Von Folgeabschätzung bis Nachweispflicht
Die neue EU-Datenschutzgrundverordnung meistern
Fortsetzung des Artikels von Teil 2
Neue Rechte für betroffene Personen
Datenschutz klingt vordergründig, als müssten Daten geschützt werden. Doch vielmehr geht es um den Schutz all der Personen, welche diese Daten „verursachen“. Die Schutzwürdigkeit der Persönlichkeitsrechte liegt dem Datenschutz zugrunde bzw. macht ihn überhaupt erst notwendig. Demzufolge ist es nur logisch, dass die neue EU-Datenschutzgrundverordnung insbesondere die Rechte der betroffenen Personen stärkt.
1. Recht auf Vergessen werden
An erster Stelle sei das neue „Right to be forgotten“ genannt. Es bedeutet, dass bei der Veröffentlichung von Daten angemessene, auch technische, Maßnahmen ergriffen werden müssen, um dritte Parteien über einen Löschungswunsch informieren zu können. Damit haben Nutzer zukünftig das Recht, Informationen leichter wieder löschen zu lassen. Auch der Empfänger, an den ein Unternehmen Daten weitergegeben hat, muss über eine Löschung informiert werden.
2. Datenportabilität
Ein weiteres neues Recht stellt die Datenportabilität dar. Sie begründet den Anspruch Betroffener auf eine Kopie verarbeiteter Daten, wobei die Übergabe in einem gängigen und strukturierten Format erfolgen muss. Für Unternehmen wird die Umsetzung dieser Regelung sicherlich aufwändig und auch teuer werden. Die Datenportabilität gilt auch, wenn beispielsweise ein Arbeitsverhältnis endet.
3. Koppelungsverbot
Vertragliche Zusatzleistungen dürfen nicht mehr daran geknüpft werden, dass die betroffene Person in die Verarbeitung der Daten einwilligt. Dies betrifft vor allem das gängige Procedere „Dienst gegen Daten“.
4. Arbeitnehmerdatenschutz
Für den Arbeitnehmerdatenschutz gibt es eine nationale Öffnungsklausel. Es bleibt abzuwarten, wie die Bundesregierung mit der Öffnungsklausel hinsichtlich des Arbeitnehmerdatenschutzes umgeht. Es ist davon auszugehen, dass § 32 BDSG „Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses“ weitestgehend unverändert bleibt. Betriebsvereinbarungen sind weiterhin eine Alternative, setzen jedoch eine gute Zusammenarbeit mit dem Betriebsrat voraus. Firmen müssen ihre IT-Systeme nach dem Grundsatz der Erforderlichkeit und Zweckbindung gestalten: zum Beispiel sollen von vornherein nur so viele personenbezogene Daten gesammelt und verarbeitet werden, wie es zur Erreichung des Zweckes konkret notwendig ist. Wenn immer möglich, sind diese Daten zu pseudonymisieren. Insbesondere dem Grundsatz Datenschutz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) ist hier Genüge zu tun.
- Die neue EU-Datenschutzgrundverordnung meistern
- An welchen Stellen die EU schraubt
- Neue Rechte für betroffene Personen
- Was sollten Unternehmen jetzt (schon) tun?
Lesen Sie mehr zum Thema
