Wann tritt die DSGVO in Kraft?

Die DSGVO wurde im April 2016 vom EU-Parlament gebilligt und verabschiedet. Die Verordnung tritt nach einer zweijährigen Übergangsfrist in Kraft und erfordert im Gegensatz zu einer Richtlinie keine Ermächtigungsgesetzgebung durch die Regierung, d.h. sie wird im Mai 2018 in Kraft treten.

Angesichts einer ungewissen “Brexit” – ich vertrete einen Datenverantwortlichen in Großbritannien und möchte wissen, ob ich mit der Planung und Vorbereitung von DSGVO weitermachen soll?

Wenn Sie Daten über Personen im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen an Bürger in anderen EU-Ländern verarbeiten, müssen Sie sich an die DSGVO halten, unabhängig davon, ob Sie im Vereinigten Königreich die DSGVO nach Brexit behalten oder nicht. Wenn Ihre Aktivitäten auf das Vereinigte Königreich beschränkt sind, dann ist die Position (nach der ersten Ausstiegsphase) viel weniger klar. Die britische Regierung hat angekündigt, dass sie einen gleichwertigen oder alternativen Rechtsmechanismus einführen wird. Wir gehen davon aus, dass diese Rechtsvorschriften weitgehend dem DSGVO entsprechen werden, da die ICO und die britische Regierung den DSGVO als wirksamen Datenschutzstandard unterstützt haben und die DSGVO eine klare Grundlage für den weiteren Zugang der britischen Unternehmen zum EU-Digitalmarkt bietet. (Ref: http://www.lexology.com/library/detail.aspx?g=07a6d19f-19ae-4648-9f69-44ea289726a0)

Wer ist von der DSGVO betroffen?

Die DSGVO gilt nicht nur für Organisationen mit Sitz in der EU, sondern auch für Organisationen mit Sitz außerhalb der EU, wenn sie Waren oder Dienstleistungen für EU-Datensubjekte anbieten oder deren Verhalten überwachen. Sie gilt für alle Unternehmen, die personenbezogene Daten von Personen mit Wohnsitz in der Europäischen Union verarbeiten und aufbewahren, unabhängig vom Standort des Unternehmens.

Was sind die Strafen bei Nichteinhaltung?

Organisationen können bis zu 4 % des weltweiten Jahresumsatzes wegen Verletzung des BIPR oder 20 Mio. EUR bestraft werden. Dies ist die Höchststrafe, die für die schwerwiegendsten Verstöße verhängt werden kann, z.B. wenn der Kunde keine ausreichende Einwilligung zur Datenverarbeitung hat oder der Kern des Privacy by Design-Konzepts verletzt wird. Es gibt einen abgestuften Ansatz für Geldbußen, z.B. kann ein Unternehmen mit einer Geldbuße von 2% belegt werden, wenn es seine Unterlagen nicht in Ordnung hat (Artikel 28), wenn es die Aufsichtsbehörde und die betroffene Person nicht über einen Verstoß informiert oder keine Folgenabschätzung durchführt. Es ist wichtig zu beachten, dass diese Regeln sowohl für Controller als auch für Prozessoren gelten – was bedeutet, dass “Wolken” nicht von der Durchsetzung des DSGVO ausgenommen sind.

Was sind personenbezogene Daten?

Die DSGVO gilt für “personenbezogene Daten”, d.h. alle Informationen über eine identifizierbare Person, die direkt oder indirekt, insbesondere durch Bezugnahme auf einen Identifikator, identifiziert werden können. Diese aktuelle Liste oder Definition sieht vor, dass eine breite Palette von personenbezogenen Daten, einschließlich Name, Identifikationsnummer, Standortdaten oder Online-Identifikator, die Veränderungen in der Technologie und der Art und Weise, wie Organisationen Informationen über Personen sammeln, widerspiegeln.

Was ist der Unterschied zwischen einem Datenprozessor und einem Datenverantwortlichen?

Ein für die Verarbeitung Verantwortlicher ist die Stelle, die die Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten festlegt, während der für die Verarbeitung Verantwortliche eine Stelle ist, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Brauchen Datenverarbeiter eine “ausdrückliche” oder “eindeutige” Einwilligung des Betroffenen – und was ist der Unterschied?

Die Bedingungen für die Einwilligung wurden verschärft, da die Unternehmen nicht mehr in der Lage sein werden, lange unleserliche Bedingungen voller Rechtssprache zu verwenden, da der Antrag auf Einwilligung in verständlicher und leicht zugänglicher Form gestellt werden muss, wobei der Zweck der Datenverarbeitung mit dieser Einwilligung verbunden sein muss – das heißt, er muss eindeutig sein. Die Einwilligung muss klar und deutlich von anderen Dingen unterscheidbar sein und in einer verständlichen und leicht zugänglichen Form unter Verwendung einer klaren und klaren Sprache erteilt werden. Eine ausdrückliche Einwilligung ist nur für die Verarbeitung sensibler personenbezogener Daten erforderlich – in diesem Zusammenhang genügt ein “opt in”. Hier finden Sie mehr Informationen. Bei nicht sensiblen Daten genügt jedoch eine “eindeutige” Einwilligung.

