Entwicklung im IT-Bereich und Schutz personenbezogener Daten in der EU

  • 3 Minuten Lesezeit

Die Frage, wie der Schutz natürlicher Personen im Zusammenhang mit der Bearbeitung personenbezogener Daten und deren freier Bewegung zu gewährleisten ist, wird vor dem Hintergrund der rasanten Entwicklung im IT-Bereich immer häufiger gestellt. Die bisherige Richtlinie 95/46/EG des Europäischen Parlaments und des Rates kann auf neue Möglichkeiten in der Verarbeitung personenbezogener Daten nicht mehr reagieren, und der Schutz personenbezogener Daten auf dem EU-Gebiet muss daher neu geregelt werden.

Im Amtsblatt der Europäischen Union wurde am 04.05.2016 die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) veröffentlicht. Sie soll am 25.05.2018 in Kraft treten und für alle EU-Mitgliedsstaaten verbindlich sein. Ziel der Verordnung ist es, Unterschiede in der rechtlichen Regelung im Bereich Schutz und Verarbeitung personenbezogener Daten in den EU-Ländern sowie die bestehenden Hindernisse für den Datenverkehr auf dem EU-Gebiet zu beseitigen.

Durch die Verordnung werden die Rechte natürlicher Personen ausgeweitet; neu wird das sog. „Recht auf Vergessenwerden“, d.h. Recht auf Löschung personenbezogener Daten, eingeführt. Dieses Recht findet zu dem Zeitpunkt Anwendung, zu dem die die Daten nicht mehr für die Zwecke benötigt werden, für die sie verarbeitet wurden. Als weitere Rechte sind hier z.B. zu erwählen: das Recht auf Widerruf der Einwilligung in die Verarbeitung eigener personenbezogener Daten; das Recht auf Übertragbarkeit der Daten an einen anderen Verantwortlichen; das Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten oder das Recht auf Rückgabe der zu verarbeitenden personenbezogener Daten. 

Schweigen bedeutet jedoch zum Unterschied von der früheren Regelung keine Einwilligung in die Verarbeitung personenbezogener Daten, denn der Verordnung zufolge ist die Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Die neuen Rechte sind jedoch auch mit neuen Verpflichtungen verbunden. Es wird z.B. die Pflicht zur Führung von Aufzeichnungen über die verarbeiteten Daten und zur Vorlage dieser Aufzeichnungen auf Anforderung der Kontrollbehörde. Die Mitteilungspflicht soll hingegen aufgehoben werden.

Des Weiteren wird das Institut des Datenschutzbeauftragten geschaffen werden; dieser wird vom Verantwortlichen und dem Auftragsverarbeiter nur in festgelegten Fällen benannt. Der Datenschutzbeauftragte wird nur benannt, wenn die Verarbeitung personenbezogener Daten von einer Behörde oder öffentlichen Stelle durchgeführt wird, wenn die Kerntätigkeit bei der Verarbeitung personenbezogener Daten in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht. 

Eine dieser Kategorien ist z.B. die Arbeitsmedizin. Zu den Hauptaufgaben des Datenschutzbeauftragten gehört die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten bei der Verarbeitung personenbezogener Daten oder die Zusammenarbeit mit der Aufsichtsbehörde.

Wie bereits eingangs erwähnt wurde, reagiert die Verordnung auf den Fortschritt auf dem IT-Gebiet z.B. dadurch, dass auch IP-Adressen und Cookies als personenbezogene Daten betrachtet werden, oder dass in der Definition personenbezogener Daten alle Informationen angeführt werden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; diese kann indirekt identifiziert werden insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. 

Die Einbeziehung der Netzwerk-Kennungen in die Definition personenbezogener Daten hat zur Folge, dass die Betreiber von Internetseiten die Einwilligung der natürlichen Personen, deren Cookies sie benutzen wollen, einholen müssen. Zu erwähnen ist jedoch, dass sich diese Pflicht nur auf die Cookies bezieht, die zur Identifizierung natürlicher Personen geeignet sind.

Abschließend soll angeführt werden, dass die Verantwortlichen oder Auftragsverarbeiter im Falle einer Verletzung der sich aus dieser Verordnung ergebenden Pflichten mit strengen finanziellen Sanktionen geahndet werden. Die Geldbuße kann bis zu 20 Mio. EUR oder 4 % des Jahresumsatzes betragen.


Rechtstipp aus dem Rechtsgebiet

Artikel teilen:


Sie haben Fragen? Jetzt Kontakt aufnehmen!

Weitere Rechtstipps von Rechtsanwalt Mgr. Robert Tschöpl Advokát

Beiträge zum Thema

Ihre Spezialisten