user_mobilesplash

Mitglieder-Login

Newsletter verwalten

Die EU-Datenschutzgrundverordnung - was ändert sich 2018?

Die neue EU-Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Sie bringt sowohl für Unternehmen als auch für Privatpersonen zahlreiche Änderungen mit sich. Für Unternehmen bleibt nicht mehr viel Zeit, um die vielen Neuerungen im Vergleich zum bisherigen BDSG umzusetzen. Für die verspätete Umsetzung der neuen Vorgaben drohen hohe Bußgelder, so dass sich jedes Unternehmen bereits jetzt mit den Neuerungen beschäftigen muss und sich unbedingt rechtlich beraten lassen sollte.


Ab dem 25. Mai 2018 gilt auch in Deutschland die (DSGVO) der Europäischen Union (EU). Durch das neue EU-Recht werden unmittelbar das bisherige Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), auf der das BDSG basiert, abgelöst. Parallel hierzu tritt das deutsche Ergänzungsgesetz (Datenschutz-Anpassungs- und -Umsetzungsgesetz – DSAnpUG) in Kraft, das die DSGVO zum Teil modifiziert und konkretisiert. Die DSGVO soll ergänzt werden durch die (noch nicht verabschiedete) EU-e-Privacy-Verordnung, die ebenfalls am 25. Mai 2018 in Kraft treten soll und die Internet- und Telemediendienste betrifft.
Die DSGVO hat das Ziel, das Datenschutzrecht innerhalb der EU zu harmonisieren. Vor allem sollen die Rechte und Kontrollmöglichkeiten der Betroffenen gestärkt werden, also derjenigen, deren deren personenbezogene Daten verarbeitet werden.

1.    Welches sind die wesentlichen Neuerungen?
In der neuen Verordnung werden vor allem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen neu geregelt.
Die Rechte der Nutzer werden durch (neue) Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen gestärkt. Die Betroffenen sollen leichter Zugang zu ihren Daten und den Informationen über deren Nutzung haben. Das bislang nur gerichtlich konstruierte „Recht auf Vergessenwerden“, also der Anspruch auf Löschung personenbezogener Daten, ist jetzt gesetzlich geregelt.
Die DSGVO normiert bringt weitergehende Anforderungen an den Datenschutz in Unternehmen. Neu ist z.B. die Verpflichtung, elektronische Geräte und Anwendungen datenschutzfreundlich voreinzustellen. Neu ist ebenfalls die Pflicht zur Datenschutz-Folgenabschätzung bei besonderen Risiken für die erhobenen Daten, z.B. durch neue Technologien.
Die DSGVO gilt auch für Unternehmen, die ihren Sitz außerhalb der EU haben, sofern sich ihre Angebote an EU-Bürger wenden. Dies hat weitreichende Konsequenzen für Unternehmen, die weltweit agieren und sich nunmehr europäischen Regelungen unterwerfen müssen (wie z.B. Facebook oder Google).
Der Bußgeldrahmen bei Verstößen ist erheblich erheblich erhöht worden und kann bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen. Durch das Bußgeld wird der geahndete Verstoß nicht „abgegolten“.

2.    Wann dürfen Daten verarbeitet werden?
Die Datenverarbeitung (DV) ist wie auch bislang im BDSG geregelt, nur zulässig, wenn es die DSGVO oder ein anderes Gesetz ausdrücklich erlaubt (Verbot mit Erlaubnisvorbehalt).
Die praktisch relevantesten Erlaubnistatbestände nach Art. 6 DSGVO sind:

  • es liegt eine Einwilligung des Betroffenen vor. Art. 7 und Art. 8 DSGVO definieren die Anforderungen, die an diese Einwilligung zu stellen sind. So soll etwa das Mindestalter bei 16 Jahren liegen – es sei denn, die einzelnen Staaten senken die Altersgrenze auf maximal 13 Jahren ab.
  • die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, wenn keine schutzwürdigen Interessen des Betroffenen überwiegen. Der Betroffene hat hiergegen ein Widerspruchsrecht. Hierauf muss der Betroffene auch hingewiesen werden.

