Seit dem 25. Mai 2018 gilt die neue europäische Datenschutz-Grundverordnung (EU-DSGVO).

Sie soll das Datenschutzniveau europaweit vereinheitlichen und bringt die folgenden Veränderungen und neuen Anforderungen für den Umgang mit personenbezogenen Daten mit sich:

Erhöhte Transparenz und Kontrolle für Betroffene
Die DSGVO schützt die Privatsphäre von Nutzerinnen und Nutzern bei Profilbildung , Big Data, Webtracking und definiert das „Recht auf Vergessenwerden“ und auf Datenportabilität. Zudem sorgt das „Marktortprinzip“ dafür, dass die DSGVO auch Anwendung auf Datenverarbeiter findet, die nicht in der Europäischen Union niedergelassen sind – nämlich dann, wenn eine Datenverarbeitung dazu dient, in der Europäischen Union ansässigen Personen Waren oder Dienstleistungen anzubieten. Zusätzlich erhöht die DSGVO die Transparenzpflichten von Unternehmen gegenüber ihren Kunden, und weitet die Rechte der Betroffenen aus, z.B. das Recht auf Auskunft. Grund hierfür: Betroffene müssen wissen, zu welchen Zwecken ihre Daten verarbeitet werden und was mit ihren Daten geschieht. Weiterhin schreibt die DSGVO einfache und vor allem verständliche Datenschutzerklärungen vor. Hier können Zertifizierungen und Datenschutzsiegel für zusätzliche Transparenz sorgen. Somit wird mehr Kontrolle und Transparenz bei der Datenverarbeitung erzielt.

Pseudonymisierung von Daten
Im Zuge der DSGVO werden höhere Anreize für die „Pseudonymisierung“ von Daten geschaffen. Durch Pseudonymisierung können große Datenmengen ohne Personenbezug und daher besonders grundrechtsschonend verarbeitet werden. Dadurch wird es wesentlich schwerer gemacht, betroffene Personen zu identifizieren. Namen oder andere Identifikationsmerkmale werden durch ein Pseudonym – z. B. eine mehrstellige Buchstaben- oder Zahlenkombination – ersetzt. Weiterhin erleichtert die DSGVO Datenweiterverarbeitungen zu einem anderen als dem ursprünglichen Datenerhebungszweck, wenn diese Weiterverarbeitung in pseudonymisierter Form erfolgt. Besonders für Big-Data-Analysen ist dies besonders wichtig.

Verschiedene Rechtsgrundlagen für Datenverarbeitungen
Wie auch schon in der bisherigen EU-Datenschutzrichtlinie aus dem Jahr 1995 festgelegt, können Datenverarbeitungen nach den Vorgaben der DSGVO nicht allein auf die Einwilligung des Betroffenen, sondern auch auf andere Rechtsgrundlagen gestützt werden. Dies bietet Chancen für datenverarbeitende Unternehmen. Wenn die Datenverarbeitung für die Erfüllung eines Vertrags (etwa mit einem Kunden) erforderlich ist, sind Datenverarbeitungen auch ohne Einwilligung zulässig. Eine Datenverarbeitung kann im Einzelfall zudem auf überwiegende berechtigte Interessen des Datenverarbeiters oder eines Dritten gestützt werden. Dieser Umstand kann vor allem für Unternehmen von großem Vorteil sein, die – anders als beispielsweise Internetplattformen – nicht ohne Weiteres die Einwilligung der Betroffenen einholen können, z.B. weil sie mit ihren Kunden per Brief kommunizieren. In jedem Fall sind die Informationspflichten der DSGVO zu beachten. Die Betroffenen müssen insbesondere über den Zweck der Datenverarbeitung und die Rechtsgrundlage informiert werden.

Privilegierung von Datenverarbeitungen zu Forschungszwecken
Zu den Neuerungen der DSGVO zählen ihre klaren Wertungen im Forschungsbereich. So stellt die DSGVO ausdrücklich klar, dass die Weiterverarbeitung personenbezogener Daten zu Forschungszwecken vereinbar mit dem ursprünglichen Datenerhebungszweck ist. Im Bereich der wissenschaftlichen Forschung führt die DSGVO zusätzlich die Möglichkeit eines „Broad Consent“ ein. Somit wird die Einholung von Einwilligungen zu Forschungszwecken ermöglicht, selbst wenn die Zwecke bei der Datenerhebung im Einzelnen noch nicht detailliert aufgezeigt werden können.