• IT
  • DE
  • EN
Direkt zum Seiteninhalt

DSGVO: Bilanz nach einem Jahr

Veröffentlicht von in Management & Gesetz · 30 Mai 2019
Am 25. Mai des vergangenen Jahres trat die Datenschutz-Grundverordnung in Kraft und fühlte sich für viele an, wie das Jahr Null. Denn bis zu diesem Stichtag mussten die Anpassungen an die neue Norm abgeschlossen sein, die bereits seit 2016 wirksam ist.

Dies war die letzte Etappe des gesetzlichen Verfahrens, das unser Rechtssystem umfassend verändert und im Hinblick auf den Datenschutz eine neue Epoche eingeläutet hat. Was hat sich seit dem Inkrafttreten der europäischen Datenschutzverordnung für Unternehmen geändert? Darüber haben wir mit der Anwältin und Datenschutzberaterin Federica De Stefani gesprochen.

Was bedeutet die DSGVO für Unternehmen?

Die DSGVO hat sprichwörtlich eine neue Ära eingeläutet, aus zwei verschiedenen Gründen.
Zum einen stehen personenbezogene Daten jetzt im Mittelpunkt des gesamten gesetzlichen Rahmens und ihr Schutz wird als „Grundrecht des Menschen“ angesehen.

Zum anderen hat sich im Vergleich zur Vergangenheit die Herangehensweise grundlegend geändert, da für den Datenschutz jetzt die Personen und Institutionen verantwortlich sind, die die Daten verarbeiten. Diesbezüglich wurden allgemeine Grundsätze formuliert, die eingehalten werden müssen.

Das heißt, die Verordnung gibt an, was zu tun ist, aber nicht, wie es zu tun ist.
Die EU-Verordnung 679/2016 basiert auf genau diesem Konzept.
Derjenige, der die Daten verarbeitet, ist die einzige Person oder Institution, die ihre konkrete Praxis besser kennt als der Gesetzgeber und somit geeignete Maßnahmen ergreifen kann, um den Datenschutz konkret umzusetzen, wie ihn die DSGVO verlangt.

Keine weitere „Übergangsfrist“ Kontrollen erfolgen seit dem Inkrafttreten der DSGVO in vollem Umfang und eventuelle Sanktionen können bis zu den vom EU-Gesetzgeber festgelegten Höchstgrenzen verhängt werden.

Datenschutzverletzungen: Die Bestimmungen im Hinblick auf die Vorgehensweise im Fall von Datenschutzverletzungen

Die Datenschutzverletzungen ist eine der wichtigsten Neuerungen der DSGVO. Hier ist vorgeschrieben, dass die Verantwortlichen der Datenverarbeitung alle Verletzungen des Schutzes personenbezogener Daten sowohl den zuständigen Behörden als auch den betroffenen Personen melden müssen.

Gemäß Artikel 4, Abs. 12 DSGVO ist die Verletzung des Schutzes personenbezogener Daten wie folgt definiert: „Eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Auf eine Datenschutzverletzung muss umgehend reagiert werden, um betroffene Personen vor eventuellen Folgen zu schützen, wie physischen, materiellen oder immateriellen Schäden bei natürlichen Personen. Hierzu zählen zum Beispiel der Verlust der Kontrolle über personenbezogene Daten, die sie betreffen, die Einschränkung ihrer Rechte, Diskriminierung, Diebstahl oder die widerrechtliche Aneignung ihrer Identität, finanzielle Schäden, unbefugte Entschlüsselung von Pseudonymen, Reputationsschäden, Verlust der Vertraulichkeit personenbezogener Daten im Zusammenhang mit dem Berufsgeheimnis sowie alle sonstigen wirtschaftlichen oder sozialen Schäden, die der betroffenen Person dadurch entstehen können.

Bei Verletzungen des Schutzes personenbezogener Daten muss der Verantwortliche gemäß Artikel 33 DSGVO den Vorfall bis auf wenige Ausnahmefälle der Aufsichtsbehörde melden.

Die Meldepflicht sieht vor, dass Datenschutzverletzungen der gemäß Artikel 55 zuständigen Aufsichtsbehörde wenn möglich innerhalb von 72 Stunden gemeldet werden müssen, nachdem die Verletzung bekannt wurde.
Ebenfalls gemäß Artikel 33 gilt hierbei eine Ausnahme für den Fall, „dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“.

Dies bedeutet im Umkehrschluss, dass die Meldung bei der Aufsichtsbehörde Pflicht ist, wenn die Verletzung ein Risiko für natürliche Personen birgt.

Soziale Netzwerke: Wie geht es weiter mit der Anpassung nach einem Jahr DSGVO?

Ohne Zweifel hat die neue Verordnung zum Schutz personenbezogener Daten auch erhebliche Auswirkungen auf soziale Netzwerke.

Soziale Netzwerke bieten diverse Tools und Dienste an. Dies kann bei Nutzern zu falschen Schlüssen darüber führen, ob die Verantwortung beim Dienstanbieter (also dem sozialen Netzwerk) oder beim Endnutzer selbst liegt, weil diese Zuweisung der verschiedenen Verantwortlichkeiten auf logischen Überlegungen beruht, die in den Regelwerken über die Beziehung zwischen der Plattform und ihren Nutzern nicht verankert sind.

Daher müssen sowohl das technische System als auch die Dienste untersucht werden, die jede Plattform ihren Nutzern zur Verfügung stellt, ebenso wie die Normen, nach denen die Beziehung der beiden Parteien geregelt ist.
Dies bedeutet, dass auch die Daten die von sozialen Netzwerken selbst oder über diese verarbeitet werden, der neuen Gesetzgebung unterstehen.

Es müssen also alle einzelnen Datenverarbeitungen und deren jeweilige Methoden untersucht werden. Dieser Pflicht sind bis zum aktuellen Zeitpunkt aber noch nicht alle Unternehmen, die im Web für ihre Aktivitäten werben, vollständig nachgekommen.

Vielen Dank an Rechtsanwältin De Stefani für die Einblicke in dieses Thema.
Fazit: Obwohl die Rechtsgrundsätze und Leitlinien gelegentlich noch immer Änderungen unterzogen werden, wurden in dem Jahr seit dem Inkrafttreten der DSGVO in puncto Datenschutz viele Fortschritte erzielt.


Zurück zum Seiteninhalt