Ab dem 25. Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) das derzeit noch gültige Bundesdatenschutzgesetz (BDSG) in Deutschland sowie das Datenschutzgesetz (DSG) 2000 in Österreich ersetzen. Das in der Schweiz geltende DSG wird ebenfalls überarbeitet und an die Vorgaben der DSGVO angepasst, damit auch in Zukunft ein problemloser Datentransfer zwischen EU und Schweiz möglich bleibt.
Im Gegensatz zur bisher gültigen EU-Datenschutz-Richtlinie, auf der das BDSG zum Großteil beruht und die den EU-Mitgliedstaaten viel Gestaltungsraum auf nationaler Ebene gelassen hat, gilt die DSGVO unmittelbar und in allen EU-Mitgliedstaaten gleichermaßen. Dies bedeutet eine erhebliche Vereinfachung für Unternehmen, die sich zumindest innerhalb der EU nicht mehr mit unterschiedlichen Gesetzgebungen auseinandersetzen müssen. Der Anwendungsbereich der Verordnung wird ausgeweitet. Sie betrifft alle Unternehmen, die Daten von EU-Bürgern speichern oder verarbeiten, also auch Firmen, die ihren Sitz nicht in der EU haben.
Allerdings enthält die DSGVO 69 sogenannte „Öffnungsklauseln“, die abweichende nationalstaatliche Regelungen ermöglichen, beziehungsweise in manchen Fällen sogar zwingend vorsehen. Ein Beispiel ist der Arbeitnehmerdatenschutz. Die Grundlage wird in der DSGVO geregelt, die Konkretisierung in Deutschland erfolgt jedoch im Datenschutz-Anpassungs- und Umsetzungsgesetz (BDSG-neu). Ungeachtet dessen sind die meisten Änderungen schon in der DSGVO festgelegt.
DSGVO: Die wesentlichen NeuERUNGEN auf einen Blick
Art. 30 DSGVO Verarbeitungsverzeichnis
Unternehmen müssen alle Verfahren, mit denen sie personenbezogene Daten verarbeiten in einem eigenen Verzeichnis erfassen und diese den Datenschutzaufsichtsbehörden auf Anfrage zur Verfügung stellen.
Art. 35 DSGVO Datenschutz-Folgeabschätzung
Werden Daten mit einem hohen Risiko für die Betroffenen verarbeitet, muss eine sogenannte Datenschutz-Folgeabschätzungen zur Beurteilung der Rechtmäßigkeit durchgeführt werden. Dies betrifft beispielsweise Profiling oder die Videoüberwachung öffentlich zugänglicher Bereiche. Hier besteht allerdings Rechtsunsicherheit. Einerseits riskieren Unternehmen Geldbußen, wenn sie das Verfahren nicht durchführen, andererseits müssen sie das Risiko selbst beurteilen. Die Datenschutzaufsichtsbehörden sind aber verpflichtet, Positiv- und Negativlisten zu erstellen, die die Einschätzung erleichtern.
Art. 5 DSGVO Transparenzpflicht und erweiterte Nachweispflichten
Diese Pflichten sind Teil der „Accountability“, einem neuen, aber wesentlichen Prinzip des Datenschutzrechts. Demnach sind Unternehmen für die Einhaltung der Datenschutzgrundsätze verantwortlich und müssen die Einhaltung auch gegenüber den betroffenen Personen nachweisen können. In Zukunft müssen die Rechtsgrundlagen vor jeder Verarbeitung personenbezogener Daten transparent dargestellt werden. Unternehmen sollten also ihre Verträge und Datenschutzbestimmungen überprüfen und gegebenenfalls aktualisieren.
Art. 17 DSGVO Recht des Betroffenen auf Löschung seiner Daten („Recht auf Vergessenwerden“)
Wenn Daten nicht mehr notwendigerweise benötigt werden, bei Widerspruch gegen die Datenverarbeitung oder wenn Daten unrechtmäßig verarbeitet werden, hat der Kunde einen Anspruch auf Löschung der Daten. Das Recht auf Löschung geht auf ein Urteil des EuGH (Google vs. Spain) zurück und wird in der DSGVO noch einmal betont. Personenbezogene Daten dürfen nicht unbegrenzt lange gespeichert werden. Ausgeweitet wurden die Rechte in Bezug auf personenbezogene Daten, die das verantwortliche Unternehmen öffentlich gemacht hat. Diesbezüglich bestehen dann weitergehende Informationspflichten und Pflichten, weitere Maßnahmen zu treffen.