3.    Welche Daten dürfen nicht verarbeitet werden?
Art. 9 DSGVO sieht besondere Kategorien von Daten vor, die grundsätzlich nicht verarbeitet werden dürfen (ähnlich dem BDSG, aber weitergehend). Dies sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten, Gesundheitsdaten und Daten, zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person hervorgehen.
Die Verarbeitung dieser Daten ist allerdings dann erlaubt, sofern ein Ausnahmetatbestand vorliegt (Abs. 2). Im Wesentlichen ist das der Fall, wenn die betroffene Person der Datenverarbeitung eingewilligt hat oder die Verarbeitung zur Geltendmachung und Abwehr von Rechten und Ansprüchen erforderlich ist. Dieser Ausnahmetatbestand ist nicht (mehr) auf die gerichtliche Geltendmachung oder Abwehr beschränkt.

4.    Rechte der Betroffenen

4.1 Informationspflichten
Art. 13 und 14 DSGVO sehen für Unternehmen umfangreiche Informationspflichten vor, wenn Daten beim Betroffenen oder bei Dritten (wie etwa der Schufa) erhoben werden. Diese erweiterten Pflichten sollen den Datenschutz im Vergleich zu den aktuell geltenden Regelungen des BDSG stärken.
Im Wesentlichen müssen umfangreiche Informationen zum Datenschutzbeauftragten, dem Zweck und der der Datenverarbeitung, der berechtigten Interessen zur Datenerhebung, den Empfängern der Daten, der Dauer der Datenspeicherung, der Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Datenportabilität und Beschwerderecht zur Aufsichtsbehörde), Grundlage der Bereitstellung der Daten auf gesetzlicher oder vertraglicher Basis und Folgen der Nichtbereitstellung, dem Bestehen einer automatisierten Einzelfallentscheidung einschließlich Profiling mitgeteult werden.
Bei der Erhebung der Daten beim Betroffenen müssen die Unternehmen nach Art. 13 DSGVO sofort bei Erhebung der Daten, z. B. bei der Bestellung eines Newsletters, entsprechend informieren. Dies sollte nach Art. 12 Abs. DSGVO schriftlich, aber auch in anderer Form (elektronisch, unter Umständen auch mündlich) geschehen. Dabei ist auf eine präzise, transparente, verständliche und leicht zugängliche Form sowie eine klare und einfache Sprache zu achten. Bei der Erhebung der Daten bei Dritten kann die Information nach Art. 14 DSGVO auch später erfolgen.
Von den Informationspflichten gelten allerdings einige Ausnahmen, z.B. wenn der Betroffene bereits über diese Informationen verfügt. Der Anspruch ist auch dann ausgeschlossen, wenn die Informationserteilung einen unverhältnismäßig hohen Aufwand erfordert oder gar unmöglich ist.

4.2 Auskunftsrecht
Die Betroffenen haben gem. Art. 15 DSGVO ein umfassendes Auskunftsrecht, das mit dem bisherigen § 34 BDSG vergleichbar ist. Neu ist allerdings, dass der Betroffene auch die Auskunft und die Übermittlung der Daten in elektronischer (gängiger) Form und auch eine Kopie der Daten verlangen kann.
Die Auskunft kann z.B. die Frage betreffen, woher die Daten stammen und an wen diese übermittelt werden? Oder zu welchen Zwecken die Daten verarbeitet oder wie lange sie gespeichert werden?

4.3 Recht auf Datenübertragbarkeit
Der Betroffene wird durch das neu etablierte Recht auf Datenübertragbarkeit (Datenportabilität) gem. Art. 20 DSGVO in die Lage versetzt, seine Daten „mitzunehmen“. Das bedeutet, dass er ein Unternehmen anweisen kann, bestimmte Daten von einer automatisierten Anwendung (SocialMedia) auf eine andere Anwendung zu übertragen. Dieses Recht soll es Betroffenen erleichtern, von den Anbieter zu wechseln, ohne Daten zu verlieren. Die Datenportabilität betrifft aber nur solche Daten, die der Nutzer selbst zur Verfügung gestellt hat.

4.4 Recht auf Löschung („Recht auf Vergessenwerden“)
Art. 17 DSGVO gibt Betroffenen erstmalein Recht auf Löschung der eigenen Daten, also ein „Recht auf Vergessenwerden“, wenn z.B.

