DeutschlandEuropäische UnionInternational

Die neue EU-Datenschutzgrundverordnung

Bildquelle: www.ec.europa.eu

Ab dem 25. Mai 2018 gilt in der gesamten EU eine neue Datenschutzgrundverordnung (DSGVO). Die meisten von uns haben daher in den letzten Tagen Mitteilungen von ihren Banken, sozialen Netzwerken, und anderen Dienstleistern erhalten, die über entsprechende Änderungen informieren und zu erneuten Zustimmungen auffordern. Zugegeben kein einmaliger Vorgang, und daher vielleicht gleich wieder aus dem Bewusstsein verschwunden. Dieses Mal allerdings geht es um Änderungen, die weitreichenden Konsequenzen für praktisch alle Unternehmen, die innerhalb der EU tätig werden, mit sich bringen. Das gilt auch für die neue ePrivacy-Verordnung der EU (ePVO), die derzeit noch überarbeitet wird.

Die Bedeutung der DSGVO lässt sich bereits am Strafrahmen ablesen. Bei Verstößen kann es richtig teuer werden, selbst kleinere und mittlere Unternehmen (KMU) müssen mit vier- bis fünfstelligen Beträgen rechnen. Während Großkonzerne schon Anpassungen vollzogen haben, scheint der neue Datenschutz bei den meisten KMU noch nicht angekommen zu sein. Das zumindest legt eine repräsentative Forsa-Umfrage nahe, die am 18. April 2018 veröffentlicht wurde.

Der folgende Beitrag möchte daher einen Überblick geben und Handlungsempfehlungen liefern. Er bezieht sich grundsätzlich auf die Situation in der gesamten EU. Sofern den einzelnen Mitgliedstaaten Regelungsspielräume gewährt werden (Öffnungsklauseln), wird die Situation in Deutschland dargestellt. Artikel ohne Gesetzesangabe sind solche der DSGVO.

  1. Anwendungsbereich

Der sachliche Anwendungsbereich (Art. 2) ist eröffnet, sobald personenbezogene Daten verarbeitet werden. Das sind solche, die sich auf eine identifizierte oder identifizierbare Person beziehen. Ganz oder teilweise automatisierte und nicht automatisierte Verarbeitung (Art. 4 Abs. 2) liegt praktisch bei jeder Art von Umgang mit solchen Daten vor.

Der räumliche Anwendungsbereich (Art. 3) ist eröffnet sowohl im Rahmen der Tätigkeit einer Niederlassung innerhalb der EU, als auch sofern Waren und/oder Dienstleistungen einer Niederlassung außerhalb der EU in der EU angeboten werden. Dabei ist es unerheblich, ob die Datenverarbeitung innerhalb der EU erfolgt, und ob sie von der/dem Verantwortlichen oder einen sog. Auftragsverarbeiter (s.u. 4) vorgenommen wird.

Exkurs: Die ePVO dagegen wird auch bei nicht personenbezogenen Daten einschlägig sein. Nach ihrem Inkrafttreten wäre daher auch ihr Anwendungsbereich zu prüfen, bis dahin gilt die Richtlinie 2002/58/EG. In Deutschland sind neben dem neuen Bundesdatenschutzgesetz (BDSG) und den Landesdatenschutzgesetzen auch TMG, TKG und § 7 UWG zu beachten.

  1. Rechtmäßige Verarbeitung

Es gilt ein grundsätzliches Verbot der Verarbeitung, es sei denn bestimmte Bedingungen werden eingehalten (Verbot mit Erlaubnisvorbehalt, abschließend Art. 6). Diese Bedingungen sind entweder die Einwilligung des Betroffenen (Abs. 1a) oder ein zugrunde liegendes Vertragsverhältnis (Abs. 1b) oder die Erfüllung von Verpflichtungen aufgrund anderer Gesetze (Abs. 1c) oder lebenswichtige Interessen (Abs. 1d) oder die Wahrnehmung von Aufgaben im öffentlichen Interesse (Abs. 1e) oder ein Überwiegen berechtigter eigener Interessen (Abs. 1f).

In der Praxis werden vor allem die in den Absätzen 1a und 1f genannten Fälle vorkommen. Eine Einwilligung (Art. 6 Abs. 1a) muss unmissverständlich, freiwillig, informiert und für einen bestimmten Fall abgegeben werden. Notwendig ist außerdem ein Hinweis auf bestehende Widerrufsrechte (Art. 7 Abs. 3). Bei einer Interessenabwägung (Art. 6 Abs. 1f) ist auf die vernünftigen Erwartungen einer betroffenen Person abzustellen.

Ansonsten ist eine Verarbeitung gleich auf welcher Grundlage nur gerechtfertigt, wenn sie sich auf vorab konkret festgelegte und legitime Zwecke (Art. 5 Abs. 1b) bezieht, die entsprechenden Daten richtig/aktuell sind und ihre Speicherung zur Erreichung der jeweiligen Zwecke erforderlich ist. In dieser Hinsicht sind geeignete organisatorische und technische Maßnahmen umzusetzen (Art. 25). Für besondere Kategorien von Daten (Art. 9) gelten darüber hinaus gesteigerte Anforderungen.

Die Einhaltung dieser Bedingungen ist den Aufsichtsbehörden gegenüber jederzeit nachzuweisen (Art. 58). Außerdem bestehen Informationspflichten gegenüber Betroffenen und Dritten (Art. 13, 14; § 29-37 BDSG). Betroffene verfügen über Rechte auf Löschung und Einschränkung (Art. 17, 18) was einen Auskunftsanspruch (Art. 15) voraussetzt. Insofern empfiehlt sich dringend und in jedem Fall das Anlegen eines entsprechenden Verzeichnisses.

