Teil 1/7: Grundsätzliches zur Datenschutz-Grundverordnung (DS-GVO)

EU-DSGVO (Datenschutzgrundverordnung) ist ein nicht sehr übersichtliches Gesetz:

· 99 Artikel

· 11 Kapitel

· 173 Erwägungsgründe (Erläuternde Hinweise zum eigentlichen Gesetzestext. – Bsp.: Der Schutz personenbezogener Daten ist als Grundrecht anzusehen. Des Weiteren gibt es in den Erwägungsgründen hinweise, wann und in welcher Form Bußgelder zu verhängen sind)

Doch was ist wichtig für die Unternehmer?

Um den beruflichen Alltag datenschutzkonform zu gestalten und die internen Arbeitsprozesse auf die DSGVO umzustellen, sollten Unternehmen sich primär die Bestimmungen der Kapitel 1 bis 5 widmen.

Doch es gilt zu beachten, dass die DSGVO alleine nicht weiterhilft. Es muss auch das nationale Datenschutzrecht hinzugezogen werden. Hier sind die nationalen Datenschutzbehörden aufgefordert Handlungs- und Orientierungshilfen zu erstellen und diese für alle kostenfrei bereitzustellen.

Die DSGVO gilt zwar unmittelbar in den EU-Ländern, jedoch sind sogenannte Öffnungsklauseln vorhanden, die den nationalen Gesetzgebern bestimmte Regelungskompetenzen zugestehen. Also ist das BDSG (Bundesdatenschutzgesetz) weiterhin notwendig, eine grundlegend novellierte Fassung mit Gültigkeit ab 25. Mai 2018 ist bereits verfügbar. Diese gilt als Ergänzung zur DSGVO und zwar dann, wenn es keine spezielleren gesetzlichen Regelungen gibt. Das TMG (Telemediengesetz) für den Onlinebereich (z.B. Unternehmen, die einen Internetauftritt betreiben) ist hier ebenfalls zu nennen.

Kommen wir zu den ersten Artikeln der DSGVO. In Art. 1 sind Gegenstand und Ziele benannt. In Absatz 1 ist geschrieben, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr dienen. Die Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Um zu erfahren, für wen genau und wann die DSGVO gilt, sollte man sich Art. 2 der DSGVO Abs. 1 anschauen. Danach gilt die DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Es geht also letzten Endes immer um die Verarbeitung personenbezogener Daten. In Absatz 2 sind die Ausnahmen von dem

Anwendungsbereich erläutert. Danach findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten

· im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt

· durch die Mitgliedsstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von „Titel V Kapitel 2 EUV“ fallen (Bsp. EU- Außen- und Sicherheitspolitik)

· durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten

· durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

Kurz und knapp gesagt, gilt die DSGVO beim Umgang mit personenbezogenen Daten für alle unternehmerischen Tätigkeiten. Ausgenommen sind der private Bereich und einige bestimmte staatliche Tätigkeiten (Bsp. Strafverfolgung).

Das trifft dann auf alle zu, die in der EU niedergelassen sind, die betroffene Person in der EU niedergelassen ist oder der Ort der Datenverarbeitung aufgrund internationalen Rechts, dem Recht eines EU-Mitgliedsstaates unterliegt. Auch hier ist kurz und knapp zu sagen, das die DSGVO dann greift, wenn der Verantwortliche und/ oder der Betroffene in der EU ansässig sind. Oder wenn beide außerhalb der EU ansässig sind, aber die Verarbeitung der Daten in der EU stattfindet (z.B. Botschaften). Auch Unternehmen aus nicht EU-Staaten müssen die DSGVO beachten, sofern sie Waren oder Dienstleistungen EU-Bürgern anbieten.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.