Wann erfolgt die vollständige Umsetzung?

Die vollständige Umsetzung der neuen DSGVO hat nach Ablauf der zweijährigen Übergangsfrist zum 25.05.2018 in den gesamten EU-Mitgliedsstaaten zu erfolgen. Die erheblichste Neuerung gilt dem Anwendungsbereich, welcher oppositionell zu der bisherigen Rechtslage massiv expandiert wird.

Was sind die neuen Inhalte und Anwendungsbereiche DSGVO?

Das Datenschutzrecht bezieht sich auf den Umgang personenbezogener Daten. Nach Art.4 Ziff. 1. DSGVO sind personenbezogene Daten alle Informationen, die sich ausschließlich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Nach der neuen Bestimmung werden nunmehr auch natürliche Personen nach Erwägungsgrund Nr.30 unter Umständen durch Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen, zugeordnet. Des Weiteren werden ebenso Personen, deren Daten pseudonymisiert wurden identifizierbar i.S.d Erwägungsgrundes Nr. 26ff.

Nach Art.3 findet die DSGVO Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. Weiterhin findet Sie Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht. Außerdem findet die DSGVO zukünftig auch Anwendung bei Unternehmen, die sich außerhalb der EU niedergelassen haben und sich mit außerhalb der EU Betroffenen Waren oder Dienstleistungen anbieten oder zumindest deren Verhalten beobachten.

Darüber hinaus gewinnt die Technologieneutralität dahingehend Bedeutung, dass nicht mehr zwischen den Online- und Offline-Segmenten differenziert wird. Auf welche Art und Weise der Gesetzgeber das nationale Recht künftig anpassen wird, ist bisher ungeklärt.

Sind die Regelungen in den Mitgliedsstaaten einheitlich?

Prinzipiell gilt der Grundsatz der Vereinheitlichung des Datenschutzrechtes im gesamten Gebiet der EU. Den Mitgliedsstaaten wurde nur unter bestimmten Voraussetzungen ein Gestaltungsspielraum gegeben, um ggf. abweichende Datenschutzregelungen zu treffen, dies gilt primär im Beschäftigungsdatenschutz.

Was ändert sich für Ihr Unternehmen?

Auch in Deutschland bedarf es einer erheblichen Anpassung bezüglich der ablaufenden Prozesse und dem Umgang mit den Daten. Unternehmen unterliegen künftig der Rechenschaftspflicht vgl. Art 5 Abs. 2, Art 24. Sie sind in der Pflicht einen plausiblen Nachweis, welcher die Vereinbarkeit mit der DSGVO belegt, vorzuweisen. Die Nichteinhaltung der Dokumentierung von Daten im Rahmen des gültigen Datenschutzrechtes hat für Ihr Unternehmen enorme wirtschaftliche Folgen.

Wie soll die Datenverarbeitung erfolgen?

Der Umgang mit den Daten ist nur dann zulässig, wenn eine Rechtsgrundlage den Umgang mit den Daten gestattet oder eine Einwilligung des Betroffenen vorhanden ist. Hier kommt das Fortbestehen des Erlaubnisvorbehaltes zur Geltung. Zudem gilt fortlaufend die auch heute bestehende Kollektivvereinbarung bzw. Betriebsvereinbarung als Rechtsgrundlage. Somit können nach Erwägungsgrund 155 spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorgesehen werden.

Welche Erlaubnistatbestände gelten nach der DSGVO?

Die Bestimmungen der bisherigen Erlaubnistatbestände des BDSG sind nicht selten äußerst kompliziert und widersprüchlich. Die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten findet sich künftig im Art. 6 DSGVO wieder.