  1. Verarbeitungsverzeichnis

Die DSGVO normiert eine Pflicht zur Erstellung eines Verzeichnisses über alle Verarbeitungstätigkeiten (Art. 30). Ausgenommen sind Einrichtungen mit weniger als 250 Mitarbeitern, sofern kein Risiko einer Schutzrechtsbeeinträchtigung besteht, nur eine gelegentliche Verarbeitung erfolgt und keine besonderen Datenkategorien betroffen sind. Wer sich jetzt angesprochen fühlt, sollte zwei Sachen bedenken: Erstens gelten bereits die Lohnabrechnungen für nur einen Mitarbeiter als regelmäßige Verarbeitung. Zweitens wird im Fall einer Prüfung oder gar eines Verstoßes eine Entlastung nur durch entsprechende Dokumentation gelingen. Verarbeitungsverzeichnisse sind nicht öffentlich, müssen aktuell sein, und haben bestimmte inhaltliche Vorgaben zu erfüllen.

  1. Verantwortliche und Auftragsverarbeitung

Als verantwortlich gilt derjenige, der mit personenbezogenen Daten von anderen umgeht und faktisch bestimmt, ob und wie die Daten verarbeitet werden (Art. 4 Nr. 7). Innerhalb eines Unternehmens oder einer anderen Organisation ist also ein Verantwortlicher zu bestimmen, der diese Aufgabe wahrnimmt. Das gilt auch für den Fall, dass die Verarbeitung von externer Seite vorgenommen wird.

Auftragsverarbeiter ist nämlich derjenige, der Daten weisungsgebunden im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8). Sofern keine Weisungsbefugnis vorliegt, handelt es sich nicht um Auftragsverarbeitung (z.B. Steuerberatung). Bei Auswahl und Vertragsgestaltung ist unbedingt Sorgfalt zu empfehlen, denn grundsätzlich haftet der Auftraggeber/Verantwortliche für Fehlverhalten des Auftragsverarbeiters.

Ein Datenschutzbeauftragter (Art. 37-39) ist dagegen nur zu benennen, sofern es zur Kerntätigkeit des jeweiligen Unternehmens gehört, Daten besonderer Kategorien (s.o. 2) zu verarbeiten, oder in umfangreicher Weise regelmäßig und systematisch Personen zu überwachen.

  1. Datensicherheit und Schutzverletzungen

Die Sicherheit der Datenverarbeitung ist in Art. 32 ausdrücklich erwähnt. Demnach sind Informationen vor Unbefugten zu verbergen, dürfen nicht manipulierbar sein und müssen jederzeit genutzt werden können. Insbesondere die Verschlüsselung spielt dabei eine große Rolle, wobei zwischen Email-Servern, Webseiten, Dateien, WLAN-Netzen, mobilen Geräten, etc. zu unterscheiden ist. Bereits im eigenen wirtschaftlichen Interesse sollte IT-Sicherheit daher stets Chefsache sein.

Verletzungen des Schutzes personenbezogener Daten sind der zuständigen Aufsichtsbehörde grundsätzlich unaufgefordert zu melden (Art. 33), ansonsten drohen erhebliche Bußgelder (s.u. 6). Auch Betroffene sind zu informieren, sofern hohe Risiken bestehen und keine geeigneten organisatorischen und technischen Sicherheitsvorkehrungen getroffen wurden (Dokumentation!). Eine Verletzung wird angenommen, sofern Sicherheitsmängel unbeabsichtigt oder unrechtmäßig zu Vernichtung, Verlust, Veränderung oder unbefugter Offenlegung führen.

  1. Behörden, Sanktionen und Haftung

Die zuständigen Aufsichtsbehörden (Art. 51 ff.) sind unabhängig und verfügen nicht nur über weitreichende Befugnisse, sondern ihnen ist auch die Verpflichtung auferlegt, Verantwortliche und Betroffene auf Anfrage zu beraten. Sie können Geldbußen in empfindlicher Höhe verhängen, sofern Verantwortliche ihren zahlreichen gesetzlich normierten Pflichten nicht nachkommen (Art. 83). Darüber hinaus haben Betroffene Anspruch auf Ersatz ihnen entstehender Schäden, die meist immaterieller Natur sein werden (Art. 82).

Exkurs: Die genannten Aufsichtsbehörden werden auch für die Umsetzung der ePVO zuständig sein, mit Blick auf den Haftungsrahmen ergeben sich ebenfalls weitgehende Übereinstimmungen.

     Maßnahmen zur Umsetzung

Die erforderlichen und im Einzelfall sinnvollen Maßnehmen werden für jedes Unternehmen unterschiedlich sein. Die unabhängigen Datenschutzbehörden des Bundes und der Länder empfehlen folgendes:

  • Anpassung der betroffenen Prozesse und Strukturen,
  • Festlegung der Rechtsgrundlagen und des Zwecks der Datenverarbeitung sowie Dokumentation von Interessenabwägungen (sofern erfolgt),
  • Implementierung von Informationspflichten, Betroffenenrechten und Löschkonzepten,
  • Anpassung der Datenschutzorganisation,
  • gegebenenfalls Bestellung eines Datenschutzbeauftragten,
  • Reaktionsmechanismen auf Datenpannen,
  • Organisation von Meldepflichten,
  • Anpassung der Dienstleistungsbeziehungen,
  • Aufbau der Dokumentation,
  • Anpassung der IT-Sicherheit und
  • gegebenenfalls Anpassung der Betriebsvereinbarungen.

 

Der vorliegende Artikel soll nur einen Überblick geben und ersetzt nicht den Rechtsrat im Einzelfall.