Definitionen Was ist die Datenschutzgrundverordnung (DSGVO)?

Redakteur: Manfred Klein

Freier Datenverkehr im europäischen Binnenmarkt bei maximalem Schutz von personenbezogenen Daten - das regelt die Datenschutzgrundverordnung vom 25. Mai 2018. Die neue EU-Verordnung gilt für private Unternehmen und öffentliche Stellen.

Anbieter zum Thema

(Bild: © aga7ta – Fotolia)

Die europaweite Datenschutzgrundverordnung gilt für alle Dienstleister und Shopbetreiber. Nutzertracking, E-Mail-Marketing und Kundenbestellungen - immer handelt es sich um personenbezogene Daten der Betroffenen und genau diese unterliegen nun der neuen DSGVO.

Personenbezogene Daten nach EU-Recht

Personenbezogene Daten werden mit der Datenschutzgrundverordnung innerhalb des Europäischen Binnenmarktes vereinheitlicht, aber auch besser geschützt. Ab dem 25. Mai 2018 gilt die DSGVO europaweit in alle Mitgliedsstaaten. Dann gehören neben Name, Anschrift und eMail-Adresse und Ausweisnummer auch Cookie-Kennungen, Werbe-IDs, IP-Adressen und andere Standortdaten zu den personenbezogenen Daten. Gleiches gilt für Informationen aus Gesundheitseinrichtungen, wie Krankenhäuser und Ärzte, die zu einer eindeutigen Identifizierung der Person führen können.

EU fordert die unumkehrbare Anonymisierung

Es genügt die theoretische Möglichkeit, aus den Teilinformationen die Identität der Person ermitteln zu können. Selbst eine Pseudonymisierung der Benutzerkonten, eine Verschlüsselung der Daten oder andere Anonymisierungen sind nicht mehr ausreichend. Erst wenn auch ein größerer Aufwand keine Rückschlüsse auf die Person mehr zulässt, handelt es sich um nicht personenbezogene Daten. Die neue europäische DSGVO verlangt bei der Anonymisierung personenbezogener Daten ausdrücklich, dass diese unumkehrbar sein muss.

Verarbeiten von personenbezogenen Daten

Nur eine Rechtsgrundlage kann die Verarbeitung personenbezogener Daten ermöglichen. Ist die Rechtsgrundlage nicht gegeben, dürfen personenbezogene Daten grundsätzlich nicht mehr verarbeitet werden. Ausnahmen sind die personenbezogenen Daten zur Erfüllung eines Vertrages oder anderer gesetzlicher Verpflichtungen. Demnach können Onlineshops auch künftig die Bestell- und Adressdaten ihrer Kunden verarbeiten oder auf Basis von steuerrechtlichen Pflichten aufbewahren.

Berechtigtes Interesse erfordert keine Rechtsgrundlage

Besteht für die Verarbeitung der personenbezogenen Daten ein „berechtigtes Interesse“ des Datenverarbeiters, so ist keine Rechtsgrundlage erforderlich. Dabei muss das berechtigte Interesse jedoch die schutzwürdigen Interessen der Personen überwiegen. Bei der Nutzung personenbezogener Daten in einer eMail-Kampagne kann ein Datenverarbeiter allerdings kaum ein „berechtigtes Interesse“ nachweisen.

Eindeutige Erklärung der Nutzer erforderlich

Wird der Verarbeitung von personenbezogenen Daten zugestimmt, so muss dies künftig konkret erfolgen. Vorausgewählte Häkchen oder ein fehlender Widerspruch (Opt-Out) sind nicht mehr ausreichend. Laut der neuen DSGVO ist nun eine eindeutige Handlung des Benutzers innerhalb der Netzwerk-Infrastruktur erforderlich, damit seine personenbezogene Daten auch ohne weitere Rechtsgrundlage – oder ohne den Nachweis eines „berechtigten Interesses“ – möglich ist. Das Unternehmen muss dem Benutzer zudem einen jederzeitigen Widerruf seiner Zustimmung ermöglichen.

(ID:45285178)