Geänderte Rechtslage nach Wirksamwerden der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung (DS-GVO) – ein kurzer Überblick

Seit dem 25. Mai 2018 gilt mit der EU-Datenschutz-Grundverordnung – auch DS-GVO genannt – ein neues Datenschutz-Zeitalter. Die DS-GVO regelt den Umgang mit personenbezogenen Daten durch private und öffentliche Datenverarbeiter EU-weit. Neu daran ist, dass nationale Regelungen zu weiten Teilen durch die DS-GVO ersetzt werden – das heißt, es gelten weitestgehend einheitliche Regelungen in der gesamten EU.

Ziel der DS-GVO war es unter anderem, großen Internetkonzernen, wie bspw. Google und Facebook – mittlerweile Meta Platforms, Inc. – in Bezug auf Datenschutz einheitliche Regeln und Pflichten aufzuerlegen. Die Daten von Kindern und Jugendlichen werden dabei als besonders schützenswert angesehen. Den Datenschutz-Aufsichtsbehörden wurde in diesem Zusammenhang eine neue Aufgabe zugewiesen, nämlich Kinder und Jugendliche über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Datenverarbeitung zu sensibilisieren und darüber aufzuklären (Art. 57 DS-GVO).

Neu ist außerdem, dass ein Anbieter die Regelungen der DS-GVO auch dann beachten muss, wenn er innerhalb der EU gar keine Niederlassung hat (Marktortprinzip). Voraussetzung ist aber, dass die Datenverarbeitung im Zusammenhang damit steht, dass Waren oder Dienstleistungen in der Europäischen Union angeboten werden oder im Rahmen der Datenverarbeitung das Verhalten europäischer Nutzerinnen und Nutzer beobachtet wird (z. B. durch das Setzen von Cookies, durch Profiling oder Tracking).

Durch das Prinzip der einheitlichen Anlaufstelle (One-Stop-Shop-Prinzip) soll es EU-Bürgerinnen und EU-Bürgern erleichtert werden, bei grenzüberschreitenden Datenverarbeitungen die zuständige Datenschutzaufsichtsbehörde zu kontaktieren. Betroffene Personen können nämlich von ihrer lokalen Aufsichtsbehörde verlangen, Beschwerden über Unternehmen zu prüfen und – falls erforderlich – sich mit anderen zuständigen Aufsichtsbehörden abzustimmen und zwar unabhängig davon, in welchem Land das Unternehmen seinen Sitz hat.

Als neues Instrument der Transparenz legt die DS-GVO fest, dass Betroffene bereits bei der Erhebung personenbezogener Daten über die Datenverarbeitungsvorgänge informiert werden müssen (Art. 13 DS-GVO). Da der Einwilligung bei der Datenverarbeitung eine maßgebliche Bedeutung zukommt, hat die DS-GVO hierfür strengere Rahmenbedingungen eingeführt (Art. 7 und Art. 8 DS-GVO): So muss die Einwilligungserklärung in Form einer eindeutig bestätigenden Handlung, freiwillig und informiert erfolgen. Sie gilt nur, wenn sie zweckgebunden ist, sich also auf einen konkreten Fall bezieht; außerdem muss die bzw. der Einwilligende die Möglichkeit haben, diese zurückzunehmen, also zu widerrufen.

Zu den in der DS-GVO verankerten Betroffenenrechten zählen insbesondere das Auskunftsrecht (Art. 15), das Recht auf Löschung bzw. „das Recht auf Vergessenwerden“ (Art. 17) sowie das Recht auf Datenübertragbarkeit (Art. 20). Mehr dazu ist auf der Website des Landesbeauftragten für den Datenschutz und die Informationsfreiheit RLP (LfDI) zu finden.

Im Rahmen des Auskunftsrechts kann der Betroffene bei einem Verantwortlichen beispielsweise nachfragen, welche Daten zu welchen Zwecken durch ihn genutzt werden und ob diese Daten an andere Stellen weitergegeben werden. Eine solche Anfrage muss vom Verantwortlichen innerhalb eines Monates beantwortet werden.