Damit gelten für Unternehmen folgende Regelungen für den Umgang mit Daten:

  • für Zwecke des Abschlusses oder der Erfüllung von Verträgen oder vorvertraglichen Maßnahmen, Art. 6 Abs. 1 lit. b DSGVO
  • Innerhalb der Erfüllung rechtlicher Verpflichtungen, Art. 6 Abs. 1 lit. c DSGVO; darf die verantwortliche Stelle Daten z.B. nutzen, um Sozialversicherungsabgaben der Beschäftigten abzuführen oder aus steuerrechtlichen Gründen
  • im Rahmen von Interessenabwägungen; ist hier abzuwägen, ob überwiegende Berechtigte Interessen der verantwortlichen Stelle bzw. eines Dritten im Vergleich mit den schutzwürdigen Interessen, Grundrechten oder Grundfreiheiten des Betroffenen vorliegen, Art. 6 Abs. 1 lit. f DSGVO

Darüber hinaus gelten weitere Sondervorschriften wie Art.9, Art.10, Art 22 der DSGVO. Nach Art.9 ist die Verarbeitung personenbezogener Daten, aus denen die z.B. rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung, sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ergibt, untersagt. Art.10 besagt, dass die Verarbeitung der Daten über strafrechtliche Verurteilungen und Straftaten nur unter behördlicher Aufsicht vorgenommen werden dürfen. Zuletzt bestimmt Art. 22, dass der betroffenen Person das Recht eingeräumt wird, einer nicht ausschließlich auf einer automatisierten Verarbeitung (inkl. Profiling) beruhenden Entscheidungen unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Der Gesetzgeber hat zum Teil einen Entscheidungsspielraum bezüglich der Umsetzung der Neuregelungen auf nationaler Ebene daher besteht die Möglichkeit einer Fortgeltung des § 32 BDSG.

Inwiefern wird die Datenverarbeitung gerechtfertigt?

Die Rechtfertigung der Datenverarbeitung erfolgt vor allem nach der Grundlage der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO. Den Unternehmen steht künftig mehr Argumentationsspielraum zu, da die Interessenabwägungen stets subjektiv sind und verschiedene Interpretationen zulassen. . Es ist davon auszugehen, dass neben den Datenschutzaufsichtsbehörden lder EuGH als das für die Beurteilung der DSGVO zuständige Gericht die Auslegung von Art. 6 Abs. 1 lit. f DSGVO konkretisieren wird.

Wie werden kritische Datenverarbeitungen gehandhabt?

Kritische Datenverarbeitungen, wie das Profiling, die massenhafte Verarbeitung sensitiver Daten oder die massenhafte Überwachung des öffentlichen Raums durch Videosysteme, unterliegen einer Folgenabschätzung, die nach Art.35 DSGVO vom Unternehmen durchzuführen ist, wenn die Datenverarbeitung ein erhöhtes Risiko für die Betroffenen nach sich zieht. Nach Art.36 muss in bestimmten Fällen sogar eine Konsultation der Aufsichtsbehörde erfolgen. Auch diese Entscheidung, welche Verarbeitung umfasst werden soll, liegt letztlich bei den Datenschutzaufsichtsbehörden.

Wie findet die Einwilligung als Rechtsgrundlage Anwendung?

Die Einwilligung ist weiterhin als Grundlage für den Umgang mit Daten anerkannt. Die Voraussetzungen ergeben sich aus Art. 7 DSGVO. Im Einzelnen:

  • Nachweis: Unternehmen müssen nachweisen, dass die Einwilligung erteilt wurde. Wie der Nachweis geführt werden soll, ist bisher nicht definiert. Die Dokumentierung von Daten lässt sich jedoch empfehlen, da Sie als Unternehmen aufgrund fehlender Einwilligung ggf haften.
  • Form: Es ist keine spezielle Form der Einwilligung mehr vorgeschrieben. Die Einwilligung muss in verständlicher und leicht zugänglicher erfolgen, dass es von den anderen Sachverhalten deutlich zu unterscheiden ist Erwägungsgrund 42 DSGVO.
  • Opt-In: Das Opt-In, d.h. der Klick mit der Maus auf ein Kästchen, reicht künftig aus, um eine Einwilligung zu erteilen. Der Opt-Out ist grundsätzlich nicht mehr zulässig, so dass voreingestellte Klicks oder reine Widerspruchslösungen nicht mehr zulässig sind vgl. Erwägungsgrund 32 DSGVO.
  • Freiwilligkeit: Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Allerdings wird die Person vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung erfolgen. Kopplungen sind grundsätzlich nicht zulässig, d.h. die Erfüllung eines Vertrages darf nicht von der Einwilligung abhängig gemacht werden, wenn diese nicht für die Erfüllung des Vertrages erforderlich ist. Einwilligungen im Massenverkehr sowie im Beschäftigungsverhältnis zwischen Verbraucher und Unternehmer sind äußerst risikobehaftet. Diese sind aufgrund der Ungleichgewichtigkeit zwischen Betroffenem und Datenverarbeiter unzulässig
  • Inhalt: Für verschiedene Datenverarbeitungen sind verschiedene Einwilligungen einzuholen, damit der Betroffene sich frei entscheiden kann, in was er konkret einwilligt. Dies wird in der Praxis nicht leicht umsetzbar sein, da ggf. eine Vielzahl von Einwilligungen einzuholen ist.