Wie steht es mit den Datensubjekten unter 16 Jahren?

Für die Verarbeitung personenbezogener Daten von Kindern unter 16 Jahren für Online-Dienste ist die Zustimmung der Eltern erforderlich; die Mitgliedstaaten können ein niedrigeres Einwilligungsalter vorschreiben, das jedoch nicht unter 13 Jahren liegt.

Was ist der Unterschied zwischen einer Verordnung und einer Richtlinie?

Eine Verordnung ist ein verbindlicher Rechtsakt. Sie muss in ihrer Gesamtheit in der gesamten EU angewendet werden, während eine Richtlinie ein Rechtsakt ist, der ein Ziel festlegt, das alle EU-Länder erreichen müssen. Es ist jedoch Sache der einzelnen Länder zu entscheiden, wie. Es ist wichtig zu beachten, dass es sich bei der DSGVO um eine Verordnung handelt, im Gegensatz zur bisherigen Gesetzgebung, die eine Richtlinie ist.

Muss mein Unternehmen einen Datenschutzbeauftragten (DSB) ernennen?

DPOs müssen im Falle von: (a) Behörden, (b) Organisationen, die in großem Umfang systematische Überwachung betreiben, oder (c) Organisationen, die in großem Umfang Prozesse durchführen.

 

Chronik und Vorbereitung der Volkszählung 2011

Zwischen 2001 und 2003 wurde das Verfahren der “registergestüzten Volkszählung” im Rahmen des Zensustest 2001 überprüft. Das Bundeskabinett entschied sich bereits 2006 für den Einsatz dieses Verfahrens zur Volkszählung 2011. In gesetzliche Bahnen geleitet wurden die Vorbereitungen im November 2007, als die große Koalition aus CDU/CSU und SPD das Zensusvorbereitungsgesetz verabschiedete.

Das Zensusgesetz wurde am 17.7.2009 verkündet und erlangte am Folgetag Gesetzeskraft. Ein Jahr zuvor wurde die EG-Verordnung 763/2008 verabschiedet, die eine EU-weite Volkszählung vorschreibt.

Gesetzliche Grundlagen

Folgende Gesetze bilden die Grundlage für die Volkszählung:

Zensusvorbereitungsgesetz 2011 (ZensVorbG 2011, Bundesgesetz)

Dieses Gesetz regelt den Aufbau einer Adressen- und Gebäudedatenbank im Vorfeld der Volkszählung.

Zensusgesetz 2011 (ZensG 2011, Bundesgesetz)

Mit diesem umfangreichen und komplexen Regelwerk wird der Ablauf der Zählung und der Umfang der zu erfassenden Daten sowie deren Umgang beschrieben.

Bundesstatistikgesetz (BStatG, Bundesgesetz)

Das BStatG definiert Aufgaben und Arbeitsweisen des Bundesamts für Statistik und definiert sowohl Fachbegriffe als auch das Bußgeld bei Auskunftsverweigerung.

Stichprobenverordnung Zensusgesetz 2011 (StichprobenV, Bundesrechtsverordnung)

Hier wird die Stichprobenbefragung der Haushalte näher beschrieben.

Ausführungsgesetze zum Zensus 2011 (Ländergesetze)

In den von jedem Bundesland einzeln zu erlassenen Ausführungsgesetzen werden die Richtlinien für den genauen Ablauf der Volkszählung in den Ländern festgelegt. Es geht z.B. darum, wer zum Volkszähler berufen werden kann und unter welchen Bedingungen die Zähler zu arbeiten haben.

Wichtige Urteile

Das Bundesverfassungsgericht hat sich in der Vergangenheit bereits in zwei wesentlichen Urteilen mit Volkszählung und Mikrozensus befasst. Die Urteile sind lesenswert.

Im Volkszählungsurteil vom 15.12.1983 hat des BVerfG u.a. das Grundrecht auf informationelle Selbstbestimmung begründet.
Auch die Auslegungen im frühen Mikrozensusurteil vom 16.7.1969 sind grundlegend.

Aus dem Mikrozensus-Urteil:

“Im Lichte dieses Menschenbildes kommt dem Menschen in der Gemeinschaft ein sozialer Wert- und Achtungsanspruch zu. Es widerspricht der menschlichen Würde, den Menschen zum bloßen Objekt im Staat zu machen. Mit der Menschenwürde wäre es nicht zu vereinbaren, wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren, sei es auch in der Anonymität einer statistischen Erhebung, und ihn damit wie eine Sache zu behandeln, die einer Bestandsaufnahme in jeder Beziehung zugänglich ist.”

