DSGVO – Grundlegende Konzepte

Sie lesen unseren Leitfaden zu den Grundkonzepten der Datenschutz-Grundverordnung (DSGVO), der speziell für Sie geschrieben wurde. Sie könnte dazu beitragen, die Grundsätze der neuen EU-Verordnung über den allgemeinen Datenschutz zu überprüfen.

Was ist die DSGVO?

Am 24. Mai 2016 trat diese neue Datenschutz-Grundverordnung (DSGVO) in Kraft.

Die vorgesehenen Regeln werden ab dem 25. Mai 2018 angewandt und betreffen Verbände, Bürger, Unternehmen, Freiberufler und öffentliche Einrichtungen.

Ziel ist es, klarere und transparentere Regeln für die Datenverarbeitung, Datenverletzung und den Datenaustausch außerhalb der Europäischen Gemeinschaft zu schaffen.

Das neue Gesetz ändert einige Definitionen zum Datenschutz und zur Datenverarbeitung, daher empfehlen wir Ihnen, unseren Leitfaden zu grundlegenden Konzepten zum Thema DSGVO zu lesen.

Personenbezogene Daten, Datenverarbeitung und Einwilligung des Betroffenen

Das Wichtigste zuerst: Sie müssen wissen, dass die DSGVO persönliche Datenbetrifft, d.h. „alle Informationen über eine identifizierte oder identifizierbare natürliche Person (‚Datensubjekt‚)“; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Ortsdaten, einen Online-Identifikator oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person spezifisch sind“.

Die Daten könnten ‚verarbeitet‘ sein, aber was bedeutet ‚Datenverarbeitung‚? Verarbeitung ist „jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung von Daten, durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung solcher Daten.

In Übereinstimmung mit der neuen Verordnung ist ein echter, eindeutiger und expliziter Konsens für die Datenverarbeitung erforderlich. EIn Übereinstimmung mit der DSGVO bedeutet Einwilligung jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Profiling, Controller (Nutzer) und Prozessor (Datenverarbeiter)

Eine klarere und transparentere Information des Betroffenen ist eine Verpflichtung, die sich auf Web-Marketing-Aktivitäten wie Profiling auswirkt. In Übereinstimmung mit der DSGVO bedeutet Profiling jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte des Lebens, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Die DSGVO garantiert dem Betroffenen das Recht, sich der Profilerstellung zu widersetzen, ferner erkennt das Gesetz das Recht auf Löschung („das Recht, vergessen zu werden“ / „right to be forgotten“) an, tatsächlich hat der Betroffene das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung der ihn betreffenden personenbezogenen Daten ohne unangemessene Verzögerung zu verlangen, und der für die Verarbeitung Verantwortliche ist verpflichtet, die personenbezogenen Daten unverzüglich zu löschen“.

Zuvor haben wir über den Controller – den Nutzer – gesprochen, aber wer ist diese Person? Der Controller ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können die bestimmten Kriterien der Benennung des Controllers nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Zur Unterstützung des Controllers kann die Firma einen Prozessorernennen, also einen Datenverarbeiter, der „eine natürliche oder juristische Person, Behörde, Agentur oder sonstige Stelle ist, die personenbezogene Daten im Auftrag des Controllers verarbeitet“.