Wie steht es um die Zulässigkeit von Big-Data-Anwendungen?

Das Prinzip der Zweckbindung i.S.d Art. 5 Abs. 1 lit.b , Art.6 IV DSGVO findet weiterhin Anwendung. Personenbezogene Daten müssen festgelegte, eindeutige und legitime Zwecke haben und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Notwendigkeit der Vereinbarkeit wird durch den Schutz i.S.d Art.23 I DSGVO begründet.

Es darf daher nicht für Marketingzwecke oder andere verwendet werden, wenn diese nicht ausdrücklich bei der Erfassung der Daten festgelegt wurden.

Unter bestimmten Kriterien, welche im nachfolgenden aufgezählt werden, ist eine Zweckänderung möglich, allerding nur dann, wenn der neue Zweck mit dem alten vereinbar ist.

  • die Verbindung zwischen den Zwecken
  • der Gesamtkontext, in dem die Daten erhoben wurden
  • die Art der Daten
  • die möglichen Konsequenzen für die Betroffenen
  • die umgesetzten angemessenen technisch-organisatorischen Maßnahmen

Dadurch können Big-Data-Anwendungen, in denen Daten zweckfrei in größeren Mengen zusammengetragen und ausgewertet werden. Eine mögliche Problemstellung ist der offene Interpretationsspielraum der o.g. Inwiefern die Praxis den Zweckbindungsgrundsatz umsetzt bleibt abzuwarten.

Hieraus ergibt sich folgender Handlungsbedarf für die Unternehmen:

  • Überprüfung der Rechtsgrundlagen bestehender Datenverarbeitungen im Unternehmen; ggf. Durchführung der Folgenabschätzung
  • Überprüfung des Umgangs mit pseudonymisierten Daten;
  • Überprüfung und Anpassung von Vertragsvorlagen und Einwilligungserklärungen;
  • Überprüfung der Dokumentation von Einwilligungserklärungen;
  • Überprüfung und Anpassung bestehender Betriebsvereinbarungen unter Berücksichtigung der DSGVO

Datenverarbeitung durch Dienstleister – Weiterhin zulässig?

Eine breite Datenverarbeitung durch externe Dienstleister bzw. ihrer Auftragsdatenverarbeitung ist gem. Art. 28 DSGVO weiterhin zulässig. Die Pflichten der Auftragsverarbeiter, also der Auftragnehmer werden deutlich erweitert. Nicht nur die Durchführung von Maßnahmen zur Datensicherheit gehört zu seinen Aufgaben, sondern nun auch die Pflicht seine Mitarbeiter zur Verschwiegenheit zu verpflichten.

Seine Kooperation mit der zuständigen Aufsichtsbehörde ist für die Erfüllung von Betroffenenrechten notwendig. Nach Art. 28 Abs. 2 DSGV ist die Einschaltung von Subunternehmen nur noch mit vorheriger Einwilligung des Auftraggebers möglich.