Art. 13 ff. DSGVO Weitere Rechte des Betroffenen
Betroffene müssen im Detail über jede Datenverarbeitung vorab informiert werden. Ihnen steht das Recht zu, Daten berichtigen zu lassen, Auskunft über die Datenverarbeitung im Unternehmen zu verlangen und Widerspruch einzulegen. Daneben besteht nunmehr das sogenannte Recht auf Datenübertragbarkeit. Es verpflichtet Unternehmen dazu, der betroffenen Person ihre Daten in einem bestimmten Format zu übergeben, wenn diese Daten von der betroffenen Person selbst dem Unternehmen bereitgestellt hat, um damit einen Diensteanbieterwechsel zu ermöglichen.
Art. 33, 34 DSGVO Erweiterte Meldepflichten
Datenschutzverletzungen sind den Aufsichtsbehörden binnen 72 Stunden nach dem Entdecken zu melden, wenn ein Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen besteht. Diese müssen ebenfalls informiert werden. Die bereits bestehende Meldepflicht wird durch die Neuregelung erheblich erweitert.
Art. 5 DSGVO Technische und organisatorische Maßnahmen
Unternehmen sind zur Einführung technischer und organisatorischer Maßnahmen verpflichtet, die die Datensicherheit gewährleisten. Das war schon so im BDSG geregelt. Neu ist jedoch, dass auch Verstöße mit einem hohen Bußgeld bewehrt sind. Auch im österreichischen DSG 2000 war die Verpflichtung geregelt, Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Die Nicht-Einhaltung konnte in bestimmten Fällen mit Geldstrafe geahndet werden.
Weitere wichtige Neuregelungen
- Die Bußgelder werden drastisch erhöht. Bei Verstößen sind jetzt Geldbußen bis zu 20 Mio. EUR oder 4% des Jahresumsatzes fällig. Im BDSG waren bis jetzt „nur“ bis zu 300.000 Euro vorgesehen, Österreich verlangt noch bis zu 25.000 Euro.
- Falls Daten mit einer Einwilligung verarbeitet werden, muss der Betroffene diese eindeutig erklären. Bestehende Einwilligungserklärungen und zugrundeliegende Formulare müssen überarbeitet werden.
- Privacy by Design: Datenschutzfreundliche Voreinstellungen werden Pflicht. Bei der Entwicklung von Produkten sind geeignete technische Maßnahmen vorzusehen, damit die Verarbeitung von Daten den Anforderungen der DSGVO genügt und die Rechte der betroffenen Personen geschützt werden.
- Die Auftragsverarbeitung (bisher Auftragsdatenverarbeitung) wird neu geregelt. Obwohl sich die neuen Vorgaben inhaltlich an § 11 BDSG orientieren, sind einige Unterschiede zu beachten: Wie bisher ist eine vertragliche Regelung erforderlich, die aber nicht mehr ausschließlich schriftlich vorliegen muss, es reicht ein elektronisches Format.
Analog zur bisherigen Rechtslage muss der Auftragsverarbeiter sorgfältig und unter besonderer Berücksichtigung der technischen und organisatorischen Maßnahmen ausgewählt werden. Wie bisher darf der Auftragsverarbeiter die Daten nur auf Weisung des Verantwortlichen verarbeiten. Neu ist, dass eine Datenverarbeitung auch außerhalb der EU stattfinden kann. Grundsätzlich wird auch künftig das auftraggebende Unternehmen und nicht der Auftragsverarbeiter erster Ansprechpartner für Betroffene und für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich sein. Anders als im BDSG, wo gegenüber den Betroffenen nur eine Haftung des Auftraggebers auf Schadensersatz vorgesehen ist, finden sich in der DSGVO insbesondere für Auftragsverarbeiter schärfere Haftungsregeln.
Zwar haften grundsätzlich der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter gegenüber dem Betroffenen gemeinsam, jedoch ist die Haftung des Auftragsverarbeiters auf seine dezidierten Pflichten begrenzt.
Bereits bestehende Verträge müssen daher dahingehend überprüft und bei Bedarf angepasst werden. - Haftung für Datenschutzverstöße
Gemäß der neuen Gesetzeslage werden materielle und immaterielle Schäden aufgrund von Datenschutzverstößen berücksichtigt. Bislang wurden vor allem immaterielle Schadensersatzansprüche von Gerichten sehr zurückhaltend bewertet, die Entwicklung diesbezüglich sollte genau beobachtet werden.
Fazit
Es sind vor allem Arbeitsabläufe und Prozesse sowie Strukturen der Datenverarbeitung anzupassen. Die Schwerpunkte bei der Umsetzung der neuen Vorgaben werden vor allem die Transparenz der Datenverarbeitung sowie deren Dokumentation betreffen.
Zur Standortbestimmung bieten Datenschutzbehörden Checklisten zur DSGVO.
Geschrieben von Florian Zoubek