EU-Datenschutzgrundverordnung – Das ist neu

Der Weg zur neuen europäischen Datenschutzgrundverordnung (DSGVO) war lang und beschwerlich. Über vier Jahre dauerte der harte Kampf durch das Gesetzgebungsverfahren der Europäischen Union. Nie zuvor hatte ein Verfahren dermaßen viel Zeit in Anspruch genommen. Nie zuvor gab es so viele Anträge und Änderungswünsche (über 4000).
Am 25. Mai 2018 wird die neue europäische Datenschutzgrundverordnung die europäische Datenschutzrichtlinie (EU-DSRL) ablösen. Sie genießt dann auch Anwendungsvorrang gegenüber dem Bundesdatenschutzgesetz (BDSG), wenn bis dahin kein neues mit der DSGVO konformes BDSG in Kraft tritt (derzeit als ABDSG in der Diskussion). Durch die DSGVO soll ein einheitlicher europäischer Datenschutzrahmen geschaffen werden. Nachdem die DSGVO am 25.05.2016 in Kraft trat bleibt den nationalen Gesetzgebern nun eine zweijährige Übergangsphase. In diesem Zeitraum müssen die nationalen Gesetzgeber ihre Rechtsordnung an die neue Verordnung anpassen.

Was genau ändert sich durch die neue Verordnung für Unternehmen?

Härtere Sanktionen & Unschuldsbeweis (Art. 83 Abs. 6 DSGVO): Bei Datenschutzverstößen müssen Unternehmen künftig bis zu 20 Millionen Euro oder vier Prozent ihres Jahresumsatzes als Strafe zahlen. Im Rahmen der neuen Beweislastumkehr müssen künftig Unternehmen nachweisen, dass sie die Regeln eingehalten haben. Bisher mussten die zuständigen Behörden die Verstöße nachweisen.

Marktortprinzip (Art. 3 DSGVO): Das Datenschutzrecht gilt nun für alle Unternehmen, die auf dem europäischen Markt agieren und zwar unabhängig davon, ob ein Unternehmen seinen Sitz in der EU hat oder wo die Datenverarbeitung stattfindet. D.h. unter die Datenschutzgrundverordnung fallen nun auch Unternehmen ohne Sitz in der EU, die aber in die EU Waren oder Dienstleistungen liefern.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Nutzer können laut Verordnung ihre persönlichen Daten wie Fotos, Videos, persönliche Nachrichten und Freundeslisten von einem Dienstleister, wie etwa Facebook, zu einem anderen Netzwerk mitnehmen. Allerdings ist noch unklar, wie dies in der Praxis genau umgesetzt werden soll.

Recht auf Vergessenwerden (Art. 17 DSGVO): Unternehmen müssen personenbezogene Daten auf Wunsch der Betroffenen löschen. Diese Regelung geht maßgeblich auf ein Urteil des Europäischen Gerichtshofs zurück, welches Google die Pflicht auferlegte, auf Verlangen von Nutzern ihre Privatsphäre verletzende Suchergebnisse zu löschen.

Einwilligung (Art. 7 DSGVO): Unternehmen, die personenbezogene Daten verarbeiten, müssen dazu eine ausdrückliche Zustimmung von ihren Kunden einholen. Die Verordnung stellt nun klar, dass es keine vermutete Einwilligung geben kann und es nicht die Aufgabe der Nutzer ist, voreingestellte Haken aus Kästchen zu entfernen. Eine Zustimmung kann nur durch eine klare zustimmende Handlung erteilt werden. Diese muss freiwillig sein, das bedeutet ein Vertrag darf nicht an die Verarbeitung von Daten gebunden sein, die mit der erbrachten Leistung oder dem Produkt nichts zu tun haben (Kopplungsverbot). Die Kunden müssen jederzeit Einsicht in ihre Daten erhalten können und ihre Einwilligung jederzeit wiederrufen können.

Mindestalter für eine wirksame Einwilligung (Art. 8 DSGVO): Das Mindestalter für eine wirksame Einwilligung in eine Datenverarbeitung ohne Zustimmung der Eltern, also z.B. für die Anmeldung auf Webseiten wie Facebook, wurde grundsätzlich auf 16 Jahre angehoben. Die Mitgliedsstaaten können diese Grenze jedoch bis auf 13 Jahre herabsetzen.

