Die verwandte ePrivacy-Verordnung (ePVO) harmonisiert spezielle Regelungen der nationalen E-Commerce- und Telekommunikationsgesetzte in der EU. Der bereits durch die DSGVO erforderliche Anpassungsaufwand bestehender Einwilligungserklärungen wird in der ePVO konsequent auf die elektronische Kommunikation erweitert. Zur Sammlung persönlicher Daten wird es nicht mehr ausreichen, wenn ein Kunde generell der Überlassung von Daten oder dem Erhalt von Werbung zustimmt (häufig unter Zwang, z.B. beim Einrichten von Apple-, Microsoft- und Google-Accounts).
Beide Verordnung sehen einen vergleichbaren Bußgeldrahmen vor, der von verschiedenen Faktoren abhängt, z.B. ob unbefugt elektronische Kommunikationsdaten verwendet wurden. Die Aufsichtsbehörde kann Bußgelder bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen.
Da inzwischen weite Teile der EU Gesetzgebung von intervenierenden Lobbies aus der privaten Wirtschaft und dem Umfeld transatlantischer Großinvestoren kontrolliert werden, schreitet die Aushöhlung dieser letzten ambitionierten Initiative voran zu Gunsten tlw. kaum nachvollziehbaren übergeordneter Ziele. Eine Gemeinsamkeit dieser Bestrebungen ist die Forderung der Datenerhebung und überstaatlichen Überwachung mit damit verbundenen zentralistisch verwalteten privaten Daten.
Was sind personenbezogene Daten?
Personenbezogene Daten weisen zwei wesentliche Merkmale auf: sie sind mit ausreichend genauen Identfikationsmerkmalen von Personen verbunden, und enthalten darüber hinaus aus Sicht der Person private Informationen, z.B. die IP Adresse und den Zeitpunkt, mit der ein Internet-Dienst genutzt wird, oder persönliche Vorlieben, die aus der Nutzung eines Internet-Dienstes abgeleitet werden.
Besonders sensible Daten betreffen etwa Gesundheit, Karriere- und Job-Wünsche, finanzielle Probleme und private Informationen über die Familie. Auch der Kontext beinflusst die Sensibilität, etwa wenn die erwähnten Beispiele im Zusammenhang mit Finanzdienstleistern, Versicherungen und der medizinischen Versorgung stehen, z.B. wenn bekannt ist, das ein Elternteil mit einer erblichen Krankheit belastet ist.
Organisationen, die derartige Informationen elektronisch speichern, müssen neben einer ausdrücklichen Zustimmung der Betroffenen einen entsprechenden Schutz der Daten, eine klar nachvollziehbare Zweckbindung und die Richtigkeit gewährleisten. Letztere ist bei diesen Beispielen nur durch regelmäßige Aktualisierung zu gewährleisten. Das wird in den meisten Fällen nicht gelingen, deshalb müssen derartige Informationen nach einer angemessenen Zeit automatisiert bei den Betroffenen neu abgefragt, oder gelöscht werden.
DSVGO/GPDR in der Praxis
In der IT-Praxis ist die GDPR sowohl im Betrieb, als auch bei der Konzeption und Architektur neuer Services und Applikationen zu berücksichtigen. Ein praktisches Beispiel: Event basierte Architekturen mit Event-Stores müssen das Recht auf Löschung oder die vollständige Anonymisierung personenbezogener Daten berücksichtigen. Die Löschung einzelner aufgezeichneter Events ist in dieser Architektur ohne besondere Maßnahmen nicht umsetzbar.
GDPR konformes Lösungsdesign muss deshalb generell personenbezogene Daten getrennt von anonymen Schlüsseln zur Identifikation von Personen verwalten, damit bei einer Löschung derartiger Informationen die für die Konsistenz der Domänendaten unverzichtbaren Beziehungen erhalten bleiben. Es wird darüber hinaus empfohlen, auf die Nutzung der eingangs erwähnten, besonders sensiblen Daten generell zu verzichten.
ePrivacy Grundlagen
Für den Betrieb relevante Änderungen der DSGVO und der kommenden ePVO betreffen unter anderem automatisiert gesammelte Daten über das Benutzerverhalten im Internet, z.B. über Cookies - vgl. auch das Telekommunikationsgesetzes (TKG) , sowie Kontaktinformationen, für die keine ausreichende Begründung zur dauerhaften Speicherung vorliegen. In dem Grenzbereich "Marketing" sind zudem entsprechende Ausnahmen und weitere gesetzliche Normen zu berücksichtigen, z.B. beim Versand von Massenmails.
Massen-E-Mails (mit mehr als 50 Empfängern) oder E-Mails, die zu Zwecken der Direktwerbung (Werbe-E-Mail) versendet werden, bedürfen grundsätzlich der vorherigen Zustimmung des Empfängers. Zusätzlich muss die Möglichkeit auf "Opt-Out" bestehen, d.h. keine weiteren Mails mehr zu erhalten. Ausnahmen bei Massen-Emails ohne Produktwerbung gelten z.B. für die Pressearbeit, wenn bei den Empfängern "berechtigtes Interesse" an den verteilten Informationen vorausgesetzt werden kann.
Weitere für IT Verantwortliche relevante Rechtsbereiche des Medienrechts, z.B. Offenlegungspflichten, das Urheberrecht und das ECommerce Gesetz sind von der DSGVO nicht betroffen, oder zumindest nur in Teilbereichen, die den Schutz persönlicher Daten betreffen. D.h. diese Normen sind unverändert zu berücksichtigen.
Ziele bzw. "Erwägungsgründe" der DSGVO
Die Ziele der DSGVO werden mit Hilfe von "Erwägungsgründen" vermittelt. Ihr Umsetzung erläutert Art. 5 in den "Grundsätzen der Verarbeitung personenbezogener Daten":
- Rechtmäßigkeit
- Treu und Glauben
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Rechenschaftspflicht
Download der finalen EU-DSGVO: PDF
Es folgt ein Auszug aus den erwähnten Erwägungsgründen mit Zielen zur Interpretation der Rechtsnorm:
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden "Charta") sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. ...
Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. ...
Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. ...
Das Unionsrecht verpflichtet die Verwaltungen der Mitgliedstaaten, zusammenzuarbeiten und personenbezogene Daten auszutauschen, damit sie ihren Pflichten nachkommen oder für eine Behörde eines anderen Mitgliedstaats Aufgaben durchführen können.
Linkssammlung für IT Verantwortliche:
- https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
- https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Dokumentationspflicht.html
- https://www.wko.at/service/wirtschaftsrecht-gewerberecht/checkliste-cookies-webanalyse-webshop.html
- https://www.jusline.at/gesetz/dsgvo und https://dsgvo-gesetz.de/
- https://www.datenschutzbeauftragter-info.de/verzeichnis-von-verarbeitungstaetigkeiten-infos-tipps-zur-umsetzung/
- http://www.anecon.com/blog/die-eu-datenschutzrichtlinie-und-ihre-auswirkung-auf-das-testdatenmanagement/