- Recht auf Vergessenwerden und Widerspruchsmöglichkeit
Mit der Datenschutzgrundverordnung wird – als Weiterentwicklung des bereits existierenden Rechts auf Löschung – ein „Recht auf Vergessenwerden“ gesetzlich verankert. Wer möchte, dass seine persönlichen Daten gelöscht werden, kann sich dafür direkt an Google, Facebook und Co. wenden. Mit dem „Recht auf Vergessenwerden“ wird künftig sichergestellt, dass Unternehmen, welche die Daten öffentlich gemacht hatten, das Löschungsverlangen sogar an Dritte weiterleiten müssen. So werden nach Möglichkeit sämtliche Kopien der Daten gelöscht werden und die betroffene Person tatsächlich „vergessen“ werden.
Auch ein Widerspruch gegen die Verarbeitung der eigenen Daten ist möglich – und dies künftig auch automatisiert, z.B. durch Browser-Einstellungen wie „Do not Track“.
Neu ist außerdem das Recht auf den Umzug eigener Daten, etwa beim Anbieterwechsel („Datenportabilität“). Dadurch ist es nun leichter möglich, von einem sozialen Netzwerk oder E-Mail-Dienst zu einem anderen zu wechseln.
Darüber hinaus sollen Anbieter kostenfrei und schnell die Nutzerdaten auf Anfrage auf elektronischem Weg aushändigen, sodass sich jeder ein Bild von den über sich gespeicherten Daten machen kann.
- Klare Enwilligung als Eckpfeiler
Der zweite wichtige Eckpfeiler der Datenschutzgrundverordnung ist die Einwilligung. Im Datenschutzrecht gilt: Nur wer eine rechtliche Grundlage vorweisen kann, darf personenbezogene Daten verarbeiten. Eine solche rechtliche Grundlage kann die Einwilligung der betroffenen Person darstellen. Hierdurch wird der Einzelne in die Lage versetzt, selbst zu entscheiden, wer welche Daten von ihm oder ihr erhalten, nutzen und speichern dürfen soll.
Bisher war es so, dass Unternehmen gerne eine stillschweigende Einwilligung der Nutzer fingiert haben: Facebook hat beispielsweise das simple Anmelden auf der Plattform als Einwilligung in zwischenzeitlich geänderte Nutzungs- und Datenschutzerklärungen interpretiert. Solche Praktiken sind fortan nicht mehr möglich. Die Einwilligung der betroffenen Person muss – als Ausdruck ihres Selbstbestimmungsrechts – informiert, freiwillig und eindeutig durch eine Zustimmungshandlung erklärt worden sein. Und: Die Datenschutzgrundverordnung legt eindeutig fest, dass eine Einwilligung jederzeit und ohne Einschränkungen frei widerruflich ist.
-
Information und Transparenz
Die neue Datenschutzgrundverordnung enthält einen klaren Transparenzgrundsatz. Vor allem die neuen Auskunftsansprüche und Informationspflichten sollen diese Transparenz gewährleisten. Gerade die Informationspflicht des Datenverarbeiters, als Grundvoraussetzung für die Wahrnehmung meiner Betroffenenrechte wie etwa das Recht auf Vergessenwerden spielt eine zentrale Rolle. Sie umfasst insbesondere folgende Information:
- Informationen über diejenigen, die die Daten verarbeiten
- zu welchen Zwecken die Daten verarbeitet werden
- auf welcher Rechtsgrundlage die Daten verarbeitet werden
- die Möglichkeit zum jederzeitigen Widerruf der Einwilligung
- die der Person zustehenden Betroffenenrechte
- ob die Daten in ein Drittland übermittelt werden sollen
- die Speicherdauer der Daten
- aus welcher Quelle die Daten stammen und die Kategorien der personenbezogenen Daten
-
Strenge Regeln für Datentransfers in Drittstaaten
Anders als beispielsweise unsere ebenfalls grundrechtlich geschützte körperliche Unversehrtheit, die untrennbar mit uns und damit unserem Aufenthaltsort verbunden ist, können unsere Daten auch getrennt von uns sein, weitergegeben werden und sich an vollkommen anderen Orten befinden, als wir es gerade sind. Daher muss unser Recht auf Privatsphäre und Datenschutz mit ihnen – auch über die Grenzen der EU hinweg – mitreisen können.
