Die neue EU Datenschutz-Grundverordnung (EU DS-GVO) verändert die Anforderungen an den betrieblichen Datenschutz massiv!

Auch wenn einige Unternehmen immer noch keine Notiz von ihr genommen haben: Am 24. Mai 2016 ist die neue EU Datenschutz-Grundverordnung in Kraft getreten. Am 24. Mai 2018 lief die Übergangsfrist ab, seither müssen die Unternehmen alle relevanten Anforderungen dieser neuen Verordnung im Betrieb umgesetzt haben. Bei Nichtbeachtung drohen hohe Geldstrafen.

Auf die Unternehmen kommen vor allem umfassende Dokumentationspflichten zu, welche die bisherigen Anforderungen aus dem alten Bundesdatenschutzgesetz weit übersteigen. So stärkt die neue EU DSGVO zum Beispiel die Rechte der betroffenen Person (z. B. des Kunden) bezüglich der Auskunft über seine gespeicherten personenbezogenen Daten, deren Verwendungszweck, Verarbeitung und Weitergabe.

Im Gegensatz zur bisherigen Regelung müssen Kunden nun bereits im Vorfeld ihre Zustimmung zur Speicherung der Daten geben. Bei Zuwiderhandlungen gegen die Bestimmungen der Verordnung drohen dem Unternehmen sehr empfindliche Geldstrafen:

Betrug die maximale Höhe der Strafe bei Verstößen gegen die Vorschriften des BDSG bisher 300.000 Euro, so erhöht sich durch die DSGVO der Rahmen ab Mai 2018 nun auf 10 Millionen Euro oder alternativ auf 2 Prozent des im Vorjahr erzielten weltweiten (Konzern)-Umsatzes. Bei bestimmten Verstößen erhöht sich die Summe sogar auf 20 Millionen Euro bzw. 4 Prozent des Jahresumsatzes, je nachdem, welcher Wert höher ist.

Betrachtung zur betrieblichen Relevanz der EU Datenschutz-Grundverordnung

Nach rund vierjähriger Verhandlungszeit haben sich der Europäische Rat, das Europäische Parlament und die Europäische Kommission am 15. Dezember 2015 über den Inhalt der EU-Datenschutz-Grundverordnung geeinigt. Am 25. Mai 2018 wird die neue Verordnung ihre Wirkung entfalten und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ersetzen.

EU-Verordnung = Anwendungsvorrang vor jedem nationalen Gesetz
(Bedeutung: kein Umsetzungsgesetz im nationalen Recht erforderlich)

Die EU-Datenschutz-Grundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/EG von 1995 ab. Im Unterschied zur Datenschutzrichtlinie gilt die DSGVO unmittelbar in der gesamten Europäischen Union (Art. 288 Abs. 2 AEUV[1]).

Beibehaltung des Verbotsprinzips
Wesentlich für die neue EU-DSGVO ist das Verbotsprinzip, welches festschreibt, dass jede Da­tenverarbeitung, die nicht durch eine Einwilligung legitimiert ist, einer gesetzlichen Erlaubnis bedarf. Es handelt sich um ein sogenanntes Verbot mit Erlaubnisvorbehalt. Damit verbleibt auch zukünftig die Darlegungslast für die Notwendigkeit eines Eingriffs in das Recht auf infor­mationelle Selbstbestimmung bei demjenigen, der diesen Eingriff vornehmen will.

Bisherige Prinzipien bleiben erhalten, werden erweitert und verschärft

Die im bisherigen Datenschutzrecht (BDSG) bereits enthaltenen Prinzipien werden beibehalten und zum Teil erheblich verschärft:

  • Datensparsamkeit (Zweck angemessen, sachlich relevant, auf das notwendige Maß beschränkt, …)
  • Angemessenheit (im Hinblick auf den verfolgten Zweck)
  • Erforderlichkeit
  • Transparenz (Pflicht zur proaktiven Benachrichtigung wie Speicherungsdauer, Auskunfts-, Widerspruchs-, Beschwerde-Recht, Datenübertragbarkeit, Verarbeitungszwecke, Rechtsgrundlage, Herkunft, Empfänger, … )
  • Zweckbindung (Erhebung nur für festgelegte, eindeutige und rechtmäßige Zwecke, ..)
  • Gewährleistung (einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung)
  • Löschungsanspruch („Recht auf Vergessen werden“, Hinweis an Verantwortliche, …)
  • Datensicherheit (Stand der Technik, Sicherheitslevel im Verhältnis zum Risiko angemessen. Dies bedeutet, dass unter Berücksichtigung der technischen und organisatorischen Möglichkeiten, der Kosten und der zweck­bedingten Umstände der Verarbeitung erhobene Daten angemessen geschützt und dem Zugriff unbefugter Dritter entzogen werden).
  • Recht auf Datenübertragbarkeit (Übergabe der Daten in einem üblichen und maschinenlesbaren Datei­format)
  • Widerspruchsrecht (für Zweck des Direktmarketings voraussetzungslos, …)
  • unabhängige Aufsichtsbehörden (ausreichende Finanzmittel, Technik, Personal, …)
  • wirksame Sanktionierung (Nach der Datenschutz-Grundverordnung werden die erweiterten Befugnisse durch eine Ausweitung des Bußgeldrahmens flankiert. So sind für bestimmte Rechtsverstöße Bußgelder bis zu 4 % des Jahresumsatzes eines Unternehmens, beziehungsweise 20 Mio. Euro zulässig, wobei der jeweils höhere Wert gilt.)

