Ein Jahr DSGVO: Was haben wir gelernt?

Veröffentlicht am 13.05.2019

Am 25. Mai 2018 trat die Datenschutzgrundverordnung (DSGVO) in Kraft und fand direkt Anwendung. Vor dem Hintergrund des technologischen Fortschritts sowie der Komplexität der Verarbeitung personenbezogener Daten wurde mit dieser Verordnung beabsichtigt, einen angemessenen Schutz für natürliche Personen in der Europäischen Union zu schaffen und Abweichungen zu vermeiden, die den freien Verkehr personenbezogener Daten auf dem Binnenmarkt erschweren.

Die neue Verordnung bedeutete für viele Unternehmen, Behörden und andere öffentliche und private Einrichtungen, die diese einhalten müssen, zahlreiche Anpassungsarbeiten. DieBekanntmachung der Ankündigung der Verordnung stellte daher eine Art Countdown in Form einer Warnung dar.. Die exorbitanten Bußgelder, die – wir erinnern uns – bis zu 20 Millionen Euro betragen können oder im Fall von Unternehmen einen Betrag erreichen können, der 4 % des globalen Gesamtumsatzes des vorausgegangenen Steuerjahres entspricht, haben problemlos Aufmerksamkeit erregt. Die anfängliche Aufregung hat sich gelegt, aber die Unruhe bleibt. Hierdurch wirdeines derHauptziele der DSGVO erreicht: die Bewusstmachung. Nach fast einem Jahr in Kraft haben sich sowohl die Verpflichteten als auch die Betroffenen an die Verordnung gewöhnt. Nachfolgend gehen wir auf einige der wichtigsten Punkte ein, die wir in diesem Zusammenhang gelernt haben.

Erstens muss jede Verarbeitung personenbezogener Daten legal, fair und transparent sein. Um diese Prinzipien zu erfüllen, muss jede Verarbeitung sich auf einen rechtmäßigen Zweck gründen, die Verantwortlichen die Verantwortung übernehmen und sich dazu verpflichten, Daten nicht zu unrechtmäßigen Zwecken zu verarbeiten. Ebenso habendie betroffenen Personen das Recht, über die Verarbeitung ihrer personenbezogenen Daten informiert zu werden. Die Erhebung und Verarbeitung dieser Daten muss auf das für die Erreichung des Verarbeitungszwecks Notwendige begrenzt sein. So verbietet die Verordnung beispielsweise die Nutzung erhobener personenbezogener Daten zum Versand der Rechnung für einen Kauf, des Unternehmensnewsletters oder zur Anforderung der Telefonnummer, wenn dies für die Erreichung des Verarbeitungszwecks nicht notwendig ist. Ferner verpflichtet sie die Verantwortlichen zur Löschung der personenbezogenen Daten, sobald der rechtmäßige Zweck, der ihrer Erhebung zugrunde lag, erfüllt wurde.

Darüber hinaus haben die Verantwortlichen ggf. in Zusammenarbeit mit den Auftragsverarbeitern für den Schutz der acht Rechte der Betroffenen gemäß DSGVO zu sorgen. Die Rechte der Betroffenen sind: Recht auf Information, Recht auf Zugang, Recht auf Berichtigung, Recht auf Widerruf der Einwilligung, Recht auf Widerspruch, Recht auf Widerspruch der automatischen Verarbeitung, das berühmte Recht auf „Vergessenwerden“ und das Recht auf Übertragbarkeit der Daten.

Eine der Veränderungen, die die meiste Anpassung seitens der Verantwortlichen mit sich gebracht hat, betrifft die Art und Weise, wie die Einwilligung der Betroffenen eingeholt wird. Gemäß DSGVO muss die Einwilligung des Betroffenen ausdrücklich und vor der Erhebung und Verarbeitung der Daten erfolgen. Ferner kann erst nach der Aufklärung des Betroffenen um dessen Einwilligung gebeten werden. Im Internet wird häufig das zweistufige Informationsmodell verwendet, da es für den Nutzer leicht verständlich und im Netz oder in einer App angenehmer zu nutzen ist.

Zuletzt hat die Erfahrung bei Datenschutz durch Technik (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default) die Bedeutung von Risikoanalysen und Einschätzungen der Auswirkungen von Datenschutz gezeigt. Unentbehrlich ist die korrekte Gestaltung der Datenverarbeitung, um die Rechte und Freiheiten der Betroffenen wahren zu können. Die Gestaltungsphase der Datenverarbeitung bestimmt den Datenfluss sowie die integrierten Elemente. Unentbehrlich ist zu diesem Zeitpunkt auch die Festlegung von Kontroll- und Sicherheitsmaßnahmen, um nicht nur Risiken, sondern auch doppelte Arbeit und Bußgelder zu vermeiden. Das Risikomanagement muss während des gesamten Lebenszyklus der Datenverarbeitung betrieben werden. Dafür ist es notwendig, dass der Verantwortliche und sein Team gut ausgebildet sind und ein ausgeprägtes Bewusstsein für den Datenschutz haben.

Zweifelsohne bedeutete die DSGVO für die Verantwortlichen viel Anpassungsarbeit und für die Betroffenen gleichzeitig eine große Erleichterung, insbesondere für die Internetnutzer.