  • die Speicherung der Daten nicht mehr notwendig ist
  • der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat
  • die Daten unrechtmäßig verarbeitet wurden
  • eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht

Hiervon gibt es Ausnahmen, d.h., es besteht keinen Anspruch auf Löschung, wenn:

  • die freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen
  • die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient
  • das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt
  • Archivzwecke, wissenschaftliche und historische Forschungszwecke dem entgegenstehen
  • die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Bislang war die Umsetzung der Löschpflicht weitestgehend unklar. Die neue Regelung enthält jetzt klare Vorgaben zur Vorgehenseise.
Ergänzend dazu sieht Art. 16 ein „Recht auf Berichtigung“ vor. Danach kann der Betroffene verlangen, dass unrichtige personenbezogene Daten berichtigt und unvollständige vervollständigt werden.
Schließlich sieht Art. 18 vor, dass Daten nur aus eingeschränkten Gründen verarbeitet werden dürfen. Dies kommt etwa dann zur Anwendung, wenn der Betroffene die Richtigkeit der Daten bestritten hat oder wenn die Verarbeitung unrechtmäßig ist.

4.5 Widerspruch bei automatisierten Einzelfallentscheidungen
Nach Art. 22 DSGVO sind die Rechte der Betroffenen bei automatisierten Einzelfallentscheidungen auf einen Widerspruch beschränkt. Dieses betrifft z.B. die automatische Ablehnung eines Online-Kreditantrags, ein Online-Einstellungsverfahren oder andere Maßnahmen, bei denen persönlichen Aspekte lediglich elektronisch ausgewertet werden. Relevant ist diese Regelung vor allem auch für das sog. Profiling (z.B. für Werbezwecke).
Verboten sind solche (automatisierten) Entscheidungen bei den besonders sensiblen Daten (vgl. Art. 22 Abs. 4, Art. 9 DSGVO).
Das Widerspruchsrecht gilt nach Abs. 2 ausnahmsweise nicht, wenn eine automatisierte Entscheidung insbesondere für den Abschluss oder die Erfüllung eines Vertrages mit dem Betroffenen oder mit ausdrücklicher Einwilligung des Betroffenen erfolgt. Dem Betroffenen ist in diesen Fällen die Möglichkeit zu eröffnen, die automatisierte Entscheidung überprüfen zu lassen.

5.    Vorgaben für Unternehmen

5.1 Technischer und organisatorischer Datenschutz
Die Verantwortlichen müssen geeignete technische und organisatorische Maßnahmen (TOM) treffen, um Datenschutz und Datensicherheit zu gewährleisten (Art. 24, 25 DSGVO). Welche Maßnahmen konkret erforderlich sind, hängt u.a. vom Stand der Technik sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken für die persönlichen Rechte und Freiheiten ab. Daten sollen danach z.B. so wenige Daten wie möglich erhoben werden; diese sollen so schnell wie möglich pseudonymisiert werden. Außerdem müssen technische Geräte und IT-Anwendungen zukünftig so voreingestellt werden, dass nur solche Daten erhoben werden, die für den Zweck der Verarbeitung notwendig sind. Die DSGVO und das neue DSAnpUG-EU beschreiben im Einzelnen die erforderlichen Kontrollmaßnahmen (Art. 32 DSGVO und §§ 64 ff. und 71 bis 74 DSAnpUG-EU).

5.2 Gemeinsame Datenverarbeitung
Nach Art. 26 DSGVO ist es zukünftig auch zulässig, dass mehrere verantwortliche Stellen die erlaubte Datenverarbeitung gemeinsam durchführen können. Erforderlich ist hierzu eine transparente Vereinbarung, in der die Verantwortlichkeiten sowie die Handhabung und Zuständigkeiten hinsichtlich der Betroffenenrechte festgelegt sind.

5.3 Auftragsdatenverarbeitung
Die Auftragsdatenverarbeitung ist in Art. 28 und 29 DSGVO geregelt. Darunter versteht man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Verarbeitung Verantwortlichen auf Grundlage eines schriftlichen Vertrags. Eine Auftragsverarbeitung liegt z.B. vor, wenn ein Unternehmen die Daten bei einem externen Rechenzentrum speichern lässt oder z.B. eine externe Stelle mit der Auftragsbearbeitung oder der Erstellung von Rechnungen beauftragt.
Die neuen Regelungen enthalten gegenüber den bisherigen Vorgaben des BDSG weitergehende Pflichten für beide Seiten. So ist die Auftragsverarbeitung nur zulässig, wenn der Auftragsverarbeiter hinreichende Garantien für eine ordnungsgemäße Datenverarbeitung bietet. Daneben muss der Auftragsverarbeiter ein „Verzeichnis der Verarbeitungstätigkeiten“ führen, vgl. Art. 30.