Datenschutzprinzipien: Bisherige, im Bundesdatenschutzgesetz (BDSG) weniger stark ausgeprägte Prinzipien wie der Grundsatz der Zweckbindung oder der Datensparsamkeit, werden gestärkt; einige Prinzipien werden neu eingeführt. Dazu zählen:

Grundsatz des Privacy by Design (Art. 25 Abs.1 DSGVO): Privacy by Design bedeutet, dass Datenschutzprobleme schon bei der Entwicklung neuer Technologien festgestellt und geprüft werden sollen. Datenschutz und Privatsphäre sind von vorneherein in die Gesamtkonzeption und Entwicklung einzubeziehen, anstatt Datenschutzprobleme im Nachhinein mühsam und mit viel Zeitaufwand durch Korrekturentwicklungen zu beheben.

Grundsatz des Privacy by Default (Art. 25 Abs.2 DSGVO): Online-Dienste (z. B. Browser) müssen die datenschutzfreundlichsten Voreinstellungen enthalten. Personenbezogene Daten sollen demnach nur dann verarbeitet werden, wenn dies für den Zweck erforderlich ist. Die Voreinstellungen sollen es dem Nutzer ermöglichen zu entscheiden, ob er Dritten den Zugriff auf seine personenbezogenen Daten ermöglichen will.

Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs.1 lit. f DSGVO): Unbefugte sollen keinen Zugang zu personenbezogenen Daten haben. Ihnen muss die Nutzung dieser Daten bzw. Geräte verwehrt bleiben. § 32 DSGVO schreibt dafür technische Sicherheitsmaßnahen vor.

Grundsatz der Transparenz (Art. 5 Abs. 1 lit. A, 3.Fall DSGVO): Der Transparenzgrundsatz ist durch die Informationspflichten in Art. 13 und 14 DSGVO näher ausgestaltet. Es ist nun erforderlich, neben Kontaktdaten des Verantwortlichen (also des die personenbezogenen Daten verarbeitenden Unternehmens) auch die Kontaktdaten des Datenschutzbeauftragten in der Datenschutzerklärung anzugeben. Außerdem müssen die Betroffenen nun zusätzlich auf ihre Rechte (insbesondere auf Zugang, Berichtigung, Sperrung, Beschwerderecht bei der Aufsichtsbehördeusw.) hingewiesen werden. Ferner muss der Datenverarbeitende das berechtigte Interesse zur Datenverarbeitung angeben, sofern er sich auf ein solches stützt. Zudem muss die Herkunft der Daten und die Speicherdauer oder die Kriterien nach denen sich diese bestimmt, angegeben werden.

Technische und organisatorische Maßnahmen (Art. 32 DSGVO): Die Auflistung von verpflichtenden Maßnahmen nach § 32 Abs. 1 DSGVO unterscheidet sich deutlich von der Anlage zu § 9 BDSG. Neu ist die Pseudonymisierungspflicht. Diese soll Daten im Missbrauchs -und Verlustfall schützen. Art. 32 Abs.1 DSGVO enthält darüber hinaus die Pflicht zur Datensicherung um Daten vor Verlust zu schützen. Außerdem besteht für den Verantwortlichen die Verpflichtung, die Datensicherheit regelmäßig zu überprüfen und zu evaluieren. Nicht in Art. 32 DSGVO aufgenommen wurden die Pflichten zur Eingabe- und Auftragskontrolle sowie das Trennungsgebot (aus Anlage 1 Satz 1 Nr. 5, 6 und 8 zu § 9 BDSG).

Datenschutzbeauftragter (Art. 39 DSGVO): Den Datenschutzbeauftragten wird es jetzt EU-weit geben. Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt werden. Den Schwellenwert aus dem BDSG, nach dem Unternehmen mit mehr als neun Beschäftigten einen Datenschutzbeauftragten bestellen müssen, gibt es in der Datenschutzgrundverodnung zwar nicht mehr, allerdings existiert eine Öffnungsklausel für nationale Regelungen. Für Deutschland wird davon ausgegangen, dass der Gesetzgeber über diese Öffnungsklausel die bisherige Rechtslage beibehält.