Cloud Services

Hier finden sich einige Änderungen für Cloud-Dienste, die meist mit Auftragsdatenverarbeitung ausgestaltet sind wieder. Gegebenenfalls müssen bestehende Verträge angepasst werden. Dies ist begründet durch den Pflichtenkreis von Cloud-Anbietern, sowie der unmittelbaren Zusammenarbeit mit Cloud-Nutzern.

Joint Controllers

Im Einzelfall kann es dazu kommen, dass mehrere Beteiligte einer Ebene für die Verarbeitung personenbezogener Daten verantwortlich sind (= Joint Controllers) , wenn die Zwecke und Mittel der Verarbeitung gemeinsam festgelegt wurden. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten nachkommt (vgl Art.26 Abs. 1 DSGVO). Die wesentlichen Aspekte müssen dem Betroffenen nach Art. 26 Abs. 3 DSGVO zur Verfügung gestellt werden. Die betroffene Person kann ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Hieraus ergibt sich folgender Handlungsbedarf für die Unternehmen:

  • Prüfung und ggf. Nachverhandlung bestehender ADV-Verträge;
  • Sorgfältige Auswahl und Kontrolle des Auftragsverarbeiters anhand neuer Maßstäbe;
  • Vorgänge identifizieren, bei denen eine gemeinsame Verarbeitung vorliegen könnte und ggf. entsprechende Vereinbarungen treffen.

Neue Regelungen im internationalen Datentransfer – Was wird aus Safe Harbor und dem neuen EU-US Privacy Shield?

Die Neuregelungen beziehen sich weiterhin auf die Übermittlung von personenbezogenen Daten aus der EU in außereuropäische Drittstaaten.

Der Gerichtshof der Europäischen Union (EuGH) hat in der Entscheidung 2000/520/EG im Jahre 2015 das Abkommen „Safe Harbor“, welches Regelungen zum Austausch von Daten zwischen den USA und der EU enthielt, für ungültig erklärt. Die persönlichen Daten europäischer Internetnutzer seien in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt. Das Nachfolgeabkommen des Safe Harbor ist der EU-US Privacy Shield. Dieses befindet sich derzeit in der Abstimmung zwischen Kommission, Art. 29 Arbeitsgruppe und den Mitgliedsstaaten und kann vor Zustimmung des Parlaments zu dem entsprechenden Vorschlag der Kommission und Verabschiedung durch den Rat, die frühestens für Juni diesen Jahres erwartet wird, keine Rechtsgrundlage für US-Datenübermittlungen darstellen.

Fehlt ein Angemessenheitsbeschluss der Kommission und sind die Ausnahmetatbestände, wie z.B. Einwilligung des Betroffenen oder Übermittlung zur Erfüllung eines Vertrags nicht einschlägig bedarf es einer geeigneten Garantie zur Legitimierung des Transfers. Zu den Garantien zählen neben Binding Corporate Rules von der Kommission in einem Prüfverfahren auch genehmigte Standarddatenschutzklauseln.

Zunächst dürften die Standardvertragsklauseln für Übermittlungen an Auftragsverarbeiter (Beschluss 2010/87/EU) und für Übermittlungen an verantwortliche Stellen (Entscheidung 2001/497/EG und Entscheidung 2004/915/EG betreffend die Einführung alternativer Standardvertragsklauseln) dargestellt werden.

Außerdem wird die Möglichkeit geboten, von einer Aufsichtsbehörde erlassene Standarddatenschutzklauseln von der Kommission für die allgemeine Verwendung genehmigen zu lassen. Als geeignete Garantien anerkannt werden bei entsprechender Genehmigung zudem auch branchenbezogene Verhaltensregeln und sog. Zertifizierungsmechanismen Alternativ kann sich ein Unternehmen Einzelfall die mit einem Drittland vereinbarten Vertragsklauseln als passende Garantie durch die zuständige Aufsichtsbehörde genehmigen lassen.

Zusammengefasst ergibt sich folgender Handlungsbedarf für die Unternehmen:

  • Überprüfung der Leistungsbeziehungen zu Mitarbeitern, Kunden und Dienstleistern hinsichtlich relevanter Datenübermittlungen in Drittländer und Prüfung der Einhaltung der Voraussetzungen;
  • Prüfung, ob die Erweiterung und die Flexibilisierung der geeigneten Garantien zur Legitimation von internationalen Transfers neue Gestaltungsspielräume eröffnen.

