Suchen

Datenschutz

Die neue EU-Datenschutz-Grundverordnung im Detail

Seite: 3/4

Firmen zum Thema

Die Artikel im Einzelnen

Das neue Gesetz definiert die Pflichten derer, die Daten im Auftrag verarbeiten – und damit von Cloud-Anbietern – genauer. Dies betrifft die Artikel 26 (Auftragsverarbeiter) und 30 (Sicherheit der Verarbeitung). Diese entsprechen in der Datenschutzrichtlinie dem Artikel 17. Prinzipiell sagt er aus, dass ein Cloud-Anbieter die Sicherheit der Daten, die ihm vom für die Verarbeitung Verantwortlichen übergeben werden gewährleisten muss.

Die DS-GVO sieht die Möglichkeit vor, Schadenersatzansprüche direkt gegenüber dem Auftragsverarbeiter geltend zu machen. In der aktuellen Datenschutzrichtlinie ist dies nur gegenüber dem für die Verarbeitung Verantwortlichen möglich.

Artikel 5 (Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten) nennt im Prinzip dieselben Anforderungen zur Minimierung der erfassten Datenmenge wie die aktuelle Datenschutzrichtlinie: Personenbezogene Daten müssen „dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Datenverarbeitung notwendige Mindestmaß beschränkt sein“. Der Artikel besagt jedoch auch, dass letztendlich der für die Verarbeitung Verantwortliche die Sicherheit der Daten gewährleisten muss.

Artikel 23 (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) enthält zusätzliche Aspekte eines Privacy by Design. Er geht genauer auf das Minimierungsprinzip ein: Der für die Verarbeitung Verantwortliche muss die Dauer der Datenspeicherung sowie den Zugriff grundsätzlich beschränken. Zudem wird die EU-Kommission ermächtigt, genauere Anforderungen zum Datenschutz durch Technik zu einem späteren Zeitpunkt festzulegen.

Neue Anforderungen

Die DS-GVO sieht einige neue Anforderungen vor. Auch hier gilt: Wer sich bereits an Best Practices orientiert, für den hält sich der Aufwand in überschaubaren Grenzen. Wobei die Datenschutz-Folgenabschätzung (siehe unten) eine bürokratische Hürde darstellt, die möglicherweise gelegentliches Kopfschütteln verursachen wird.

Artikel 28 (Dokumentation) enthält sowohl für Auftragsverarbeiter als auch für die für die Verarbeitung Verantwortlichen zusätzliche Anforderungen hinsichtlich der Dokumentation von Verarbeitungsvorgängen. Künftig müssen die vom für die Verarbeitung Verantwortlichen erfassten Daten kategorisiert, die Empfänger der Daten dokumentiert und Fristen für das Löschen der personenbezogenen Daten angegeben werden.

Artikel 33 sieht eine Datenschutz-Folgenabschätzung vor, bevor der für die Verarbeitung Verantwortliche neue Dienste oder Produkte anbietet, in deren Rahmen die wirtschaftliche Lage, der Aufenthaltsort, der Gesundheitszustand oder persönliche Vorlieben analysiert und Daten über die Rasse, das Sexualleben oder ansteckende Krankheiten der betroffenen Person verarbeitet werden. Die Datenschutz-Folgenabschätzung soll die Privatsphäre der betroffenen Person schützen, indem der für die Verarbeitung Verantwortliche unter anderem angeben muss, welche Sicherheitsmaßnahmen er zum Schutz der Daten ergreift.

Die neue Meldepflicht bei Sicherheitsvorfällen hat in den Medien wohl am meisten Aufsehen erregt. Bisher müssen nur Telekommunikations- und Internetdienstanbieter Datenschutzverletzungen innerhalb von 24 Stunden melden (Datenschutzrichtlinie für elektronische Kommunikation).

Basierend auf dieser Richtlinie schreibt Artikel 31 der DS-GVO vor, dass der für die Verarbeitung Verantwortliche die Aufsichtsbehörde über die Art der Datenschutzverletzung, die betroffenen Datenkategorien, die Zahl der betroffenen Personen und die bereits ergriffenen Maßnahmen informieren muss.

Laut Artikel 32 müssen anschließend die betroffenen Personen benachrichtigt werden.

Artikel 17 (Recht auf Vergessenwerden und auf Löschen) verschärft die Regeln zum Löschen von Daten der aktuellen Datenschutzrichtlinie und führt das umstrittene Recht auf Vergessenwerden ein. Zudem wäre der für die Verarbeitung Verantwortliche gezwungen, alle vertretbaren Schritte zu unternehmen, um Dritte, die die Daten verarbeiten, darüber zu informieren, dass die Löschung von Daten angefordert wurde.

Für Social-Media-Dienste, die personenbezogene Daten ihrer User im Internet veröffentlichen, würde dies bedeuten, dass sie nicht nur die von den Usern eingegeben Informationen löschen, sondern auch andere Website-Betreiber in Kenntnis setzen müssten, die diese Informationen kopiert haben. Das könnte ziemlich aufwendig werden.

Eine Anforderung, die weniger Aufmerksamkeit erregt hat, jedoch erhebliche Konsequenzen nach sich zieht, ist das in Artikel 3 beschriebene neue Prinzip der Extraterritorialität. Es sagt aus, dass sämtliche Anforderungen der DS-GVO selbst für Unternehmen ohne Niederlassung in der EU gelten, die Daten von EU-Bürgern verarbeiten zum Beispiel über eine Website. Dieses Konzept ist einigermaßen umstritten. Insbesondere ist unklar, wie es sich durchsetzen lässt.

(ID:43791345)