5.4 Verzeichnis der Verarbeitungstätigkeiten
Bei dem in Art. 30 DSGVO geregelten „Verzeichnis der Verarbeitungstätigkeiten“ handelt es sich um eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden. Unter engen Voraussetzungen können Unternehmen mit weniger als 250 Beschäftigten nach Art. 30 Abs. 5 DSGVO von dieser Pflicht ausgenommen sein.

5.5 Datenschutzfolgenabschätzung
Neu ist die in Art. 35 DSGVO geregelte Datenschutzfolgenabschätzung. Sie ist nach Abs. 1 immer dann durchzuführen, wenn ein Datenverarbeitungsverfahren voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt. Dies ist insbesondere der Fall bei der Verwendung neuer Technologien oder aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung.
Die Folgeschutzabschätzung erfolgt in 3 Stufen:

    1. In der 1. Stufe ist zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Abs. 3 als nennt als Hauptanwendungsgebiete Technologien, die automatisiert, systematisch und umfassend Daten erfassen, verarbeiten und bewerten.
    2. Wenn ein solches Risiko besteht, ist in einer 2. Stufe eine Bewertung dahingehend vorzunehmen, ob die geplanten Abhilfemaßnahmen und Sicherheitsvorkehren ausreichen, um den Schutz der Daten zu gewährleisten. Außerdem muss der Nachweis erbracht werden, dass die DSGVO eingehalten und den Interessen der Betroffenen Rechnung getragen wird.
    3. Kommt die Bewertung zu dem Ergebnis, dass trotz möglicher Maßnahmen ein hohes Risiko besteht, muss in einer 3. Stufe die Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO). Diese kann dann innerhalb von 8 Wochen Empfehlungen aussprechen. (Diese Frist kann je nach Komplexität von der Aufsichtsbehörde verlängert werden.) Zuständige Behörde ist in Deutschland der Bundesbeauftragte nach § 69 Abs. 1 DSAnpUG-EU.

Ist in dem Unternehmen ein Datenschutzbeauftragter bestellt, muss er in die Datenschutz-Folgenabschätzung eingebunden werden.
Die Datenschutzfolgenabschätzung ist schriftlich zu dokumentieren. Es kann u. U. zweckmäßig sein, dies mit dem Verzeichnis der Verarbeitungstätigkeiten (s.o.) zu verknüpfen.

5.6 Melde- und Informationspflichten bei Datenpannen
Für die Melde- und Informationspflichten bei Datenpannen/Incidents sind jetzt die Regelungen des Art. 33 DSGVO maßgebend. Danach müssen grds. alle Verletzungen des Schutzes personenbezogener Daten gemeldet werden, es sei denn, das Risiko für persönliche Rechte und Freiheiten ist (voraussichtlich) nicht gegeben.
Unternehmen müssen solche Incidents der Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden der Verletzung melden und folgende Informationen übermitteln:

  • Beschreibung des Incidents, Angabe der Kategorie der betroffenen Daten, Anzahl der Betroffenen und betroffenen Datensätze,
  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle,
  • Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung,
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

In Deutschland ist der Bundesbeauftragte für Datenschutz die zuständige Aufsichtsbehörde (§ 65 DSAnpUG-EU).
Außerdem müssen die von einer Verletzung Betroffenen grds. selbst benachrichtigt werden (Art. 34 DSGVO und § 66 DSAnpUG-EU). Die Benachrichtigungspflicht entfällt, wenn:

  • der Verantwortliche Vorkehrungen getroffen hat, die Daten Unbefugten unzugänglich zumachen, z.B. durch Verschlüsselung,
  • der Verantwortliche nachträglich Maßnahmen ergriffen hat, durch die das hohe Risiko für die Rechte und Freiheiten der Betroffenen aller Wahrscheinlichkeit nach nicht mehr bestehen,
  • sie einen unverhältnismäßig hohen Aufwand erfordern würde – dann muss allerdings eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen.