Wie funktioniert Datenschutz im Konzern?

Erleichterungen für Konzerngestaltungen ergeben sich vor allem aus der ausdrücklichen Anerkennung der Position eines gemeinsamen Datenschutzbeauftragten für ein Unternehmen sowie der Vereinfachung der Zuständigkeiten für die Überwachung der Datenschutz-Compliance.

Hieraus ergibt sich folgender Handlungsbedarf für die Unternehmen:

  • Identifizierung der Datenübermittlungen in Drittländer auch bei konzerninternen Leistungsbeziehungen und Verifizierung der rechtlichen Grundlage;
  • Prüfung, ob die Einführung von Binding Corporate Rules eine Alternative zur Legitimierung der Datenübermittlungen und zur Vereinfachung der Abläufe und der vertraglichen Dokumentation darstellt; dies empfiehlt sich insbesondere bei konzerninternen Service-Strukturen;
  • Anpassung der Datenschutz-Compliance Organisation;
  • Zuweisung der Zuständigkeiten und Verantwortlichkeiten entsprechend den Vorgaben der DSGVO.

Wie läuft die DSGVO ab? Und wie wird sie durchgesetzt?

Durch die DSGVO ändern sich behördliche Zuständigkeiten und mögliche Sanktionen im Falle von Datenschutzverstößen.

One-Stop-Shop

Nach Art. 56 Abs. 6 DSGVO ist bei grenzüberschreitender Datenverarbeitung die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Dies bedeutet, dass Unternehmen bei grenzüberschreitenden Datentransfers/ -verarbeitungen künftig nur noch einen Ansprechpartner für die Beurteilung der datenschutzrechtlichen Belange haben werden, auf dessen Aussagen sie sich dann auch verlassen dürfen. Für die Anwendung des Art. 56 Abs. 1 DSGVO bedarf es des Vorliegens dreier Voraussetzungen:

  1. Vorliegen einer grenzüberschreitenden Datenverarbeitung vgl. Art 4 Nr.23 DSGVO
  2. Feststellung der federführenden Aufsichtsbehörde anhand der Haupt-Niederlassung
  3. Ein Verantwortlicher

Zu beachten ist, dass die Anwendbarkeit des Art. 56 Abs. 1 DSGVO seinem Wortlaut nach auf die grenzüberschreitende Datenverarbeitung eines Verantwortlichen oder Auftragsverarbeiters abstellt. Dies sind zunächst mit Sicherheit die Fälle zu sehen, in denen z.B. ein Unternehmen einen europaweit abrufbaren Onlinedienst bereitstellt oder über unselbständige Niederlassungen Daten verarbeiten lässt. Problematischer wird diese Beurteilung allerdings bereits, wenn eine Datenverarbeitung durch mehrere selbständige Niederlassungen erfolgt. Hier stellen einige Stimmen in der Literatur darauf ab, ob die verarbeitenden Niederlassungen Zweck und Mittel der Datenverarbeitung selbst bestimmen und beherrschen können. In diesem Falle dürften sie selbst als Verantwortliche im Sinne der DSGVO zu sehen sein, so dass auch in Fällen der Datenverarbeitung durch Niederlassungen nicht generell der One Stop Shop anwendbar sein dürfte.

Kohärenzverfahren

Konkurrierende Zuständigkeit der Aufsichtsbehörden

Im Falle, dass sich Meinungsverschiedenheiten unter den jeweiligen Aufsichtsbehörden der EU-Mitgliedsstatten im konkreten Fall nicht ausräumen lassen, ist eine verbindliche Entscheidung im durch den Europäischen Datenschutzausschuss (EDSA) im Kohärenzverfahren herbeizuführen (Art.65 DSGVO). Durch das Verfahren wird ein erheblich gesteigerter Druck auf die Aufsichtsbehörde ausgeübt. Aufgabe der EDSA ist es, für eine einheitliche Anwendung innerhalb der EU sicher zu stellen. Zudem löst EDSA die Arbeit der bisherigen Artikel-29-Arbeitsgruppe ab, deren Stellungnahmen bisher nicht verbindlich waren und deren Gesetzescharakter keine höhere Lenkungswirkung hat.

