Datenschutz-Grundverordnung

Daten besser schützen – Neue Datenschutz-Grundverordnung kommt 2018

Am 25. Mai 2018 ist es soweit: Die neue Datenschutz-Grundverordnung tritt in Kraft. Die EU-Verordnung soll unsere Daten noch besser schützen und hebt die bisherige Richtlinie 95/46/EG auf. Der freie Transfer von Daten und eine höhere Transparenz spielen ebenfalls eine wichtige Rolle. Aber wen trifft die Datenschutz-Grundverordnung, kurz DSGVO, überhaupt? Im Prinzip alle Unternehmen und Behörden, die mit personenbezogenen Daten arbeiten. Das gilt nicht nur für Firmen innerhalb Europas, sondern auch für nicht-europäische Konzerne, die in der EU tätig sind. Das heißt, dass die Verordnung also zum Beispiel auch für den Giganten Google gilt. Doch was bedeutet das jetzt konkret für das Gesundheitswesen? Sind therapeutische Berufe ebenfalls betroffen? In unserer sechsteiligen Serie beschäftigen wir uns mit der neuen Datenschutz-Grundverordnung. Wir klären grundlegende Fragen und zeigen die Rechte und Pflichten auf, die die EU-Verordnung mit sich bringt. Dadurch bekommst du einen kompakten Überblick über alles Wissenswerte zum Thema Datenschutz.

Warum gibt es die Datenschutz-Grundverordnung?

Wir leben in einer hoch vernetzten Welt. Jeden Tag bahnen sich unzählige Datenmengen ihren digitalen Weg durch das Internet. Aufgrund der rasanten technologischen Entwicklung nehmen diese Datenmengen massiv zu. Abgesehen von diesem schnellen Technikwandel ermöglicht uns die Globalisierung den weltweiten Transfer von Daten in Sekundenschnelle. Es ist für uns längst Alltag, unsere persönlichen Daten wie Adressen oder Kreditkarten-Informationen online einzutippen. Aufgrund unseres (zum Teil) sorglosen Handelns finden Firmen durch die neuen Technologien immer raffiniertere Wege, um unser Nutzungsverhalten im Netz zu studieren. Wie surfen wir? Was für Produkte kaufen wir? Welche Sehnsüchte versuchen wir online zu stillen? Dieses Instrumentarium der Webanalytik bezeichnet man als User-Tracking. Über IP-Adressen oder http-Protokolle schöpfen Firmen Informationen ab. Folglich dienen die gesammelten Daten zur Bildung von Kundenprofilen. Das passiert meist ohne unser Wissen – und genau da liegt das Problem.

Technik rast – Recht schläft

Die Technologie des 21. Jahrhunderts ist schon so fortgeschritten, dass man damit enorm viel machen kann. Im Gegensatz dazu ist das Recht stehengeblieben. Das heißt, dass die zu lockeren Gesetze den Firmen zu viele Schlupflöcher bieten, um an personenbezogene Daten heranzukommen. Dieses Vorgehen hat in den letzten Jahrzehnten zu einem immer stärkeren Kontrollverlust geführt. Deshalb wurde die Datenschutz-Grundverordnung ins Leben gerufen. Die DSGVO bietet einen neuen Rechtsrahmen, um mit den riesigen digitalen Datenmengen angemessen umgehen zu können. Im modernen Datenschutz ist jetzt Transparenz ein wichtiges Thema. Das heißt nicht, dass Firmen unsere Daten nicht mehr verwenden dürfen, aber wir dürfen einsehen, wozu sie sie verwenden. Das bietet Unternehmen dementsprechend neue Wege und Chancen, um Vertrauen aufzubauen und weiterzuentwickeln. Die Datenschutz-Grundverordnung ist also ein rechtlicher Lösungsweg, um digitalen Innovationen nicht mehr schutzlos ausgeliefert zu sein.

Die DSGVO in der Physiotherapie

Bei einer näheren Beschäftigung mit der Datenschutz-Grundverordnung stellen sich grundlegende Fragen. Erstens: Was ist erlaubt? Und zweitens: Was ist strafbar? Auf jeden Fall braucht man immer eine Rechtsgrundlage, um Daten überhaupt verarbeiten zu dürfen, weil die DSGVO ein Verbotsgesetz ist. Mit anderen Worten ist zuerst einmal alles verboten aber es gibt freilich Ausnahmen. Nehmen wir beispielsweise das Gesundheitswesen. Warum dürfen Physiotherapeuten und Physiotherapeutinnen überhaupt Daten anderer Personen verwenden? Weil sie dazu berechtigt sind, mit personenbezogenen Gesundheitsdaten zu arbeiten. Die Datenschutz-Grundverordnung zählt dazu alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen. Aus diesen Daten lassen sich Informationen über den früheren, gegenwärtigen und künftigen Status der körperlichen Verfassung ablesen. Alle, die in der Physiotherapie tätig sind, haben also die rechtliche Ausnahme, Daten berufsbedingt zu verarbeiten.

Wie es NICHT mehr geht

Die Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft. Unternehmen und öffentliche Behörden hatten zwei Jahre Zeit, um sich an die neuen Bedingungen anzupassen. Die Verordnung gilt zwar für alle EU-Länder, doch jedes Mitgliedsland kann das Gesetz individuell anpassen. In Österreich ist die sogenannte Datenschutzbehörde für die Einhaltung des Datenschutzes zuständig. Sie ist derzeit noch keine Strafbehörde. Das heißt, dass sie entsprechende Fälle an die Bezirksverwaltungsbehörde weitergibt. In Zukunft wird die Behörde allerdings in der Lage sein, Strafen bis zu 20 Millionen Euro zu verhängen. Aber gibt es schon aktuelle Fälle in Österreich? Ja! Eine Tageszeitung hat sich in den Geschäftsbedingungen die Zustimmung eingeholt, dass die Kundendaten bei einem Testabo für Werbezwecke verwendet werden dürfen. Das sieht die Datenschutzbehörde als nicht zulässig an. Die Tagezeitung hat nun zwei Monate Zeit, um die Empfehlungen der Behörde umzusetzen. Wenn die Tageszeitung nichts unternimmt, zeigt die Datenschutzbehörde das Unternehmen bei der Bezirksverwaltungsbehörde an.

Datenschutz wird immer wichtiger

Der Schutz unserer Daten ist ein brandaktuelles Thema und findet durch die Datenschutz-Grundverordnung auch Einzug in unser Rechtssystem. Aber welche neuen Rechte gewinnen wir dazu? Was für Maßnahmen müssen Unternehmen in Zukunft ergreifen? Was bedeutet Datenschutz in der Selbstständigkeit? Und wie kümmert sich Synaptos um einen sicheren Datenschutz für dein Unternehmen? Bald lest ihr mehr dazu im zweiten Teil unserer Blogserie zur Datenschutz-Grundverordnung.