Am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (kurz: DSGVO) verbindlich in Kraft. Mit diesem Gesetz wird sich einiges für Unternehmen und Verbraucher im Internet ändern. Was Sie beachten sollten, erfahren Sie im folgenden Artikel.
Was ist die EU-Datenschutzgrundverordnung?
Eigentlich trat die DSGVO bereits vor zwei Jahren, am 24. Mai 2016, in Kraft. Die neuen Regelungen werden aber erst am 25. Mai 2018 verbindlich für alle EU-Mitgliedstaaten. Im Gegensatz zu anderen Gesetzesänderungen in den vergangenen Jahren, die Unternehmen teilweise mehr Rechte im Netz einräumen, soll die Datenschutzgrundverordnung ausschließlich den Verbraucher im Internet stärken.
Die DSGVO betrifft grundsätzlich alle Besitzer von Webseiten, die EU-Bürger besuchen. Dabei spielt es keine Rolle, ob es sich um die kommerzielle Webseite eines Großkonzernes oder den Freizeit-Blog einer Privatperson handelt. Deshalb sollte sich jeder mit der Gesetzesnovelle auseinandersetzen und sich den Änderungen rechtzeitig anpassen.
Was ändert sich?
Einige Kernbestandteile des Bundesdatenschutzgesetzes wurden in die Datenschutzgrundverordnung übernommen:
- Die Grundrechte jeder natürlichen Person sollen beschützt werden. Dazu zählt in diesem Zusammenhang insbesondere das Recht auf informationelle Selbstbestimmung.
- Personenbezogene Daten dürften grundsätzlich nicht erhoben oder verarbeitet werden – dies ist nur unter streng regulierten Ausnahmen gestattet.
- Hochsensible persönliche Daten sind noch strenger reguliert. Hier ist eine Einwilligung der betroffenen Person zwingend notwendig.
- Unternehmen deren Geschäftsmodell hauptsächlich die Datenerhebung, Datenauswertung oder Beobachtung von Personen vorsieht, müssen über einen betrieblichen Datenschutzbeauftragten verfügen.
- Die Weiterverarbeitung von Daten muss transparent ablaufen, wobei die Daten nicht zweckentfremdet werden dürfen.
Dies sind die neu hinzugekommenen Änderungen:
- Die Vorgaben der DSGVO gelten auch für Anfragende aus Drittstaaten, sofern diese die Daten von EU-Bürgern betreffen.
- Die betroffene Person muss direkt und eindeutig in jeden Vorgang der Datenverarbeitung einwilligen, wobei diese Einwilligung jederzeit widerrufen werden kann. Auch muss es möglich sein, einzelnen Zwecken der Datenverarbeitung gesondert zu widersprechen. Dabei darf ein Vertrag nicht davon abhängig gemacht werden, dass der Verbraucher der Datenverarbeitung zustimmt.
- Die Betroffenen müssen genauestens über ihre Rechte sowie die Umstände der Datenspeicherung informiert werden.
- Falls eine Nutzerin oder ein Nutzer dies möchte, muss das Unternehmen alle gesammelten personenbezogenen Daten zu ihrer oder seiner Person aushändigen.
- Bei der Weitergabe falscher oder veralteter Daten an Dritte muss der Verursacher die Betroffenen darüber informieren.
- Personen können bei Fehlern oder Pannen, die ihre Daten betreffen, beim verantwortliche Unternehmen Schadensersatzansprüche geltend machen. Im Falle solch einer Panne müssen die Betroffenen innerhalb von 72 Stunden informiert werden.
- Unternehmen müssen eine Datenschutzfolgenabschätzung – eine Risikobewertung – regelmäßig durchführen.
- Die Geldbußen bei Verstößen gegen die EU-Datenschutzgrundverordnung können bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes betragen.
Quelle: datenschutz.org