Jedoch bestehe die Möglichkeit, durch Folgen bestimmter Gerichtsentscheidungen andere Rechtsauffassungen zu provozieren, die von der EDSA nicht vertreten werden. Wird ein begründeter Einspruch erhoben, so liegt die verbindliche Entscheidungskompetenz bei der EDSA und nicht bei der Aufsichtsbehörde. Insgesamt ist die Umsetzung von Regelungen zur Zusammenarbeit und die Kohärenz äußerst komplex, aufgrund der bestehenden Föderalstruktur und der mangelnden Existenz einer zentralen Datenaufsicht in Deutschland.

Schärfere Sanktionen und Verbandsklagerecht

Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Hier ist der oben genannte Unternehmensbegriff von Bedeutung: Es gilt der Jahresumsatz des gesamten Konzerns, nicht der der einzelnen juristischen Person.

Die Sanktionen sollen von Datenschutzverstößen abhalten und das Bewusstsein dafür schärfen, dass Verstöße gegen die Verordnung zugleich Verletzungen der Grundrechtecharta der Europäischen Union sind. Gemäß Art 84 DSGVO müssen die Sanktionen wirksam, verhältnismäßig und abschreckend sein. Zur Bemessung der Sanktion gibt es einen Katalog mit Kriterien in Art. 83 Abs. 2 a-k DSGVO.

Darüber hinaus kommen zivilrechtliche (z.B. Schadensersatz) und strafrechtliche Konsequenzen in Betracht. Insbesondere sieht die DSGVO ein Verbandsklagerecht vor. Rechte der Betroffenen können somit künftig z.B. durch Verbraucherschutzverbände geltend gemacht werden, Art. 80 DSGVO.

Sind Datenschutzorganisation im Unternehmen neue Herausforderungen?

Die DSGVO dient zum einen der Verringerung bürokratischer Hürden. Zum anderen soll die Datenschutzorganisation in Unternehmen für Außenstehende sowie Aufsichtsbehörden nachvollziehbarer werden. Dies führt zu folgenden Änderungen:

Betrieblicher Datenschutzbeauftragter

Nach Art. 37 Abs. 1 DSGVO muss bei Unternehmen in der Privatwirtschaft zukünftig ein betrieblicher Datenschutzbeauftragter dann bestellt werden, wenn

  • die Kerntätigkeit als verantwortlichen Stelle oder des Auftragsverarbeiters eine umfangreiche, regelmäßige und systematische Beobachtung der Betroffenen erforderlich machen
  • die Kerntätigkeit der verantwortlichen Stelle die Verarbeitung sensibler Daten umfasst

Es ist bereits jetzt absehbar, dass der deutsche Gesetzgeber von der Befugnis in Art. 37 Abs. 4 DSGVO Gebrauch machen und weitere Fälle vorschreiben wird, in denen zwingend ein Datenschutzbeauftragter zu benennen ist, sodass die bislang geltenden Regelungen fortlaufend gelten.

Es ist zukünftig auch möglich, einen gemeinsamen Datenschutzbeauftragten für eine Unternehmensgruppe bzw. einen Konzern zu ernennen, nach Art. 37 Abs. 2 DSGVO kann eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. Der Konzerndatenschutzbeauftragte, der bislang nicht im deutschen Recht verankert war erhält damit eine eigenständige Funktion.