6.    Datenschutzbeauftragter
Nach Art. 37 DSGVO haben Unternehmen dann einen betrieblichen Datenschutzbeauftragten benennen, wenn die Kerntätigkeit bzw. die ihres Auftragsverarbeiters

  • aus Verarbeitungsvorgängen besteht, die nach Art, Umfang und/oder Zweck eine systematische Überwachung erfordern
  • die Verarbeitung besonders sensibler Daten nach Art. 9 und 10 DSGVO betrifft.
  • 38 DSAnpUG-EU erweitert die Gründe für die Benennung eines Datenschutzbeauftragten. Sie ist danach auch dann erforderlich, wenn der Verantwortliche oder Auftragsverarbeiter.
  • in der Regel mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt
  • Verarbeitungen vornimmt, die der Datenschutzfolgenabschätzung unterliegen (bei Gesundheitsdaten dürfte das in der Regel der Fall sein)
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Der Datenschutzbeauftragte muss entsprechend beruflich und fachlich qualifiziert sein. Es kann sich um einen Mitarbeiter des datenverarbeitenden Unternehmens handeln, es kann aber auch ein externer Datenschutzbeauftragter eingesetzt werden. Ohne wichtigen Grund gem. § 626 BGB darf er weder abberufen noch gekündigt werden (§ 38 in Verbindung mit § 6 Abs. 4 DSAnpUG-EU).
Nach Art. 38 DSGVO ist der Datenschutzbeauftragte frühzeitig einzubinden, fachlich weisungsfrei und berichtet unmittelbar der höchsten Managementebene. Seine Aufgaben umfassen nach Art. 39 DSGVO die

  • Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters sowie deren Beschäftigten,
  • Überwachung der Einhaltung der rechtlichen Regelungen sowie der Strategien des Verantwortlichen bzw. Auftragsverarbeiters einschließlich der Zuweisung von Zuständigkeiten und die Sensibilisierung und Schulung der relevanten Mitarbeiter
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung gem. Art. 35 DSGVO
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle der Aufsichtsbehörde

Er kann im Unternehmen auch zusätzlich andere Aufgaben wahrnehmen, sofern sichergestellt ist, dass daraus keine Interessenkonflikte erwachsen.

7.    Resüme: Was haben die Unternehmen zu tun?
Die DSGVO erweitert für Unternehmen die aus dem BDSG bekannten Pflichten und erhöht in vielfältiger Weise die rechtlichen, betrieblichen und technisch-organisatorischen Anforderungen an den Datenschutz.
Zu beachten sind insbesondere die neuen und umfassenden Informationspflichten und die Pflicht zur Datenschutz-Folgenabschätzung bei besonderen Risiken für die erhobenen Daten. Für den Auftragsverarbeiter ist insbesondere das „Verzeichnis der Verarbeitungstätigkeiten“ zu beachten. Das DSGVO erweitert außerdem die Gründe für die Benennung eines Datenschutzbeauftragten. Schließlich müssen sich die Unternehmen auf die erweiterten Ansprüche von Betroffenen einstellen.
Vor diesem Hintergrund ist offensichtlich, dass die rechtskonforme Umsetzung der DSGVO eine eingehende Prüfung erfordert. Diese Prüfung kann mit einem beträchtlichen Aufwand verbunden sein. Die Umsetzungsfrist bis Mai 2018 ist kur bemessen. Die Risiken einer mangelhaften Umsetzung sind sehr hoch, nicht zuletzt aufgrund der deutlichen Anhebung der Bußgelder.

8.    Beratung im Einzelfall
Wir raten daher jedem Unternehmer, sich so bald als möglich umfassend durch einen Rechtsanwalt oder externen Datenschutzbeauftragten beraten zu lassen, damit die erforderlichen Maßnahmen ergriffen und neue Prozesse rechtzeitig eingerichtet werden können.
Ich kann Sie aufgrund meiner jahrzehntelangen Erfahrung auf dem Gebiet des Datenschutzes in Unternehmen umfassend und rechtssicher beraten oder Ihnen einen kompetenten Ansprechpartner aus meinem Netzwerk benennen.