Nach der sogenannten 2-Stufen-Prüfung muss auf erster Stufe eine Rechtsgrundlage bestehen, aufgrund derer die Daten überhaupt verarbeitet werden dürfen. Diese erste Stufe gilt auch für Datenverarbeitungen in der EU – die Verarbeitung ist grundsätzlich verboten, außer es besteht eine gesetzlich normierte Erlaubnis. Auf der zweiten Stufe muss bei Datentransfers ins außereuropäische Ausland darüber hinaus beim Datenempfänger ein angemessenes Datenschutzniveau sichergestellt sein. Dies kann etwa durch allgemeingültige Angemessenheitsbeschlüsse der Europäischen Kommission geschehen, die die Datenschutzregimes anderer Staaten überprüft und für diese verbindlich feststellen kann, dass der dortige Datenschutz im wesentlichem dem unserem entspricht. Für Kanada und Argentinien zum Beispiel besteht ein solcher Angemessenheitsbeschluss.
In jedem Fall müssen die Betroffenenrechte und die Schutzstandards im Empfängerland „der Sache nach gleichwertig“ sein, so der Europäische Gerichtshof in seinem Urteil, das die „Safe Harbor“-Vereinbarung mit den USA aufhob.
-
Breite Definition des Persönlichkeitsrechts
Die DSGVO setzt einen zukunftstauglichen und breiten Begriff des Persönlichkietsrechts ein.
Als personenbezogene Daten werden alle Informationen definiert, die sich auf eine identifizierbare Person beziehen. Somit greift der Schutz der Verordnung bereits dann, wenn zwar nicht der Datenverarbeiter selbst die Identifizierung vornehmen kann, jedoch jemand anders. Auch ist es nicht notwendig, dass die Daten auf die bürgerliche Identität einer Person schließen lassen müssen, um geschützt zu sein. Es reicht aus, eine Person schlichtweg wiedererkennen zu können, zum Beispiel indem sie anhand von Browsermerkmalen als dieselbe Person identifiziert werden kann (sogenanntes „Browser Fingerprinting“). Dieses „Herausgreifenkönnen“ („singling out“) von Einzelnen aus einer Masse an Personen ist ebenso ein Eingriff in das Persönlichkeitsrecht, auch wenn der Datenverarbeiter weder Namen noch Geburtsdatum weiß.
Neben den „normalen“ personenbezogenen Daten definiert die DSGVO noch besondere Kategorien personenbezogener Daten, beispielsweise Gesundheitsdaten, biometrische Daten, oder Daten zur politischen Überzeugung oder sexuellen Orientierung.
-
Harte Sanktionsmöglichkeiten
Ein Gesetz kann Bürgern noch so viele Rechte zusprechen – sie sind nur etwas wert, wenn das Gesetz auch tatsächlich durchgesetzt wird. Damit dies geschieht und sich datenverarbeitende Unternehmen auch wirklich an die strengen Vorgaben der DSGVO halten. Im Fall von besonders schweren Verstößen können daher Bußgelder von bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4 Prozent des Weltjahresumsatzes verhängt werden. Die Betonung ist aber hier auf „mögliche Bußgelder“. Grundsätzlich gilt der Grundsatz: Beratung statt Bestrafung. Artikel 83(2) gibt außerdem eine Liste von Kriterien für die Bußgelder, woraus klar wird, dass z.B. Wiederholungstäter, die mit Vorsatz und Gewinnerzielungsabsicht besonders viele Daten rechtswidrig verarbeiten, die hohen Strafen befürchten müssen – nicht aber der kleine Verein, der aus Unkenntnis gehandelt hat. Gegen den wird es in aller Regel bei einem Erstverstoß keine Strafe geben, sondern eine Ermahnung mit Hinweisen, wie das Problem abgestellt werden kann.
