Nachgefragt

Was Sie über die Datenschutzverordnung DSGVO wissen müssen

6. Februar 2018

Nachgefragt

Die europäische Datenschutz-Grundverordnung DSGVO tritt am 25 Mai 2018 in Kraft. Sie soll ein einheitliches Datenschutzrecht innerhalb der EU schaffen. Auf Unternehmen kommen weitreichende Änderungen zu, wie Peter Kaumanns, Fachanwalt für IT-Recht der Kanzlei Terhaag & Partner Rechtsanwälte aus Düsseldorf, im Gespräch mit Regel Recht aktuell erklärt.

Am 25. Mai 2018 wird die europäische Datenschutzverordnung DSGVO vollstreckbar. Was heißt das genau?

Die Datenschutz-Grundverordnung ist am 24. Mai 2016 in Kraft getreten. Die Vorschrift regelt das Datenschutzrecht, also den Umgang von Unternehmen mit personenbezogenen Daten, einheitlich europaweit. Sie gilt ab dem 25. Mai 2018 unmittelbar in der gesamten Europäischen Union (EU) und wird die bisherige allgemeine Datenschutz-Richtlinie 95/46/EG ersetzen. Das bedeutet, dass die DSGVO ab 25. Mai 2018 für und in allen Mitgliedsstatten der EU gilt und deren Einhaltung durch die EU- und nationalen Datenschutzaufsichtsbehörden sowie die Gerichte überprüfbar ist.

Kerninhalte der DSGVO

Welches Ziel verfolgt die EU mit der DSGVO und was sind ihre Kerninhalte?

Peter Kaumanns ist Fachanwalt für IT-Recht bei der Kanzlei Terhaag & Partner Rechtsanwälte. Foto: Terhaag & Partner Rechtsanwälte

Erstes und wichtigste Ziel der neuen DSGVO ist es, ein einheitliches Datenschutzrecht innerhalb der EU zu schaffen. Dadurch soll dem Einzelnen mehr Kontrolle über seine Daten eingeräumt werden. Dies wird durch eine Vielzahl von Grundsätzen, Vorgaben und vor allem Umsetzungs- und Kontrollpflichten in der DSGVO versucht zu erreichen.

Die Verarbeitung von personenbezogenen Daten steht unter Erlaubnisvorbehalt, das heißt jegliche Verarbeitung von personenbezogenen Daten ist generell verboten, wenn es die DSGVO oder ein anderes Gesetz nicht explizit erlaubt. Die Verarbeitung personenbezogener Daten muss nach den Grundsätzen Datensparsamkeit, Datenvermeidung und Erforderlichkeit der Zweckbindung erfolgen.

Unternehmen müssen auf Verlangen den Aufsichtsbehörden nachweisen, dass durch sie alle organisatorischen, wie auch technischen, Maßnahmen getroffen worden sind, um dem Datenschutz und seinen Prinzipien zu entsprechen. Maßnahmen, Arbeitsabläufe sowie deren Beschreibung sind dabei offen zu legen und im Vorfeld zu dokumentieren, um diese Rechenschaftspflicht erfüllen zu können.

Die Beschränkung der Verwendung von personenbezogenen Daten auf einen konkreten Zweck Stichwort wird durch die DSGVO explizit geregelt um somit eine Ausufernde Verwendung von Daten einzuschränken, Stichwort Big Data.

Gegenüber den sogenannten Betroffenen gelten bei Datenerhebung erweiterte Informations- und Auskunftspflichten. Dem Betroffenen steht gegebenenfalls ein Recht auf Datenübertragbarkeit zu, um seine Daten von einem Unternehmen zum anderen „mitzunehmen“. Unter bestimmten Voraussetzungen steht Betroffen nun erstmals per Gesetz ein „Recht auf Vergessenwerden“, also ein Recht auf Löschung der eigenen Daten, zu.

Es erfolgt eine massive Anhebung des Strafrahmens bei Verstößen gegen die DSGVO auf 20 Millionen bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Konzerns.

Wird das Bundesdatenschutzgesetz damit ungültig?

