Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) der EU in Kraft und vereinheitlicht auf einen Schlag das europäische Datenschutzrecht. Die Datenschutzgrundverordnung ist direkt anwendbar und ersetzt in Deutschland das bisherige Bundesdatenschutzgesetz (BDSG) sowie die datenschutzrechtlichen Normen des Telemediengesetzes (TMG). Unternehmen sollten die Relevanz des neuen Datenschutzrechtes nicht unterschätzen und schnellstmöglich ihre Auftragsverarbeitung, Verträge, Formulare und Datenschutzerklärungen an die neuen gesetzlichen Anforderungen anpassen. Für zusätzlichen Druck ist auch dadurch gesorgt, dass die EU mit der Verordnung die Sanktionshöhe für Verstöße deutlich erhöht hat. Bußgelder von bis zu 20 Mio. EUR oder von bis zu 4 % des weltweiten Jahresumsatzes können zukünftig fällig werden. Schon aus Compliance Gründen sollten die neuen Vorgaben der Datenschutzgrundverordnung jedem Unternehmen ein Anliegen sein.

Doch was ändert sich überhaupt?

Auch wenn die anwendbaren Vorschriften durch die DSGVO vollständig ersetzt werden, wird das Datenschutzrecht nicht vollständig umgewälzt. Viele schon bekannte Prinzipien sind auch nach dem Inkrafttreten der DSGVO anwendbar. Dazu gehören etwa das Prinzip der Datensparsamkeit oder das Gebot der zweckgebundenen Nutzung. Daneben wurden allerdings auch viele neue Regelungen geschaffen oder bereits bestehende modifiziert.

Datenschutzrecht

Das Datenschutzrecht ist ein Beratungsschwerpunkt von GKD RECHTSANWÄLTE

Eine grundlegende Neuerung ist u. a. das sogenannte Marktortprinzip, das den territorialen Anwendungsbereich der DSGVO betriff. Die DSGVO gilt danach für alle Unternehmen, die Personen in der EU entgeltlich oder unentgeltlich Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten, unabhängig davon, ob das Unternehmen seinen Sitz oder seine Niederlassung in der EU hat. Ein Ausweichen in datenschutzrechtliche „Oasen“ soll somit nicht mehr möglich sein.

Zusammen mit der DSGVO wird das inzwischen vom deutschen Gesetzgeber verabschiedete Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG-EU) in Kraft treten. Das Gesetz dient zur nationalen Umsetzung der DSGVO und trifft Vorgaben für die Bereiche, die von der DSGVO ausdrücklich den Mitgliedstaaten überlassen wurden, wie z. B. der Beschäftigtendatenschutz.

Welche neuen Rechte haben Betroffene?

Auch die Rechte der Betroffenen wurden durch die DSGVO gestärkt. So wurden insbesondere die Anforderungen an die Einwilligung der Betroffenen in die Nutzung ihrer personenbezogenen Daten im Vergleich zum bisher geltenden BDSG deutlich erhöht.

Erweitert wurde auch das Auskunftsrecht der Betroffenen. Betroffene können zukünftig auch elektronisch Auskünfte und Übermittlung der Daten in elektronischer Form sowie eine Kopie der Daten verlangen.

In Art. 17 der DSGVO wird außerdem erstmals das sog. „Recht auf Vergessenwerden“ gesetzlich geregelt. Danach haben Betroffenen ein Recht auf Löschung der eigenen Daten, wenn die Speicherung der Daten nicht mehr notwendig ist, der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat, die Daten unrechtmäßig verarbeitet wurden oder nach europäischem oder nationalem Recht eine Rechtspflicht zum Löschen der Daten besteht.

Mit der DSGVO kommen auch ein Recht auf Datenübertragbarkeit (Art. 20) sowie ein Recht auf Datenberichtigung neu hinzu. Ersteres räumt den Betroffenen das Recht ein, das Unternehmen anzuweisen, gewisse Daten von einer automatisierten Anwendung auf eine andere Anwendung zu übertragen. Diese sog. Datenportabilität betrifft allerdings nur solche Daten, die der Betroffene dem Unternehmen selbst zur Verfügung gestellt hat, sodass der Zweck der Regelung, dem Betroffenen den Anbieterwechsel zu erleichtern, kaum erreicht werden wird.

Anders als nach dem bisherigen § 6a BDSG, der sog. automatisierte Einzelfallentscheidungen bis auf enge Ausnahmen generell verboten hat, sollen Betroffenen nach Art. 22 DSGVO nun nur noch das Recht haben, einer automatisierte Einzelfallentscheidungen zu widersprechen. Automatisierte Einzelfallentscheidungen sind alle Entscheidungen, die rechtlich relevant oder sonst erheblich einschränkend sind und nicht von einem Menschen getroffen werden. Drunter sind z. B. die automatische Ablehnung eines Online-Kreditantrags, ein Online-Bewerbungsverfahren oder andere Entscheidungen, bei denen persönlichen Daten lediglich elektronisch ausgewertet werden (z. B. beim sog. Profiling), zu verstehen.