-
Datenschutzkonforme Technikgestaltung – Data Protection by Design und by Default
Eine der zukunftsweisendsten Neuerungen der DSGVO ist die Anforderung an Datenverarbeiter, ihre Dienste datensparsam zu konzipieren und mit datenschutzfreundlichen Voreinstellungen anzubieten. Hierdurch soll erreicht werden, dass von vornherein weniger personenbezogene Daten anfallen. Nur Daten, die zur Erbringung eines Dienstes wirklich benötigt werden, sollen erhoben werden.
Übersetzt heißt Privacy by Design „Datenschutz durch Technikgestaltung“ und greift den Grundgedanken auf, dass sich der Datenschutz am besten einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist. In anderen Worten: der Schutz personenbezogener Daten im Sinne der DSGVO erfolgt durch das frühzeitige Ergreifen technischer Maßnahmen im Entwicklungsstadium.
Privacy by Default („Datenschutz durch datenschutzfreundliche Voreinstellungen“) bedeutet, dass die Werkeinstellungen datenschutzfreundlich auszugestalten sind. Nach dem Grundgedanken sollen insbesondere die Nutzer geschützt werden, die weniger technikaffin sind und z.B. dadurch nicht geneigt sind, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen.
-
Weniger Bürokratie
Gute Nachrichten für alle Bürokratiekritiker: Die DSGVO wird die unterschiedlichen Datenschutzstandards aller 28 EU-Mitgliedsstaaten zu einem einzigen Standard vereinheitlichen. Da die meisten Unternehmen schon heute in mehr als bloß einem EU-Land ihre Produkte anbieten, wird die EU-weit einheitliche Gesetzeslage einen immensen Abbau unnötiger Bürokratie bedeuten. Zudem wurden die bürokratischen Pflichten für Datenverarbeiter auf das für die Wahrung der Betroffenenrechte absolut Notwendige reduziert und für kleine und mittelständische Unternehmen zahlreiche Erleichterungen eingeführt. Damit ist sichergestellt, dass für die meisten Unternehmen keinerlei Zusatzbelastungen durch die Datenschutzgrundverordnung entstehen.
-
Einheitliche Rechtsdurchsetzung
Um die Durchsetzung der Datenschutzgrundverordnung so effektiv und einheitlich wie möglich zu machen, wurde mit ihrer Einführung zugleich der sogenannte Europäische Datenschutzausschuss geschaffen. Er setzt sich aus den Datenschutzaufsichtsbehörden der einzelnen EU-Staaten zusammen und kann in Fällen von europaweiter Bedeutung bindende Entscheidungen treffen – ähnlich wie im Wettbewerbsrecht oder bei der Bankenaufsicht. Damit ist ein „Race to the Bottom“ in Mitgliedsstaaten mit schwacher Rechtsdurchsetzung in Zukunft nicht mehr möglich.
Der Europäische Datenschutzausschuss wird immer dann einschreitend eine verbindliche Regelung treffen, wenn zwischen mehreren gemeinsam zuständigen Aufsichtsbehörden keine Einigung über die Bewertung eines Falles erzielt werden kann.
-
Feste Ansprechpartner
Eine weitere wichtige Neuerung der Datenschutzgrundverordnung ist der sogenannte One-Stop-Shop-Ansatz: BürgerInnen können sich in der gesamten EU an nur noch eine Datenschutzbehörde wenden. Sie können sich fortan mit ihren Beschwerden an die Datenschutzbehörde in ihrem Mitgliedstaat als ihren festen Ansprechpartner wenden, und zwar ganz gleich, wo der Datenmissbrauch passiert ist oder wo das verantwortliche Unternehmen seinen Sitz hat.