Man kann über die Datenschutz-Grundverordnung (DSGVO) denken, was man will. Dass es ein „Regime“ – wie man so schön im Rechtsjargon sagt — darstellt, ist unzweifelhaft; es gilt für sämtliche in der Europäischen Union stattfindenden Verarbeitungen personenbezogener Daten. Doch nichts für ungut. Nicht alles, was irgendwie mit Datenschutz zu tun hat und sich im geschäftlichen Verkehr abspielt, muss anhand des 99 Artikel langen Verordnung durchdekliniert werden. Dennoch gibt es einiges zu beachten. Letzten Endes sorgt die DSGVO für einen einheitlichen Rechtsraum in der Materie Datenschutz. Im Folgenden sollen drei wichtige Felder der DSGVO aufgezeigt und geklärt werden.
„Einwilligung zur Datenverarbeitung“: Die DSGVO fordert, dass Personen, die von einer Verarbeitung ihrer Daten betroffen sind (oder besser: sein sollen), hierzu ausdrücklich einzuwilligen haben. Dies ist als Schutz für den Betroffenen zu sehen. Ohne seine Einwilligung kann eine Datenverarbeitung nämlich nicht erfolgen. Man selbst ist also „Herr“ über die Lage. Die Einwilligung einer Person stellt somit einen Erlaubnistatbestand für eine Datenverarbeitung dar. Im Gegensatz dazu stellen zum Beispiel lebenswichtige Interessen oder Interessen, denen Grundfreiheiten anderer Personen nicht entgegenstehen sowie die Vertragserfüllung, Erlaubnisgründe dar, die eine Einwilligung entbehrlich machen. Eine Datenverarbeitung erfolgt dann kraft Gesetzes.
„Verstoße gegen die DSGVO und damit zusammenhängende Bußgelder“: Grundsätzlich will man mit Sanktionen der DSGVO bewirken, dass Unternehmen sich an die DSGVO halten und sich mit ihr auseinandersetzen. Schließlich kann es sich um Daten handeln, dessen Geheimhaltung gewissen Anforderungen unterliegen soll. Daher erscheint es sinnvoll, bestimmte (unsaubere) Verhaltensweisen unter Strafe zu stellen. Eines sei gesagt: Nur, weil man von Millionenstrafen von Facebook und Co. hört, heißt das noch nicht, dass kleinere Unternehmen mit solchen enormen Summen belastet würden. Vielmehr geht es auch schon um weitaus kleinere Beträge. Zaghaft sind Datenschutzbehörden also auch bei kleinen Unternehmen nicht. Ein Beispiel ist ein 5000 Euro Bußgeld für einen fehlenden Auftragsverarbeitungsvertrag.
„Personeller Geltungsbereich der DSGVO“: Die DSGVO hat als Adressaten ausschließlich Unternehmen (und Behörden) und gilt nicht nur dann, wenn ein Unternehmen einen Datenschutzbeauftragten (DSB) bestellt hat bzw. zur Bestellung eines solchen verpflichtet ist. Ausgeschlossen ist lediglich der persönliche Bereich natürlicher Personen, wenn eine solche Person z.B. Daten im familiären Bereich verarbeitet. Der Anwendungsbereich wird weiterhin in sachlicher (für welche Tätigkeiten gilt die DSGVO?) und räumlicher (Wo muss eine Verarbeitung stattfinden, um der DSGVO zu unterfallen?) Hinsicht untergliedert. Es soll daher der Grundsatz gelten: Die DSGVO gilt für jeden „Verantwortlichen“ innerhalb der EU – unabhängig davon, ob ein DSB vorgesehen sein muss oder nicht.