Bald gilt die neue EU-Datenschutz-Grundverordnung
Am 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung in Kraft. Mit der Verordnung wird die Datenschutzrichtlinie 95/46/EG aufgehoben. Die auf Kommunikationsdienstleister bezogene Richtlinie 2002/58/EG bleibt dagegen weiterhin in Kraft. Das gilt auch für internationale Übereinkünfte zum Datenschutz, die vor dem 24. Mai 2016 ratifiziert wurden. Sie gelten bis zu künftigen Änderungen, Ersetzungen oder Kündigungen unverändert weiter. Ausgenommen vom Geltungsbereich der neuen Verordnung sind nach dem Artikel 2 sämtliche Ämter, Einrichtungen und Organe der Europäischen Union. Sie müssen sich weiterhin den Regelungen der Verordnung 45/2001/EG anpassen.
Mit der neuen Grundverordnung wird der Schutz personenbezogener Daten bei natürlichen Personen verbessert und europaweit vereinheitlicht. Wissenswert ist, dass davon alle natürlichen Personen erfasst werden, die sich in einem zur Europäischen Union gehörenden Land befinden. Das heißt, die neue Verordnung zielt bei der Gewährung der Schutzrechte nicht auf die Staatsbürgerschaft ab. Ebenfalls wissenswert ist, dass die Schutzrechte zu Gunsten der Verfolgung von Straftaten und der Terrorprävention aufgehoben werden können.
Wieso ist die EU-Datenschutz-Grundverordnung für Websites interessant?
Im Artikel 2 der Verordnung wird der sachliche Anwendungsbereich geregelt. Er besagt, dass die neue Verordnung auf jede Art der automatisierten Datenverarbeitung angewendet werden muss. Außerdem gilt die neue EU-Datenschutz-Grundverordnung für alle Fälle, in denen personenbezogene Daten in einem Dateisystem gespeichert werden. Das heißt, der Geltungsbereich erstreckt sich auf jegliche Form der digitalen Speicherung. Websites sind daher allein schon durch die Anmeldung der Nutzer und der Speicherung der Daten auf dem Webserver betroffen.
Hier ist vor allem zu beachten, dass der Artikel 5 vorschreibt, dass der Nutzer genau erkennen muss, zu welchen Zwecken die Daten erhoben und gespeichert werden. Selbst eine Verarbeitung zu statistischen Zwecken ist nicht erlaubt, wenn darauf nicht explizit hingewiesen wird. Das leitet sich aus dem Verweis auf den Artikel 89 der EU-Datenschutz-Grundverordnung ab. Außerdem wird die Speicherung der Daten nur solange erlaubt, wie das für den bei der Abfrage angegebenen Zweck unbedingt erforderlich ist.
Der Absatz „f“ des Artikels 5 schreibt zusätzlich den Schutz der Daten durch „geeignete technische und organisatorische Maßnahmen“ gegen Verlust, Zweckentfremdung oder einer Nutzung durch Dritte vor. Das zieht für Websites, Onlineshops und Onlinedienste die Notwendigkeit eines zuverlässigen Hackerschutzes nach sich.
Wann dürfen personenbezogene Daten überhaupt gespeichert werden?
Auskunft hierzu erteilt der Artikel 6 der EU-Datenschutz-Grundverordnung. Er setzt voraus, dass eine explizite Einwilligung erforderlich ist. Dazu werden auch einige Ausnahmen definiert. Die Einwilligung wird de facto als erteilt vorausgesetzt, wenn die Daten zur Erfüllung vertraglicher Verpflichtungen erforderlich sind und der Betroffene zu den unmittelbaren Vertragsparteien gehört. Außerdem entfällt die Pflicht zur Einholung der Einwilligung beim Schutz von „lebenswichtigen Interessen“ sowie bei der Ausübung der öffentlichen Gewalt, beispielsweise beim Schutz des Kindeswohls. In welcher Form die Einwilligung einholt werden kann, ist den Angaben im Artikel 7 der Datenschutzverordnung zu entnehmen.
Das „Recht auf Vergessen“ wurde in die neue Verordnung integriert
Bisher war an vielen Stellen das „Recht auf Vergessen“ nur unter Berufung auf ein Urteil möglich, welches der Europäische Gerichtshof im Mai 2014 unter dem Aktenzeichen EuGH C13131/12 gegen Google fällte. Innerhalb der Europäischen Union lässt sich dieses Recht ab Mai 2018 auch auf der Basis des Artikels 17 der EU-Datenschutz-Grundverordnung durchsetzen. Er legt konkrete Voraussetzungen fest, unter welchen eine Löschung personenbezogener Daten gefordert werden kann. Die Zahl der Gründe reicht vom Widerruf der Einwilligung bis hin zur Überschreitung der Zeiträume, in denen eine Speicherung für den angegebenen Zweck erforderlich ist. Das Grundrecht auf freie Meinungsäußerung darf durch die Ansprüche beim „Recht auf Vergessen“ jedoch nicht eingeschränkt werden.
Neue Verordnung ergänzt in Deutschland den Paragrafen 823 BGB
Schadenersatzansprüche werden in Deutschland im Paragrafen 823 des Bürgerlichen Gesetzbuchs geregelt. Er bezieht nicht nur Tötungsdelikte, Körperverletzungen und Eigentumsdelikte ein, sondern erstreckt sich auch auf den Schutz sonstiger Rechte. Der Artikel 82 der EU-Datenschutz-Verordnung erweitert diese Ansprüche europaweit auf Schäden, die aus Verstößen gegen die Richtlinien der Erhebung und Verarbeitung personenbezogener Daten resultieren. Außerdem kann die zuständige Aufsichtsbehörde Bußgelder gegen die Verursacher der Verstöße verhängen. Der Höchstbetrag einer solchen Geldbuße wurde auf 20 Millionen Euro oder alternativ bis zu vier Prozent des von einem Unternehmen erzielten Umsatzes in aller Welt festgelegt. Dabei kommt immer der jeweils höhere Betrag bei der Verhängung einer Geldbuße zum Ansatz. Die Rechtsgrundlage ist der Artikel 83 der neuen Datenschutzverordnung.