Die bisher einschlägigen Regelungen des derzeit geltenden Bundesdatenschutzgesetzes (BDSG-alt) werden durch die DSGVO ersetzt. Da die DSGV eine europäische Verordnung ist, die unmittelbar in allen Mitgliedsstaaten gilt, wird dafür auch kein nationales Umsetzungsgesetzes benötigt. Das BDSG-alt tritt gleichzeitig außer Kraft. Die DSGVO sieht allerdings an einigen Stellen sogenannten Öffnungsklauseln vor. Dabei handelt es sich um die Möglichkeit für nationale Gesetzgeber, die Regelungen der DSGVO an einigen Stellen zu ergänzen und zu konkretisieren. Der deutsche Gesetzgeber setzt dies durch das BDSG-neu um, in dem unter anderem nationale Regelungen der Öffnungsklauseln zur DSGVO umgesetzt sind. So regelt beispielsweise das BDSG-neu strenger als die DSGVO, wann ein betrieblicher Datenschutzbeauftragter zu bestellen ist und setzt somit höhere Standards als die DSGVO fest.

Weitreichende Änderungen für Unternehmen

Was genau ändert sich für Unternehmen durch die DSGVO und welche Auswirkungen wird das haben?

Die DSGVO bringt für Unternehmen höhere Risiken und Mehraufwand mit sich. Unternehmen müssen daher umfassende neue Strukturen und Prozesse schaffen, um die Anforderungen der DSGVO zu erfüllen. Den neuen Anforderungen und Nachweispflichten stehen neben erhöhten Bußgeldern außerdem erweiterte Haftungsrisiken gegenüber. Da sich die umzusetzenden Maßnahmen immer nach dem Einzelfall richten, sollen nachstehend nur einige der wichtigsten genannt werden.

Wie bisher ist zu prüfen, ob ein Unternehmen eines Datenschutzbeauftragten bestellen muss.
Im Gegensatz zu den bisherigen Regelungen wurde die Pflicht zum Führen eines Verarbeitungsverzeichnisses, eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden, erweitert. Neu ist dabei zum Beispiel, dass auch Auftragsdatenverarbeiter ein Verarbeitungsverzeichnis führen müssen.
Es gelten zukünftig genau vorgeschrieben Melde- und Informationspflichten bei Datenpannen. Soweit das Risiko für persönliche Rechte und Freiheiten der Betroffenen wahrscheinlich ist, muss gegenüber der Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden der Verletzung eine schriftliche Meldung unter Angabe weiterer Informationen erfolgen. Außerdem müssen auch die Betroffenen selbst informiert werden, sofern diese Informationspflicht nicht durch einen Ausnahmetatbestand, zum Beispiel einen unverhältnismäßigen Aufwand, entfällt.
Birgt ein Datenverarbeitungsverfahren voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen ist eine sogenannte Datenschutzfolgenabschätzung nach definierten Kriterien durchzuführen und, sofern vorhanden, der Datenschutzbeauftragte des Unternehmens in diesen Prozess einzubeziehen. Eine Datenschutzfolgenabschätzung wird vor allem anstehen aufgrund der Art, des Umfangs, der Umstände sowie der Zwecke der Verarbeitung, zum Beispiel bei Einsatz neuer Technologien.

DSGVO gilt branchenübergreifend

Gilt die Verordnung für alle Unternehmen oder nur für bestimmte Branchen, etwa dem Versandhandel, oder nur für Unternehmen, die direkten Kontakt zu Endkunden haben?

Die DSGVO gilt ausnahmslos für alle Unternehmen und Branchen. Erfasst werden alle Unternehmen mit Sitz in der EU, die eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten.

Nur wenige Ausnahmen gibt es für den öffentlich-rechtlichen Bereich, zum Beispiel die Strafjustiz oder bei ausschließlich persönlichen oder familiären Tätigkeiten einer natürlichen Person.

Wer bisher nach dem Bundesdatenschutzgesetz beispielsweise Online-Newsletter an Kunden verschickte, musste sich vorher deren Einwilligung einholen bzw. die Abonnenten mussten von sich aus den Newsletter abonnieren und bestätigen, dass sie den Newsletter wirklich abonnieren wollen. Was passiert nun mit diesen Einwilligungen? Müssen Unternehmen diese Einwilligungen neu einholen?

