Inhalte der Datenschutzgrundverordnung (DSGVO)

Ziele

Ziel der DSGVO ist eine Vollharmonisierung des Datenschutzes in der gesamten Europäischen Union sowie die Stärkung der Rechts- und Marktpositionen europäischer Unternehmen im Verhältnis zum Nicht-EU-Ausland.

Dies bedeutet also, dass die DSGVO für alle Länder der EU ein gleichmäßiges, modernes und hohes Datenschutzniveau als unmittelbar geltendes Recht setzt. Unternehmen müssen also künftig im Wesentlichen nur noch eine Rechtsgrundlage beachten.

Wenn die Datenschutzvorgaben beispielsweise in Deutschland erreicht sind, müssen keine besonderen Maßnahmen in anderen Ländern der EU ergriffen werden.

Der zweite wichtige Aspekt der DSGVO ist die Modernisierung des Datenschutzrechts.

Als die derzeit geltenden Datenschutzgesetze erlassen wurden, gab es faktisch keine Verbreitung und Anwendung für das Internet. Dementsprechend hatten die bisherigen Gesetze auch keine direkten Antworten für diese Bereiche. Auch wenn die DSGVO direkt auf die aktuelle technische Entwicklung eingeht, ist sie doch weitgehend technikneutral abgefasst. Damit wirken die Grundprinzipien auf die verschiedensten Bereiche der Technik und Kommunikation.

Inkrafttreten

Die DSGVO ist am 24.05.2016 in Kraft getreten. Sie gilt ab dem 25.05.2018. Damit unterliegen alle Datenverarbeitungsvorgänge in Bezug auf personenbezogene Daten ab diesem Datum dem neuen Recht.

Der Zeitraum dazwischen dient der Vorbereitung und Umsetzung der neuen Regelungen, zum Beispiel durch ergänzende Rechtsakte der Kommission, die die DSGVO konkretisieren. Hier soll es unter anderem ein Muster für eine Auftragsverarbeitung (früher Auftragsdatenverarbeitung) geben und ähnliche Muster und Hilfen für die Umsetzung, die voraussichtlich im September/Oktober 2017 vorliegen sollen.

Anwendungsbereich

Der Anwendungsbereich der DSGVO bezieht sich sachlich wie bisher auf Datenverarbeitungsvorgänge, die personenbezogene Daten umfassen. Diese Verarbeitungsvorgänge sind dann umfasst, wenn sie entweder ganz oder teilweise automatisiert erfolgen.

Oder sie erfolgen zwar nicht automatisiert, die Daten werden aber auf einem Dateisystem gespeichert. Da mittlerweile fast alle Daten elektronisch erfasst werden, umfasst der Anwendungsbereich der DSGVO faktisch alle Datenverarbeitungsvorgänge.

Der Anwendungsbereich der DSGVO bezieht sich räumlich künftig auf Datenverarbeitungsvorgänge von Unternehmen, die Sitz oder Niederlassung in der EU haben. Neu hinzu kommt, dass sich die DSGVO auch auf alle Personen bezieht, deren personenbezogene Daten erhoben werden, wenn diese sich in der EU befinden (auf den Wohnsitz in der EU kommt es dabei nicht an) und wenn dieser Person Waren oder Dienstleistungen angeboten werden (Marktortprinzip).

Sie gilt auch, wenn das Verhalten einer Person innerhalb der EU beobachtet wird, unabhängig davon, ob sich diese Person in der EU aufhält. Für die Anwendbarkeit des Kriteriums „Aufenthaltsort“ kommt es dabei auf die Ausrichtung des jeweiligen Angebotes an.

Gesetzesrang

Im Verhältnis zu anderen nationalen Gesetzen hat die DSGVO direkten Gesetzesrang. Sie geht daher im Regelungsbereich des Datenschutzes den nationalen Gesetzen vor beziehungsweise ersetzt diese, z.B. das bisherige Bundesdatenschutzgesetz. Andere Gesetze, die den Datenschutz nur am Rande betreffen, beziehungsweise – wie das IT Sicherheitsgesetz – technisch sichere Ausgestaltungen von IT Infrastrukturen betreffen, bleiben von der DSGVO unberührt.

In manchen Fällen ergänzen sie die DSGVO, da zum Beispiel Art. 25 DSGVO den Datenschutz durch Technikgestaltung regelt und damit Gesetze, die die Datensicherheit betreffen, mit den Regelungen der DSGVO verknüpft. Nur für gewisse Ausnahmebereiche wird es auch künftig eine nationale Regelung zum Datenschutz geben.

Der Entwurf des BDSG-Neu umfasst zum Beispiel den Arbeitnehmerdatenschutz und den Datenschutz der Behörden allgemein und der Strafverfolgungsbehörden, da hier die DSGVO ausdrücklich Raum für nationale Regelungen gelassen hat.

Zertifizierung

Eine weitere Ebene der Verbindung zu anderen IT nahen Regelungen ergibt sich unter anderem im Bereich der Zertifizierung. Diese spielen zur Absicherung von Datenschutzprozessen in der DSGVO eine sehr hohe Rolle. Zertifizierungen stellen damit eine Verbindung zum Beispiel zu den Anforderungen der ISO 27001 her, da auch dort Prozesse dokumentiert und geprüft sowie Risiken eingeschätzt und mit Maßnahmen belegt werden.

Dies ist nach der DSGVO zum Beispiel im Rahmen der Datenschutz-Risikoabschätzung gleichfalls erforderlich. Hier kann für die Dokumentation der Maßnahmen nach der DSGVO auf die Erfahrungen und Tools der ISO Zertifizierung zurückgegriffen werden, da es hier – teilweise sogar bereits auf die DSGVO zugeschnittene – entsprechende Software gibt.