Welche neuen Pflichten gibt es für Unternehmen?

Den Unternehmen werden von der Datenschutzgrundverordnung zahlreiche Pflichten auferlegt. So haben Unternehmen u. a. nach Art. 13 und 14 DSGVO gegenüber den Betroffenen umfangreiche Informationspflichten zu erfüllen, die noch über die Pflichten des BDSG hinausgehen. Der Informationsanspruch der Betroffenen ist allerdings ausgeschlossen, wenn der Betroffene bereits über die entsprechenden Informationen verfügt oder die Informationserteilung für die Unternehmen unverhältnismäßig aufwendig oder unmöglich ist. Nachdem den Betroffenen die Daten mitgeteilt wurden, steht ihnen ein weiterer Informationsanspruch zu, wenn die erhobenen Daten berichtigt, gelöscht oder deren Verarbeitung eingeschränkt wurden.

Die Unternehmen haben des Weiteren einen umfassenden technischen und organisatorischen Datenschutz zu gewährleisten (Art. 24, 25 DSGVO). Unternehmen müssen demnach technische und organisatorische Maßnahmen (TOM) treffen, die geeignet sind, den Datenschutz und die Datensicherheit zu gewährleisten. Dabei ist u. a. der Stand der Technik, die Eintrittswahrscheinlichkeit sowie die Auswirkungen auf die persönlichen Rechte und Freiheiten der Betroffenen zu berücksichtigen.

Die Unternehmen haben außerdem die Pflicht, technische Geräte und IT-Anwendungen so einzustellen, dass nur die Daten erhoben werden, die für den Zweck der Verarbeitung notwendig sind (Grundsatz der Datensparsamkeit). Die im erforderlichen Kontrollmaßnahmen werden in der DSGVO (Art. 32) sowie in der DSAnpUG-EU (§§ 64 ff.) beschrieben.

Die Datenschutzgrundverordnung vereinheitlicht schließlich auch die Regeln für die Bestellung des betrieblichen Datenschutzbeauftragten (Art. 37 DSGVO, § 38 DSAnpUG-EU) sowie die Meldepflichten der Unternehmen bei Datenpannen (Art.33 DSGVO).

Was ist die größte Neuerung?

Komplettes Neuland betritt die DSGVO mit der Pflicht für Unternehmen nach Art. 35 DSGVO eine Datenschutzfolgeabschätzung vorzunehmen. Diese Folgenabschätzung ist zukünftig immer dann durchzuführen, wenn ein Datenverarbeitungsverfahren ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt. Die Datenschutzfolgeabschätzung hat unter Einbeziehung des Datenschutzbeauftragten (sofern ein solcher bestellt ist) in drei Stufen zu erfolgen:

Stufe 1:   Besteht ein Risiko für Rechte und Freiheiten von Betroffenen? Wenn ja: Stufe 2
Stufe 2:   Reichen die bestehenden Schutzmaßnahmen aus um den Schutz der Daten zu gewährleisten? Wenn dies nicht zweifelsfrei bejaht werden kann: Stufe 3
Stufe 3:   Einschaltung der zuständigen Aufsichtsbehörde

Was sollten Unternehmen jetzt tun?

Um Sanktionen zu vermeiden und datenschutzrechtliche Konformität zu gewährleisten, sollten Unternehmen bereits jetzt mit der Umsetzung der Vorgaben der Datenschutzgrundverordnung beginnen. Gerade auch weil viele der neuen Pflichten einer komplexen technischen und organisatorischen Umsetzung bedürfen, sollte die Umsetzung nicht auf die lange Bank geschoben werden. Unternehmen sollten außerdem die aktuellen Entwicklungen in Bezug auf die wahrscheinlich gemeinsam mit der DSGVO in Kraft tretenden E-Privacy Verordnung im Auge behalten, aus der sich nach aktuellem Verhandlungsstand massive Veränderungen in Bezug auf die Nutzung von Cookies – insbesondere für deutsche Unternehmen – ergeben werden.

Weiterführende Informationen zur Datenschutzerklärung:

 

Sie haben Fragen?

Gerne beraten wir Sie bei datenschutzrechtlichen Fragen, sowie bei der Umsetzung der kommenden Vorgaben durch die DS-GVO. Ihre Zufriedenheit und rechtliche Sicherheit haben dabei für uns die oberste Priorität!

andreas witt

Dr. Andreas Witt, LL.M. berät bei allen Fragen zur Datenschutzerklärung