Ob vor dem Inkrafttreten der DSGVO abgegebenen Einwilligungserklärungen weiterhin wirksam sind, kann anhand des Erwägungsgrunds 171 zur DSGVO ermittelt werden. Bei den Erwägungsgründen handelt es sich um eine Art Orientierungshilfe, in denen es zu den einzelnen Artikeln der Verordnung zusätzliche Ausführungen gibt. Im Erwägungsgrund 171 ist klargestellt, dass die Einholung einer neuen Einwilligung nicht erforderlich ist, „ wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann“. Somit dürfen Datenverarbeitungen auf eine vor dem Inkrafttreten eingeholte Einwilligung gestützt werden, wenn diese Einwilligung den Bedingungen der DSGVO entspricht.

Im Ergebnis bedeutet dies, dass bisherige Einwilligungen nicht generell unwirksam werden. Für Datenverarbeitungen nach Inkrafttreten der DSGV muss aber überprüft werden, ob die alten Einwilligungen die Anforderungen der DSGVO bereits erfüllt haben. Ist dies nicht der Fall, müssen Unternehmer Ihre Einwilligungen für zukünftige Datenverarbeitungen überarbeiten und gegebenenfalls neu einholen.

DSGVO betrifft auch Datenschutzerklärungen

Wie wirkt sich die DSGVO auf bestehende Datenschutzerklärungen aus?

Die grundsätzliche Pflicht, eine Datenschutzerklärung vorzuhalten, ändert sich durch die DSGVO nicht. Es ändern sich allerdings die inhaltlichen Anforderungen beziehungsweise es ist davon auszugehen, dass die Texte umfangreicher werden. Die mit einer Datenschutzerklärung vermittelten Informationen müssen zukünftig in präziser, transparenter, verständlicher in einer klaren und einfachen Sprache gefasst und in leicht zugänglicher Form vorhanden sein. Eine umfangreiche Auflistung der anzugebenden Informationen findet sich dazu unter anderem in Art. 13 DSGVO. Neu ist dabei zum Beispiel, dass nicht nur Zwecke, sondern auch die Rechtsgrundlagen einer personenbezogenen Datenverarbeitung genannt werden müssen. Beim Einsatz von Cookies muss in der Datenschutzerklärung ein berechtigtes Interesse dargelegt werden. Auch die Darstellung der Rechte der Betroffenen, wird deutlich länger ausfallen, als dies bisher der Fall war.

Was raten Sie Unternehmen, die sich noch nicht mit der DSGVO auseinandergesetzt haben?

Fakt ist, dass die Geltung der DSGVO ab dem 25. Mai 2018 nicht mehr aufzuhalten ist. Da ab diesem Zeitpunkt Prüfungen durch die Datenschutzbehörden, Bußgelder und die Geltendmachung von Betroffenenrechten drohen, wird kein Unternehmer die DSGVO einfach ignorieren können. Bereits jetzt werden in einigen Branchen von den Aufsichtsbehörden Fragebögen an Unternehmers verschickt, um zu erfassen, wie diese die Umsetzung der DSGVO bis zum Stichtag eingeleitet haben. Wer darauf nicht antworten kann, wird sicherlich das Risiko einer Prüfung nach dem Stichtag exorbitant erhöhen.

Unternehmen, denen die Wichtigkeit des Themas DSGVO daher bislang nicht bewusst war, sollten sich daher dringend beraten lassen und im Rahmen einer Soll-Ist-Analyse ermitteln, welche Maßnahmen für die Einhaltung der Regeln der DSGVO kurz- und langfristig durchgeführt werden müssen. Auf Grund des Umfangs der Änderung der Rechtlage, sollte allerdings klar sein, dass die rechtskonforme Umsetzung der DSGVO eine nachhaltige Prüfung und gegebenenfalls einen dementsprechenden Aufwand erfordern wird.

Vielen Dank für das Interview!

Viele Urteile aus dem Arbeitsrecht finden Sie auf der Website der Kanzlei Terhaag & Partner Rechtsanwälte