Auftragsdatenverarbeitung (ADV) (Art. 28 ff. DSGVO): Zukünftig werden sowohl Auftraggeber als auch Auftragnehmer für die Datenverarbeitung gleichermaßen verantwortlich sein. Bisher war nach dem BDSG nur der Auftraggeber verantwortlich. Auch für eventuell verhängte Bußgelder können beide herangezogen werden. Der ADV-Vertrag kann nun auch elektronisch gefasst werden, während im BDSG die Schriftform zwingend vorgeschrieben ist.

Vereinfachte Beschwerden (Art. 77 DSGVO): Um wirksam Klage gegen Facebook einzulegen, musste sich der Österreicher Max Schrems noch an die Datenschutzbehörde in Irland sowie an die irischen Gerichte wenden, weil das Unternehmen dort seine europäische Niederlassung hat. In Anlehnung an diesen Rechtsstreit wird es nach der neuen Verordnung zukünftig möglich sein, bei der Datenschutzbehörde des eigenen Landes Beschwerde einzureichen, ungeachtet des Konzernsitzes des Unternehmens. Auch Verbände dürfen in Zukunft im Auftrag von Verbrauchern klagen.

Einheitliche Rechtsdurchsetzung (Art. 58 DSGVO): Durch einen europäischen Datenschutzausschuss, der sich aus Mitglieder der nationalen Aufsichtsbehörden zusammensetzt, soll die einheitliche Anwendung des Datenschutzrechts sichergestellt werden. Die Unabhängigkeit der Datenschutzbehörden bleibt gewahrt.

Meldepflichten (Art. 33 Abs. 1 DSGVO): Eine wichtige Änderung betrifft auch die Meldepflicht der Unternehmen im Falle einer Datenpanne. Diese Pflicht wurde durch die neue Verordnung ausgeweitet. Sie gilt nun unabhängig von den betroffenen Daten. Zudem gibt es konkrete Meldefristen. So ist künftig grundsätzlich jede Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung und nach Möglichkeit binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Die Pflicht entfällt aber unter bestimmten Ausnahmen, wie etwa wenn es unwahrscheinlich ist, dass die Verletzung zu einem Risiko für die Rechte und Freiheiten von Personen führt. Zudem wird eine Dokumentationspflicht für Unternehmen gegenüber der Aufsichtsbehörde zur Überprüfung der Meldepflicht bestehen. Unternehmen werden demnach alle etwaigen Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen dokumentieren müssen.

Datenweitergabe an Drittstaaten (Art. 44 ff. DSGVO): Firmen sollen Daten nicht direkt an Behörden in Drittstaaten weitergeben dürfen. Dies ist nur erlaubt auf der Grundlage von Rechtshilfeabkommen oder ähnlicher, auf EU-Recht basierender Regeln. Auch außerhalb der EU müssen Bürgerinnen und Bürgern, deren Daten weitergeleitet werden, gleiche Rechte zustehen, einschließlich der Klagemöglichkeit im Drittstaat.((Die Datenschutzgrundverordnung können Sie hier im Wortlaut nachlesen.))

Empfehlungen für Unternehmen

Die Pflichten für Unternehmen nach der DSGVO werden noch umfangreicher (Melde-, Dokumentations-, Schulungspflichten). Unternehmen sollten ihre Prozesse in den nächsten zwei Jahren an die neuen Regelungen anpassen. Zusätzlich sieht die DSGVO auch schärfere Sanktionen für Unternehmen vor. Die Bußgelder können bis zu 4% des Jahresumsatzes oder bis zu 20 Millionen betragen, je nachdem welcher Betrag höher ist. Dies stellt eine erhebliche Verschärfung des bisherigen Bußgeldrahmens von maximal 300.000 Euro dar.

Die Anpassung bedeutet zunächst, dass interne Abläufe evaluiert werden müssen, um spätere Empfehlungen leichter umsetzen zu können: Welche Daten werden erhoben? Wie werden diese verarbeitet? Wird dies dokumentiert? Außerdem sollten Mitarbeiter entsprechend geschult werden.

Ohne professionelle Beratung wird es für Unternehmen schwierig ihre internen Prozesse an die neue Rechtslage anzupassen. Wir unterstützen Ihr Unternehmen gern bei der Umstellung auf die neue Datenschutzgrundverordnung.

 

Wenn Sie Fragen haben und Hilfe benötigen, kontaktieren Sie uns.

Der richtige Weg zum Beratungsgespräch

Schreibe einen Kommentar