Mit der Datenschutz-Grundverordnung (DSGVO) - engl. General Data Protection Regulation [GDPR] wurde die praktische Anwendung des europäischen Datenschutzrechtes in allen Bereichen geändert, die die Sammlung, den Austausch und die Verwertung personenbezogener Daten beinhalten. 

Die ePrivacy-Verordnung (ePVO) sollte ursprünglich zusammen mit der DSGVO erscheinen. Ihre Einführung wurde auf 2020 verschoben, um spezielle Regelungen der nationalen E-Commerce- und Telekommunikationsgesetzte in der EU zu harmonisieren. Der bereits durch die DSGVO erforderliche Anpassungsaufwand bestehender Einwilligungserklärungen wird in der ePVO konsequent auf die elektronische Kommunikation erweitert. Zur Sammlung persönlicher Daten wird es nicht mehr ausreichen, wenn ein Kunde generell der Überlassung von Daten oder dem Erhalt von Werbung zustimmt (häufig unter Zwang, z.B. beim Einrichten von Apple-, Microsoft- und Google-Accounts)

Beide Verordnung sehen einen vergleichbaren Bußgeldrahmen vor, der von verschiedenen Faktoren abhängt, z.B. ob unbefugt elektronische Kommunikationsdaten verwendet wurden. Die Aufsichtsbehörde kann Bußgelder bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen.

Was sind personenbezogene Daten?

Personenbezogene Daten weisen zwei wesentliche Merkmale auf: sie sind mit ausreichend genauen Identfikationsmerkmalen von Personen verbunden, und enthalten darüber hinaus aus Sicht der Person private Informationen, z.B. die IP Adresse und den Zeitpunkt, mit der ein Internet-Dienst genutzt wird, oder persönliche Vorlieben, die aus der Nutzung eines Internet-Dienstes abgeleitet werden.

Besonders sensible Daten betreffen etwa Gesundheit,  Karriere- und Job-Wünsche, finanzielle Probleme und private Informationen über die Familie. Auch der Kontext beinflusst die Sensibilität, etwa wenn die erwähnten Beispiele im Zusammenhang mit Finanzdienstleistern, Versicherungen und der medizinischen Versorgung stehen, z.B. wenn bekannt ist, das ein Elternteil mit einer erblichen Krankheit belastet ist.

Organisationen, die derartige Informationen elektronisch speichern, müssen neben einer ausdrücklichen Zustimmung der Betroffenen einen entsprechenden Schutz der Daten, eine klar nachvollziehbare Zweckbindung und die Richtigkeit gewährleisten. Letztere ist bei diesen Beispielen nur durch regelmäßige Aktualisierung zu gewährleisten. Das wird in den meisten Fällen nicht gelingen, deshalb müssen derartige Informationen nach einer angemessenen Zeit automatisiert bei den Betroffenen neu abgefragt, oder gelöscht werden.

DSVGO/GPDR in der Praxis

In der IT-Praxis ist die GDPR sowohl im Betrieb, als auch bei der Konzeption und Architektur neuer Services und Applikationen zu berücksichtigen. Ein praktisches Beispiel: Event basierte Architekturen mit Event-Stores müssen das Recht auf Löschung oder die vollständige Anonymisierung personenbezogener Daten berücksichtigen. Die Löschung einzelner aufgezeichneter Events ist in dieser Architektur ohne besondere Maßnahmen nicht umsetzbar.

GDPR konformes Lösungsdesign muss deshalb generell personenbezogene Daten getrennt von anonymen Schlüsseln zur Identifikation von Personen verwalten, damit bei einer Löschung derartiger Informationen die für die Konsistenz der Domänendaten unverzichtbaren Beziehungen erhalten bleiben. Es wird darüber hinaus empfohlen, auf die Nutzung der eingangs erwähnten, besonders sensiblen Daten generell zu verzichten.

ePrivacy Grundlagen

Für den Betrieb relevante Änderungen der DSGVO und der kommenden ePVO betreffen unter anderem automatisiert gesammelte Daten über das Benutzerverhalten im Internet, z.B. über Cookies - vgl. auch das Telekommunikationsgesetzes (TKG) , sowie Kontaktinformationen, für die keine ausreichende Begründung zur dauerhaften Speicherung vorliegen. In dem Grenzbereich "Marketing" sind zudem entsprechende Ausnahmen und weitere gesetzliche Normen zu berücksichtigen, z.B. beim Versand von Massenmails.

Massen-E-Mails (mit mehr als 50 Empfängern) oder E-Mails, die zu Zwecken der Direktwerbung (Werbe-E-Mail) versendet werden, bedürfen grundsätzlich der vorherigen Zustimmung des Empfängers. Zusätzlich muss die Möglichkeit auf "Opt-Out" bestehen, d.h. keine weiteren Mails mehr zu erhalten. Ausnahmen bei Massen-Emails ohne Produktwerbung gelten z.B. für die Pressearbeit, wenn bei den Empfängern "berechtigtes Interesse" an den verteilten Informationen vorausgesetzt werden kann.

Weitere für IT Verantwortliche relevante Rechtsbereiche des Medienrechts, z.B.  Offenlegungspflichten, das Urheberrecht und das ECommerce Gesetz sind von der DSGVO nicht betroffen, oder zumindest nur in Teilbereichen, die den Schutz persönlicher Daten betreffen. D.h. diese Normen sind unverändert zu berücksichtigen.

Ziele bzw. "Erwägungsgründe" der DSGVO

Die Ziele der DSGVO werden mit Hilfe von "Erwägungsgründen" vermittelt. Ihr Umsetzung erläutert Art. 5 in den "Grundsätzen der Verarbeitung personenbezogener Daten":

Es folgt eine Auflistung unterschiedlicher Rechtsbereiche, die bei der Gestaltung und im Betrieb von Webseiten und Webapplikationen (z.B. Webshops) zu berücksichtigen sind. Der Schwerpunkt liegt dabei auf einem breiten Überblick, und nicht im Detail.

Urheberrechtsgesetz:

Regelt das geistige Eigentum an Werken der Literatur und Kunst und dessen Schutzrecht. Dabei sind das Urheberrecht und das Nutzungsrecht zu unterscheiden. Letzteres kann kann ein Urheber abtreten. Das Nutzungsrecht ist im Zusammenhang mit der Gestaltung von Webseiten für alle Arten von Medien zu berücksichtigen (z.B. Fotos).