Autoren: Stefan Luther, Elisa Jannasch (Alos GmbH)
Der Grundverordnung vorausgegangen ist eine relativ lange Geschichte. Mit der Reform soll vor allem eine Harmonisierung der verschiedenen europäischen Datenschutzregelungen in Europa erreicht werden. Aus diesem Grund hat man sich auch für die Rechtsform der Verordnung entschieden, welche eine direkte Anwendung in den Mitgliedstaaten findet, ohne dass es einer nationalen Umsetzung bedarf. Allerdings existieren einige sogenannte „Öffnungsklauseln“, welche diesen Zweck leicht untergraben könnten und Regelungsmöglichkeiten letztlich doch wieder an die einzelnen Mitgliedstaaten zurückgegeben. Der Ansatz eines europaweit einheitlichen Datenschutzrechts wurde damit nicht konsequent durchgehalten.
Doch diese Sichtweise hat sich drastisch gewandelt: Schaut man einmal auf die Internetseite des Bundesamt für Sicherheit in der Informationstechnologie (BSI) in Bonn, erkennt man, dass das BSI einen großen Neubau für 600 zusätzliche Mitarbeiter plant. Deutschland rüstet massiv auf, um das Thema Datenschutz in den Griff zu bekommen und dort auch Lösungen zu finden, die umsetzbar sind.
Aber wie weit sind Unternehmen auf die EU-DSGVO auf die Unternehmen bereits vorbereitet? Schaut man auf die Studie der Bitkom von Ende 2017, erhält man den Eindruck: Unternehmen haben hier noch Nachholbedarf.
Vor allem das Recht, Informationen leichter wieder löschen zu lassen (»Recht auf Vergessenwerden«) sowie das Recht, Daten von einem Anbieter zum nächsten mitzunehmen (»Datenportabilität«) werden die Kunden stärken. Parallel hierzu wurden die Verpflichtungen der Unternehmen verschärft. So treffen den „für die Verarbeitung Verantwortlichen“ diverse Informationspflichten gegenüber den Betroffenen, wie zum Beispiel Mitteilung der Verarbeitungszwecke, die Speicherdauer, die Möglichkeit der Wahrnehmung seiner Rechte nach den Art. 15 bis 19 EU-DSGVO, insbesondere die Möglichkeit, der Verarbeitung zu widersprechen oder eine erteilte Einwilligung zu widerrufen sowie die Möglichkeit sich bei einer Aufsichtsbehörde zu beschweren.
Eines muss uns klar sein: Die Politik schafft keine Lösungen, aber sie bestimmt die Rahmenbedingungen. Die EU-Datenschutz-Grundverordnung ist mit 99 Artikeln und 173 Erwägungsgründen deutlich umfangreicher als z. B. das deutsche Bundesdatenschutzgesetz. Mit der Länge steigt in diesem Fall auch die Komplexität.
Eine kleine Anekdote am Rande: Es gab einen langen Disput, ab welchem Alter der Datenschutz eigentlich gelten soll. Diese Frage ist gerade auch im B2C-Business äußerst relevant, vor allem, wenn man den Bereich „Social Media“ betritt. Hier haben die Plattformen nun die Vorgabe, bis zum Alter von 16 Jahren auch die Einwilligung der Eltern für die Verarbeitung der personenbezogenen Daten und die Nutzung der entsprechenden Plattform einzuholen. In Amerika wurde diese Altersgrenze mit 13 Jahren definiert – hier sieht man also regionale Unterschiede. Für Geschäftsabschlüsse gilt in Deutschland natürlich weiterhin das Mindestalter von 18 Jahren. Werden Geschäfte mit Nicht-Volljährigen getätigt, muss immer die Zustimmung der Eltern mit vorliegen. Dies kann auch an anderer Stelle von Bedeutung sein: Wenn Sie z.B. recht junge Auszubildende in Ihrem Unternehmen haben.
Die EU-DSGVO umfasst eine ganze Menge Vorgaben, aber das wichtigste sind natürlich die Grundrechte und der Schutz der natürlichen Person, insbesondere natürlich auch der Schutz der personenbezogenen Daten und die einhergehende Komplexität.