Neue Dokumentations- und Meldepflichten

Neue Datenverarbeitungsverfahren müssen an die zuständigen Aufsichtsbehörden gemeldet werden. In Deutschland ist diese Meldung entbehrlich, sofern ein betrieblicher Datenschutzbeauftragter bestellt ist. Die DSGVO erhöht die Dokumentations- und Meldepflichten. Deutsche Unternehmen müssen sich insofern erheblich umstellen. Dazu sollten Folgende Punkte beachtet werden:

  • Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. (Artikel 30 DSGVO), die im Wesentlichen den bereits jetzt verpflichtend vorgesehenen Verfahrensverzeichnissen entsprechen.
  • Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten teilweise unter Einbindung der Aufsichtsbehörden (Art. 35 DSGVO), wenn eine Datenverarbeitung ein deutlich erkennbar hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat
  • Erfolgt die Meldung von Datenschutzverletzungen an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.(Art. 33 DSGVO). Auch die Meldung an die Betroffenen unterliegt Fristen. Art. 33, 34 DSGVO sehen bereits eine Meldepflicht bei der „Verletzung des Schutzes personenbezogener Daten“ vor.

Umfasst ist künftig nach Art. 4 Nr. 12 DSGVO z.B. bereits die unbeabsichtigte Offenlegung von Daten gegenüber unbefugten Dritten.

  • Benachrichtigung der von einer Datenschutzverletzung betroffenen Personen (Art. 34 DSGVO), wenn wahrscheinlich ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen besteht.

Datensicherheit

Nach der DSGVO haben sowohl die verantwortliche Stelle als auch der Auftragsverarbeiter die technischen und organisatorischen Maßnahmen zu schaffen, die in Anbetracht des konkreten Risikos ein angemessenes Schutzniveau gewährleisten. Dabei werden Maßnahmen verlangt, die in wesentlichen Teilen bereits nach § 9 BDSG vorausgesetzt werden. Hierzu gehören:

  • Pseudonymisierung und Verschlüsslung personenbezogener Daten;
  • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, mit denen personenbezogene Daten verarbeitet werden;
  • Möglichkeit der raschen Wiederherstellung verlorener Daten nach einem technischen Zwischenfall;
  • Etablierung von Verfahren zum regelmäßigen Monitoring der Wirksamkeit eingerichteter technischer und organisatorischer Maßnahmen.

Die zu treffenden Maßnahmen sind vielmehr danach auszurichten, welche Risiken jeweils in Bezug auf die konkret betroffenen personenbezogenen Daten drohen können. Die DSGVO verlangt eine regelmäßige Kontrolle und einen Nachweis der Umsetzung der Maßnahmen.

Zudem gelten nach der DSGVO höhere Anforderungen für Unternehmen im Hinblick auf Entwicklung und Installation von IT-Systemen. Art. 25 DSGVO erweitert die Vorgaben an technische und organisatorische Maßnahmen und Anforderungen.

Bei Data „protection by design“ sollen Datenschutz und Datensicherheit bereits in der Planung und Entwicklung von IT-Systemen berücksichtigt werden. Es soll vorgebeugt werden, dass die Vorgaben nach dem Datenschutz und Datensicherheit erst nach dem Bereitstellen von IT-Systemen durch teure und zeitaufwendige Zusatzprogrammierungen umgesetzt werden werden. Bereits bei der Herstellung sollten Möglichkeiten wie Deaktivierung von Funktionalitäten, Anonymisierung oder Pseudonymisierung aber auch an Authentisierung und Authentifizierung oder Verschlüsselungen berücksichtigt werden.

Bei Data „protection by default“ sollen IT-Systeme datenschutzfreundlich voreingestellt sein, so dass nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind. Hintergrund dieser Regelung ist, dass viele Nutzer nicht über ausreichende IT Kenntnisse verfügen und somit keine Einstellungen zum Schutz ihrer personenbezogenen Daten vornehmen können. Darüber hinaus muss dem Nutzer Funktionalitäten zur Verfügung gestellt werden, mit denen er seine Privatsphäre schützen kann. Adressat dieser Vorschrift sind nicht nur Verantwortliche sondern auch die Entwickler von IT-Systemen und Produkten.

