Einführung und Überblick zur DS-GVO
Vier Jahre lang wurde heftig diskutiert und debattiert. Am 15.12.2015 stieg „weißer Rauch“ in Brüssel auf. Es bestand nun endlich ein im Trilogverfahren abgestimmter Text der Datenschutz-Grundverordnung (DS-GVO). Im April 2016 erfolgte die Zustimmung seitens des EU-Rats und -Parlaments und am 04.05.2016 wurde die DS-GVO im Amtsblatt der Europäischen Union (EU) veröffentlicht. Sie trat am 25.05.2016, am 20. Tag nach ihrer Veröffentlichung, in Kraft. Seit dem 25.05.2018 ist die Datenschutz-Grundverordnung gültig und gilt direkt und unmittelbar für alle EU-Mitgliedstaaten. [1]
Das war vor drei Jahren – Happy Birthday DS-GVO.
Es gab viele Kritiker der Vollharmonisierung des Datenschutzrechts durch die DS-GVO und des angeblichen Paradigmenwechsels. Dabei wurde vielfach übersehen, dass bereits eine inhaltlich weitreichende sekundärrechtliche Europäisiierung des Datenschutzrechts erfolgt war. Im Kern geschah dies mit der im Jahr 1995 verabschiedeten Datenschutzrichtlinie 95/46/EG. Sie erfasste sämtliche Datenverarbeitungsprozesse und schloss lediglich Datenverarbeitungen im familiären und rein persönlichen Zusammenhängen aus, wie es auch die DS-GVO (Art. 2 Abs. 2 lit. c) aktuell regelt. [2]
Abbildung 1: Gesetzgebungsverfahren der DS-GVO (Quelle: Regina Mühlich)
Mit der Datenschutz-Grundverordnung wurde das Datenschutzrecht innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) [3] für den privaten und öffentlichen Bereich vereinheitlicht. Der Datenschutzstandard gilt für fast 448 Mio EU-Bürger [4], und es gilt gleiches Recht für alle.
Zweck des Datenschutzes
Der Zweck des Datenschutz ist der Schutz der personenbezogenen Daten, es geht nicht um den Schutz von Daten. Der Mensch, i.S.v. die natürliche/betroffene Person, steht folglich im Mittelpunkt. Die betroffenen Person haben ein Interesse daran, dass die privaten Daten nicht „missbraucht werden“ und unrechtmäßig verarbeitet werden. Die Privatsphäre soll geschützt werden, (erforderliche) Verarbeitungen sollen transparent und rechtsstaatlich erfolgen (informationelle Selbstbestimmung).
Um dies sicherzustellen hat der EU-Gesetzgeber im Rahmen der DS-GVO, wie bereits das BDSG a.F., die Verarbeitung durch einen Dienstleister, dem sogenannten Auftragsverarbeiter, geregelt. Eine Auftragsverarbeitung kann nur unter bestimmten Rahmenbedingungen erfolgen. Wobei die Vertragspartner, der Verantwortliche und der Auftragsverarbeiter, einen gewissen Regelungsspielraum haben.
Verantwortlich für die Verarbeitung ist und bleibt auch bei der Auftragsverarbeitung der Auftraggeber, d.h. der Verantwortliche i.S.d. Art. 4 Nr. 7 DS-GVO. Im Rahmen von Art. 5 Abs. 2 DS-GVO ist er für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DS-GVO) verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Der Verantwortliche hat somit, wie auch der Auftragsverarbeiter, nicht nur Rechte, sondern auch Pflichten.
Kapitel 1 DS-GVO – Zweck des Datenschutzes:
(1) … zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) … schützt Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf schütz personenbezogener Daten.
Verarbeiten
Verarbeiten ist ein umfassender Begriff für den Umgang mit personenbezogenen Daten. Er umfasst das Erheben (Daten beschaffen, sammeln), Speichern, Ändern (z.B. Berichtigung einer E-Mailadresse), Nutzen (Abfrage starten), Übermitteln (durch Weitergabe von Daten oder auch „reinschauen lassen“), Verknüpfen (mit anderen Daten) oder Löschen (einschließlich Vernichten eines Datenträgers). [5]
Der Begriff der Verarbeitung ist in Art. 4 Nr. 2 DS-GVO geregelt. Dieser wird weit verstanden und umfasst letzlich jeglichen Umgang mit personenbezogenen Daten. [6] Dazu zählt auch der Vorgang der Anonymisierung von personenbezogenen Daten, da dies eine Verarbeitung von personenbezogenen Daten i.S.d. DS-GVO darstellt.
Abbildung 2: Umgang mit personenbezogenen Daten (Quelle: Regina Mühlich)
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
[1] Mühlich, R., (2020), Kap. 1 Einführung und Neuerungen im Überblick, S. 19, In: Datenschutz 2020, Forum Verlag Herkert GmbH.
[2] Ebenda.
[3] Mitgliedsstaaten des EWR. EU, Island, Liechtenstein, Norwegen.
[4] Vgl. https://de.statista.com/statistik/daten/studie/14035/umfrage/europaeische-union-bevoelkerung-einwohner/ (zuletzt abgerufen am: 24.04.2021).
[5] Kranig, T., Ehmann, E., (2017), S. 9, Erste Hilfe zur Datenschutz-Grundverordnung, C.H.Beck-Verlag GmbH & Co. KG
[6] Mühlich, R., (2021), Anonymisieren statt löschen?, S. 32, In: Löschkonzept nach DSGVO erstellen und anwenden, Forum Herkert Verlag GmbH.