufen personenbezogene Daten von Europäern in den Vereinigten Staaten verarbeiten (z. B. Eisenbahnen, Fluggesellschaften, Hotels, Hostels und andere), der DSGVO unterliegen und die neue europäische Verordnung über die Verarbeitung personenbezogener Daten einhalten müssen. Zusätzlich zur Bearbeitung von personenbezogenen Daten verwendet die DSGVO das Konzept der Überwachung des Verhaltens der betroffenen Personen, weshalb eine weitere Kategorie von Personen unter die DSGVO fällt.
Die Datenschutz-Grundverordnung gilt für Organisationen mit Sitz außerhalb der EU, wenn sie (als für die Verarbeitung Verantwortliche oder Auftragsverarbeiter) das Verhalten von in der EU ansässigen Personen kontrollieren (soweit dieses Verhalten in der EU stattfindet). Unternehmen müssen sich von nun an vollständig an diese Standards halten, und wenn dies nicht geschieht, müssen sie mit strengen Strafen rechnen, die ihre künftige Arbeit beeinträchtigen können.
Die Überwachung kann umfassen:
- die Überwachung einer in der EU ansässigen Person im Internet;
- die Verwendung von Datenverarbeitungstechniken, um ein Profil von Personen, ihrem Verhalten oder ihrer Beziehung zu einer Sache zu erstellen (z. B. um persönliche Vorlieben zu analysieren oder vorherzusagen).
Was versteht man unter personenbezogenen Daten im Sinne der DSGVO?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen und über die sie direkt oder indirekt bestimmt werden kann. Verschiedene Informationen, die zusammen gesammelt werden, können zur Identifizierung einer bestimmten Person führen und stellen personenbezogene Daten dar. Es ist wichtig zu beachten, dass es bestimmte Arten von personenbezogenen Daten gibt. Dazu gehören genetische und biometrische Daten, die zur Identifizierung von Personen dienen, Daten über den Gesundheitszustand, Informationen über das Sexualleben oder die sexuelle Orientierung.
Wie funktioniert die Datenverarbeitung im Rahmen der GDPR?
Personenbezogene Daten werden auf rechtmäßige, faire und transparente Weise verarbeitet. Alle Informationen über die Zwecke, Methoden und den Umfang der Bearbeitung von personenbezogenen Daten sollten so zugänglich und einfach wie möglich dargestellt werden. Die Daten dürfen nur für die vom Unternehmen (Online-Dienst) angegebenen Zwecke erhoben und verwendet werden.
Die Daten dürfen nicht in größerem Umfang erhoben werden und sollten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nicht länger ermöglicht, als es für die Zwecke der Verarbeitung erforderlich ist.
Personenbezogene Daten, die unrichtig sind, müssen (auf Antrag des Nutzers) gelöscht oder berichtigt werden.
Alle Unternehmen sind verpflichtet, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung, Zerstörung und Beschädigung zu schützen.
Fälle von Verstößen gegen die GDPR
Unternehmen sind verpflichtet, die Aufsichtsbehörden (und in einigen Fällen die betroffenen Personen) innerhalb von 72 Stunden nach Entdeckung eines Verstoßes gegen personenbezogene Daten zu informieren.
Eine Liste der nationalen Aufsichtsbehörden für personenbezogene Daten für alle EU-Länder finden Sie auf dieser websiteWebsite. Es gibt auch eine gesamteuropäische Aufsichtsbehörde, die Arbeitsgruppe 29 oder eine Arbeitsgruppe zu Artikel 29. Sobald die Datenschutz-Grundverordnung in Kraft tritt, wird die Arbeitsgruppe zu Artikel 29 jedoch durch eine neue Einrichtung ersetzt - den Europäischen Datenschutzausschuss (EDPB).
Rechte der betroffenen Person (Einzelperson)
Die Datenschutz-Grundverordnung erweitert die Rechte der EU-Bürger und der in der EU ansässigen Personen auf Kontrolle ihrer personenbezogenen Daten erheblich. Die Europäer haben das Recht, jede Art von Informationen über die Verarbeitung ihrer Daten anzufordern und deren Berichtigung zu verlangen. Außerdem hat der Nutzer das Recht, die Beendigung der Verarbeitung seiner Daten zu verlangen. Die Datenschutz-Grundverordnung sieht auch das Recht auf Vergessenwerden (Recht auf Löschung, Recht auf Vergessenwerden) vor, das es den Europäern ermöglicht, ihre Daten auf Antrag zu löschen, um ihre Verbreitung oder Weitergabe an Dritte zu verhindern.