Die Verordnung (EU) 2016/679 zur Verarbeitung personenbezogener Daten im Überblick

20.11.17
Datenschutz in Europa

Die neue europäische Verordnung zu den personenbezogenen Daten ist bald geltendes Recht

Die von der europäischen Kommission bereits im Januar 2012 vorgeschlagene Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr wurde schließlich am 27.04.2016 verabschiedet. Dieser Text findet direkte Anwendung in allen Mitgliedstaaten der Europäischen Union und wird am 28.05.2018 in Kraft treten. In Frankreich ersetzt er ab diesem Zeitpunkt das Datenschutzgesetz Nr. 78-17 vom 06.01.1978.

Mit dem Ziel der Harmonisierung des Datenschutzes in den unterschiedlichen Mitgliedstaaten verstärkt die neue Datenschutz-Verordnung den Schutz der personenbezogenen Daten, indem die individuelle Rechtsausübung, der Grundsatz der Verantwortung und das System der internen sowie externen Kontrollen ausgeweitet werden.

Erweiterte Definition der personenbezogenen Daten und der sensiblen Daten

Die Definition des Begriffs „personenbezogene Daten“ wurde erweitert und schließt nun das Aussondern als ein Mittel zur Identifizierung einer natürlichen Person ein. Ebenso können „pseudonymisierte“ personenbezogene Daten als Informationen, die eine identifizierbare natürliche Person betreffen, angesehen werden. Und die Verordnung festigt schließlich die ständige Rechtsprechung, da sie IP-Adressen nun ausdrücklich als personenbezogene Daten betrachtet.

Stärkung der individuellen Rechte

Die Verordnung stellt die bestehenden individuellen Rechte klar und stärkt diese. Gleichzeitig werden aber auch neue individuelle Rechte eingeführt: so erlaubt das Recht auf Beschränkung der Verarbeitung der betroffenen Person, den Verantwortlichen für die Verarbeitung personenbezogener Daten zur Beschränkung der Verarbeitung aufzufordern. Das Recht auf Datenübertragbarkeit erlaubt der betroffenen Person, den Verantwortlichen mit der Übertragung ihrer personenbezogenen Daten an einen Dritten zu beauftragen. Die Ausübung dieses Rechts ist insbesondere denkbar, wenn es darum geht, den E-Mail-Provider, den Social Network-Anbieter oder die Bank zu wechseln.

Der Grundsatz der Verantwortung bei der Verarbeitung personenbezogener Daten

Die Verordnung erweitert die Pflichten des Verantwortlichen für die Verarbeitung personenbezogener Daten. Dieser steht insbesondere in der Pflicht, angemessene technische und organisatorische Maßnahmen zu treffen, um die Sicherheit und Vertraulichkeit der Daten zu gewährleisten. Diese verstärkte Pflicht zur Sicherheit der personenbezogenen Daten obliegt ebenfalls dem Auftragsverarbeiter des Verantwortlichen, wie zum Beispiel dem Provider.

Um ein ausreichendes Schutzniveau gewährleisten zu können, sind Datenschutz-Folgenabschätzungen nun verpflichtend, wenn die Verarbeitung ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen birgt.

Im Übrigen unterliegen nun die Verantwortlichen sowie die Auftragsverarbeiter der Pflicht, die für den Schutz personenbezogener Daten zuständigen nationalen Behörden über eine Verletzung des Schutzes dieser Daten zu informieren.

Verschärfung der Sanktionen bei Verletzung des Schutzes der personenbezogenen Daten

Die europäische Verordnung hat auch die Sanktionsbefugnis der für den Schutz personenbezogener Daten zuständigen nationalen Behörden deutlich ausgeweitet. Es können nun Geldbußen in Höhe von 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden.

Es bleibt abzuwarten, wie die französische Datenschutzbehörde CNIL diese neuen Vorschriften anwenden wird: Sie ist derzeitig zwar dazu befugt, Geldbußen von bis zu 150.000 Euro auszusprechen, verhängt aber in der Praxis bisher nur sehr wenige finanzielle Sanktionen.

Françoise Berton, französische Rechtsanwältin

Alle Urheberrechte vorbehalten

Bild: sdecoret

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.

* Pflichtangabe