Informationen

  • Arbeitskreis Vorratsdatenspeicherung
  • Flyer zur Volkszählung 2011
  • Gemeinsame Erklärung gegen die Volkszählung
  • Hintergrund
  • Twitter: @zensus11
  • Verfassungsbeschwerde
  • Wikiseite Volkszählung

Worum geht es? | Zensusgesetz 2011

Mit den Stimmen der großen Koalition aus CDU/CSU und SPD legte der Deutsche Bundestag im Jahr 2009 mit dem Zensusgesetz 2011 eine Volkszählung fest, für die bereits umfangreiche Vorbereitungen und Datensammlungen laufen.

Die Volkszählung 2011 stützt sich, anders als 1987, vor allem auf die Zusammenführung der Datensammlungen der Meldeämter und der Bundesagentur für Arbeit.

Diese werden gespeichert und mit Hilfe von vereinheitlichen Ordnungsnummern verknüpft und mit Daten aus einer gleichzeitig neu erstellten Wohnungsdatenbank zusammengeführt. Dazu müssen alle Eigentümer von Gebäuden und Wohnräumen detaillierte Angaben zu Eigentumsverhältnissen, Größe und Ausstattung der Wohnungen und zu den Mietern bzw. ihren Wohnungen machen.

Zusammen mit einer stichprobenartigen Befragung von etwa 10% der Bevölkerung (“Haushalte-Stichprobe”) sowie einer weiteren höchst umstrittenen vollständigen Befragung so genannter “Sonderbereiche” werden etwa ein Drittel der Bevölkerung direkt mit mindestens einem Fragebogen konfrontiert werden.

Wir sind der Meinung, dass die geplante Datensammlung weit über eventuelle Notwendigkeiten einer Volkszählung hinausgeht und außerdem wichtige Vorgaben des Bundesverfassungsgerichts z. B. zur informationellen Selbstbestimmung verletzt werden und die Volkszählung 2011 deshalb verfassungswidrig ist.

Wo liegt das Problem?

  • Die Informations- und Aufklärungspolitik der Behörden ist mehr als mangelhaft. Millionen Euro teure PR-Kampagnen liefern keinerlei Informationen über den tatsächlichen Umfang der Volkszählung und die Betroffenheiten. Dass bereits im letzten Jahr eine vollständige Zusammenziehung von Meldeamtsdaten aller in Deutschland gemeldeten Menschen vorgenommen worden ist, ist so gut wie niemandem bekannt. Das verstößt aus unserer Sicht den Anforderungen aus dem Volkszählungsurteil von 1983.
  • Etwa ein Drittel aller in Deutschland ansässigen Personen werden zur Beantwortung umfangreicher Fragebögen gezwungen. Bei Nichtbefolgung drohen die Behörden mit Buß- und Zwangsgeldern.
  • Zahlreiche sensible persönliche Daten werden aus zahlreichen Quellen ohne Ihre Einwilligung oder Benachrichtigung zusammengeführt. Die Daten von Meldeämtern und Behörden werden somit zweckentfremdet.
  • So wird in der neuen zentralen Datensammlung beispielsweise (zeitweise) namentlich erfasst und gespeichert, wer alles in Deutschland eine das Leib und Leben schützende Auskunftssperre eingerichtet hat: Menschen aus Zeugenschutzprogrammen, ehemalige Nazis und Radikale, Stalking-Opfer, bestimmte Richter oder Prominente sind davon betroffen.
  • Die Erhebung ist streng genommen nicht anonym, da Rückschlüsse auf Ihre Identität möglich sind, solange diese Daten existieren (bis zu vier bzw. sechs Jahre lang nach der Erfassung). Aus technischer Sicht betrachtet entsteht ein zentral verfügbares Personenprofil aller in Deutschland ansässigen Personen.
  • Selbst nach einer Entfernung persönlicher Angaben aus der Datenbank lassen sich aus den “anonymisierten” Daten mit Hilfe von Computern und Informationen aus anderen Quellen Re-Identifizierungen vornehmen. Eine echte Anonymisierung ist also nicht gegeben.
  • Die zentrale Verfügbarkeit der Personenprofile weckt Begehrlichkeiten bei Staat und Wirtschaft. Außerdem haben die Datenschutz-Skandale der vergangenen Jahre gezeigt, dass das Missbrauchspotenzial einmal angelegter Datensammlungen enorm ist.
  • Die Befragungen der Haushaltestichprobe gehen über den von der EU geforderten Umfang hinaus: Z. B. das Merkmal der Religionszugehörigkeit und die (einzige freiwillige) Frage zur Weltanschauung und zum Glaubensbekenntnis, die insbesondere Menschen muslimischen Glaubens besonders differenzierend aufschlüsselt. Auch die Fragen nach Migrationshintergrund erstrecken sich weit über das hinaus, was in der zweifelhaften europäischen Richtlinie gefordert wird.