Ziel ist die Harmonisierung des Datenschutzes innerhalb der EU

Im Bereich der Wirtschaft führen die Regelungen der neuen Datenschutz-Grundverordnung zu einem höheren Grad an Harmonisierung als dies bisher der Fall ist. Sie sollen für gleiche Wett­bewerbsbedingungen für alle Unternehmen, die Waren und Dienstleistungen auf dem europä­ischen Markt anbieten, sorgen. Ausländische Unternehmen werden nach Inkrafttreten der EU-DSGVO nur dann Zugang zum europäischen Binnenmarkt erhalten, wenn sie sich an die hier geltenden Datenschutz-Regelungen halten.

Was ist neu?

Redaktioneller Hinweis: Die nachfolgenden Informationen sollen einen ersten Überblick geben. Sie dienen nicht dazu, das jeweilige Thema umfassend abzuhandeln.

Marktortprinzip

Dies bedeutet, dass sich der Anwendungsbereich der EU-DSGVO auch auf außereuropäische Unternehmen erstreckt, welche auf dem europäischen Markt tätig sind. Voraussetzung ist lediglich, dass sich ein Angebot an einen bestimmten nationalen Markt in der EU richtet oder dass die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient.

Verfahrensvereinfachung und einheitliche Rechtsanwendung

Die Datenschutz-Grundverordnung strebt eine möglichst einheitliche Rechtsanwendung in der Europäischen Union an.

One-Stop-Shop

Der neu eingeführte „One-Stop-Shop-Mechanismus“ ermöglicht es Unternehmen, die Nieder­lassungen in mehreren EU-Mitgliedstaaten haben und dort Datenverarbeitung betreiben, ein­facher als bisher, ihre datenschutzrechtlichen Angelegenheiten zu klären: Für diese Unterneh­men ist bei grenzüberschreitenden Datenverarbeitungen nur noch die Aufsichtsbehörde an ihrem Hauptsitz zuständig.

Kohärenzverfahren

Dort, wo in One-Stop-Shop-Fällen kein Konsens zwischen federführender und mitbetroffenen Aufsichtsbehörden im Verfahren der Zusammenarbeit erreicht werden kann, normiert das so­genannte Kohärenzverfahren mit der Befugnis des Europäischen Datenschutzausschusses, ver­bindliche Beschlüsse zu treffen, um die ordnungsgemäße und einheitliche Anwendung der Ver­ordnung in Einzelfällen sicherzustellen.

Technischer und organisatorischer Datenschutz
Privacy by Design – Privacy by Default

Mit der Einführung des „Datenschutzes durch Technik und datenschutzfreundliche Vorein­stellungen“ werden ausdrücklich Anforderungen an die Produktentwicklung und Produktim­plementierung gestellt, um eine wirksame Umsetzung dieser Datenschutzgrundsätze zu errei­chen. Der Verantwortliche hat hierfür sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung angemessene technische und orga­nisatorische Maßnahmen (wie z. B. Pseudonymisierung) zu treffen.

Der Verantwortliche muss darüber hinaus sicherstellen, dass Standardeinstellungen darauf ausgerichtet sind, nur personenbezogene Daten zu verarbeiten, die für den konkreten Zweck erforderlich sind. Das betrifft sowohl den Umfang der erhobenen Daten als auch den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.

Rechtliche Einschätzung der Bundesdatenschutzbeauftragten
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff gibt hierzu die folgende Einschätzung ab: „Diese Regelungen werden Ausstrahlungswirkungen auf sämtliche Produkte, Systeme und Prozesse in den Unternehmen haben. Auch wenn sich die Vorschrift unmittelbar nur an die Verantwortlichen richtet, wird sie sich auch mittelbar auf die Entwicklung von IT-Produkten und -Verfahren auswirken!

Auszug aus Artikel 4 EU DSGVO – Begriffsbestimmungen
(7) „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder an­dere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbei­tung von personenbezogenen Daten entscheidet; …

Auszug aus Artikel 82 EU DSGVO – Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder im­materieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortli­chen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsver­arbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er sei­nen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nach­gekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.


[1] Vertrag über die Arbeitsweise der Europäischen Union