Insgesamt ergibt sich folgender Handlungsbedarf für die Unternehmen:

  • Prüfung, ob ein Datenschutzbeauftragter bestellt werden muss und ggf. Bestellung, sofern noch nicht erfolgt;
  • Prüfung und Implementierung von Prozessen, die die erweiterten Dokumentations- und Meldepflichten sicherstellen;
  • Prüfung, ob Folgenabschätzungen durchzuführen sind;
  • Prüfung, ob die Systeme die Anforderungen von privacy by design und default umsetzen;
  • Einführung von Prozessen zur Implementierung und regelmäßigen Kontrolle der erforderlichen technisch-organisatorischen Maßnahmen.

Wie soll die Einführung neuer Betroffenenrechte erfolgen?

Es kommen einige neue Rechte für Betroffene kommen hinzu, die seitens der Unternehmen umzusetzen sind,

Hieraus ergibt sich folgender Handlungsbedarf für die Unternehmen:

  • Prüfung, in welchen Fällen unternehmensintern das Recht auf Datenportabilität greift, d.h. welche Systeme und welche personenbezogenen Daten der Betroffenen sind erfasst;
  • Prüfung, welches Datenformat für die Bereitstellung dieser Daten geeignet ist;
  • Prüfung, ob dieses Datenformat „gängig“ im Sinne der DSGVO ist;
  • Überprüfung und Vervollständigung der bereits bestehenden Datenschutzpolicies, Einwilligungserklärungen etc.;
  • Prüfung und Implementierung von Prozessen zur Mitteilung der Informationen (insbesondere bei Zweckänderungen und Erhebungen über Dritte);
  • Dokumentation der berechtigten Interessen und Implementierung von Prozessen im Umgang mit Widersprüchen;
  • Einführung von Prozessen im Umgang mit dem Recht auf Vergessenwerden.

Recht auf Datenportabilität

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln (Art. 20 DSGVO).

Bei der Übermittlung dieser Daten sind üblicherweise technische Hindernisse zu erwarten:

  • Unternehmen arbeiten üblicherweise mit verschiedenen IT-Systemen, aus denen sich nicht ohne weiteres sämtliche bereitgestellten Daten in einem gängigen Datenformat zusammenfassen lassen.
  • Die Umsetzung dieser Anforderung erfordert daher die Umsetzung von entsprechenden technischen Vorkehrungen.

Pflicht zur transparenten Information

Es erfolgt zusätzlich eine Erweiterung der bereits bestehenden Informationspflichten (Art. 12 bis 14 DSGVO). Folgende Ergänzungen wurden hierbei getroffen:

  • Sofern die Rechtsgrundlage auf einer Interessenabwägung beruht, Informationen über die berechtigten Interessen der verantwortlichen Stelle;
  • Die Speicherdauer der personenbezogenen Daten (soweit möglich);
  • Das Bestehen eines Beschwerderechts des Betroffenen gegenüber einer Aufsichtsbehörde;
  • Die Übermittlung von Daten an einen Empfänger mit Sitz in einem Drittland und ob im Hinblick auf dieses Drittland ein sogenannter „Angemessenheitsbeschluss“ der Kommission vorliegt oder ob auf andere Weise ein angemessener Datenschutzstandard gewährleistet wird.

Weitergehendes Widerspruchsrecht der Betroffenen

Die bislang bestehenden Widerspruchsrechte im Umgang mit Daten werden ausgeweitet (Art. 21 DSGVO) Die Betroffene Person hat künftig das Recht, aus bestimmten Gründen nach Art. 6 Abs. 1 lit. f DSGVO, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, Widerspruch einzulegen. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Recht auf Vergessenwerden

Das Recht auf Vergessenwerden ist weitgehend deckungsgleich mit den Löschungsansprüchen nach dem BDSG. Es gibt jedoch auch hier einige Erweiterungen: Hat die verantwortliche Stelle die personenbezogenen Daten öffentlich gemacht so ist die verantwortliche Stelle zukünftig auch verpflichtet, Dritte darüber zu informieren, dass ein Betroffener die Löschung sämtlicher Links zu diesen personenbezogenen Daten und deren Kopien und Replikationen verlangt hat. Wie diese Informationen erfolgen sollen, ist derzeit noch unklar.