DSGVO: Neues Gesetz, vergleichbare Wünsche zum Schutz dessen, was wertvoll bleibt
Der weitläufige Wert von Daten bedarf keiner weiteren Erklärung. Diese „neue Anlage“ wird mit der Zeit immer wertvoller für Organisationen. Vorschriften, die uns zum ordnungsgemäßen Umgang mit vertraulichen, personenbezogenen Daten zwingen, helfen uns, das zu schützen, was wertvoll ist.
Hintergrund
Bei all der aktuellen Aufmerksamkeit für den Datenschutz und das möglicherweise neue Gesetz der Nachrichten- und Sicherheitsdienste (WIV) vergisst man oft, dass auch eine andere Regelung in Kraft getreten ist: die Datenschutzgrundverordnung, kurz DSGVO. Diese neue Verordnung bringt hohe Erwartungen mit sich: ist sie der neue Millennium Bug, oder ist sie nur eine weitere Verordnung sein, die langsam in Vergessenheit gerät? Vergessenheit.
Für wen relevant?
Die DSGVO trat am 25. Mai 2018 in Kraft und ersetzte in den Niederlanden das Gesetz zum Schutz personenbezogener Daten (WBP). Das WBP wurde bereits im Jahr 2001 eingeführt und basiert auf der europäischen Richtlinie (95/46/EG).
Die DSGVO hat unmittelbare Konsequenzen sowohl für Datenverarbeiter als auch für die Verantwortlichen. Diese Begriffe führen zu zwei weiteren wichtigen Definitionen: Personenbezogene Daten(1) und Verarbeitung(2).
Die wichtigsten Änderungen für Datenverarbeiter
Haben Sie Angst, bei der Verarbeitung personenbezogener Daten das gesamte europäische Gesetzeswerk entschlüsseln zu müssen? Keine Sorge. Die neue DSGVO zeigt tatsächlich viele Ähnlichkeiten mit dem alten WBP. Die drei wichtigsten Änderungen sind:
Die Verarbeitungsvereinbarung
Wenn ein verantwortlicher Dritter einen Drittverarbeiter beauftragt, muss zwischen ihnen eine Verarbeitungsvereinbarung unterzeichnet werden. Das ist zwar nichts Neues, diese Verpflichtung bestand bereits, allerdings nur für den Hauptverantwortlichen. Nach dem 25. Mai 2018 wird der Drittverarbeiter mitverantwortlich und muss daher die Verarbeitungsvereinbarung mitunterzeichnen. Was beinhaltet eine solche Vereinbarung genau? Sie muss Absprachen über den Gegenstand, die Dauer und den Zweck der Verarbeitung, aber auch Angaben zur Sicherung der personenbezogenen Daten enthalten. Die Sicherung der personenbezogenen Daten ist eine Selbstverpflichtung des Datenverarbeiters und muss daher bestimmte Bedingungen in Bezug auf die Vertraulichkeit der Daten, die Teilnahme an Audits, das Handeln bei Datenverlusten und Angaben zu technischen und organisatorischen Maßnahmen enthalten. Dies war auch Teil des traditionellen WBP; die DSGVO konkretisiert dies hauptsächlich.
Territoriale Grenzen
Eine der wichtigsten Änderungen, die die neue DSGVO im Vergleich zum traditionellen WBP mit sich bringt, ist die Reichweite des Anwendungsbereichs. Diese Verordnung muss beispielsweise auch dann eingehalten werden, wenn sich die betroffene Verarbeitungspartei und die Verantwortlichen nicht physisch in der EU befinden. Dies wird durch eine Prüfung ermittelt, ob die betreffende Partei Waren und/oder Dienstleistungen an Parteien liefert, die sich innerhalb der EU befinden, oder ob sie das Verhalten dieser Parteien zu Verkaufszwecken überwacht. Dabei spielt es keine Rolle, ob sie Datenzentren oder andere Ressourcen innerhalb der EU nutzen.
Haftung
Die Konsequenzen eines Verstoßes gegen die DSGVO sind klar: Verstoß=Zahlung. Auch diese Regelung ähnelt der alten, abgesehen davon, dass der Verarbeiter zusätzliche Pflichten hat, d.h. der Umfang der Haftung ist umfassender geworden. Bei einer nicht ordnungsgemäßen Anwendung der DSGVO kann jede der Parteien, die infolge eines Verstoßes sowohl materiell als auch immateriell geschädigt wurde, einen Schadensersatz verlangen. Zusätzlich kann eine Geldstrafe von der Aufsichtsbehörde (Autoriteit Persoonsgegevens in den Niederlanden, Datenschutzbehörde in Deutschland) verhängt werden. Neu ist die Höhe dieser Geldstrafe. Ab sofort kann diese Geldstrafe bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens, zu dem die juristische Person gehört, betragen – je nachdem, welcher Betrag höher ist.
Wichtigste Änderungen für die verantwortliche Partei:
Fazit: Bewahren Sie die Ruhe, denn diese Verordnung ist nur eine Erweiterung eines bereits bestehenden Gesetzes und ihr Hauptzweck ist der Schutz unserer wertvollsten Daten.
- Verantwortlicher für die Datenerfassung
- Dokumentationsanforderungen
- Pflicht zur Meldung von Datenschutzverletzungen
Es mag zwar unerwartet sein, besonders bei einem so aktuellen Thema wie dem Datenschutz, aber viele der neuen Regelungen ähneln den alten. Die „neue“ Verordnungen entsprechen dem, was wir in den Niederlanden bereits kannten, was bedeutet, dass es sich zweifellos nicht um einen Millennium Bug handelt. Wenn wir am 26. Mai 2018 aufwachen, ist die Welt noch genau so wie heute.
Weitere Erläuterungen der Definitionen:
1) Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Darunter versteht man eine Einzelperson, die über ihren Namen, ihre persönliche Identifikationsnummer, ihre Adressdaten oder andere Aspekte, die die physische, wirtschaftliche, kulturelle oder soziale Identität einer natürlichen Person beschreiben, identifiziert werden kann. Beachten Sie, dass ein Unternehmen keine natürliche Person ist.
2) Unter Verarbeitung versteht sich ein Vorgang oder eine Reihe von Handlungen, die sich auf personenbezogene Daten oder eine Gruppe von personenbezogenen Daten beziehen (z.B. durch automatisierte Verarbeitung), wie das Erheben, Erfassen, Speichern, Löschen oder Vernichten von Daten. Der Verarbeiter ist derjenige, der diese Daten verarbeitet. Ein Verarbeiter tut dies oft für eine andere Person, der Verantwortliche. Dies ist die juristische Person, die den eigentlichen Zweck der Datenverarbeitung bestimmt. Als Beispiel könnte man an ein Krankenhaus denken, das ein IT-Unternehmen damit beauftragt, seine Personaldaten so zu speichern, dass sie für die Finanzabteilung leicht zugänglich sind, um die Löhne an seine Angestellten auszuzahlen. In diesem Fall ist das Krankenhaus der Verantwortliche und das IT-Unternehmen der Verarbeiter.
Sobald die Verarbeitung personenbezogener Daten ins Spiel kommt, gilt die DSGVO. Das liegt daran, dass die DSGVO in allen EU-Mitgliedsstaaten gilt. Dies erspart es den Regulierungsbehörden, die Gesetze in nationales Recht umzuwandeln. Im Falle eines Konflikts mit dem nationalen Recht hat die DSGVO Vorrang.