Richtlinien im Datenschutzrecht - die EU-Datenschutzgrundverordnung und ihre Folgen

Wann erfolgt die vollst├Ąndige Umsetzung?

Die vollst├Ąndige Umsetzung der neuen DSGVO hat nach Ablauf der zweij├Ąhrigen ├ťbergangsfrist zum 25.05.2018 in den gesamten EU-Mitgliedsstaaten zu erfolgen. Die erheblichste Neuerung gilt dem Anwendungsbereich, welcher oppositionell zu der bisherigen Rechtslage massiv expandiert wird.

Was sind die neuen Inhalte und Anwendungsbereiche DSGVO?

Das Datenschutzrecht bezieht sich auf den Umgang personenbezogener Daten. Nach Art.4 Ziff. 1. DSGVO sind personenbezogene Daten alle Informationen, die sich ausschlie├člich auf eine identifizierte oder identifizierbare nat├╝rliche Person beziehen. Als identifizierbar wird eine nat├╝rliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identit├Ąt dieser nat├╝rlichen Person sind.

Nach der neuen Bestimmung werden nunmehr auch nat├╝rliche Personen nach Erw├Ągungsgrund Nr.30 unter Umst├Ąnden durch Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Ger├Ąt oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen, zugeordnet. Des Weiteren werden ebenso Personen, deren Daten pseudonymisiert wurden identifizierbar i.S.d Erw├Ągungsgrundes Nr. 26ff.

Nach Art.3 findet die DSGVO Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der T├Ątigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabh├Ąngig davon, ob die Verarbeitung in der Union stattfindet. Weiterhin findet Sie Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht. Au├čerdem findet die DSGVO zuk├╝nftig auch Anwendung bei Unternehmen, die sich au├čerhalb der EU niedergelassen haben und sich mit au├čerhalb der EU Betroffenen Waren oder Dienstleistungen anbieten oder zumindest deren Verhalten beobachten.

Dar├╝ber hinaus gewinnt die Technologieneutralit├Ąt dahingehend Bedeutung, dass nicht mehr zwischen den Online- und Offline-Segmenten differenziert wird. Auf welche Art und Weise der Gesetzgeber das nationale Recht k├╝nftig anpassen wird, ist bisher ungekl├Ąrt.

Sind die Regelungen in den Mitgliedsstaaten einheitlich?

Prinzipiell gilt der Grundsatz der Vereinheitlichung des Datenschutzrechtes im gesamten Gebiet der EU. Den Mitgliedsstaaten wurde nur unter bestimmten Voraussetzungen ein Gestaltungsspielraum gegeben, um ggf. abweichende Datenschutzregelungen zu treffen, dies gilt prim├Ąr im Besch├Ąftigungsdatenschutz.

Was ├Ąndert sich f├╝r Ihr Unternehmen?

Auch in Deutschland bedarf es einer erheblichen Anpassung bez├╝glich der ablaufenden Prozesse und dem Umgang mit den Daten. Unternehmen unterliegen k├╝nftig der Rechenschaftspflicht vgl. Art 5 Abs. 2, Art 24. Sie sind in der Pflicht einen plausiblen Nachweis, welcher die Vereinbarkeit mit der DSGVO belegt, vorzuweisen. Die Nichteinhaltung der Dokumentierung von Daten im Rahmen des g├╝ltigen Datenschutzrechtes hat f├╝r Ihr Unternehmen enorme wirtschaftliche Folgen.

Wie soll die Datenverarbeitung erfolgen?

Der Umgang mit den Daten ist nur dann zul├Ąssig, wenn eine Rechtsgrundlage den Umgang mit den Daten gestattet oder eine Einwilligung des Betroffenen vorhanden ist. Hier kommt das Fortbestehen des Erlaubnisvorbehaltes zur Geltung. Zudem gilt fortlaufend die auch heute bestehende Kollektivvereinbarung bzw. Betriebsvereinbarung als Rechtsgrundlage. Somit k├Ânnen nach Erw├Ągungsgrund 155 spezifische Vorschriften f├╝r die Verarbeitung personenbezogener Besch├Ąftigtendaten im Besch├Ąftigungskontext vorgesehen werden.

Welche Erlaubnistatbest├Ąnde gelten nach der DSGVO?

Die Bestimmungen der bisherigen Erlaubnistatbest├Ąnde des BDSG sind nicht selten ├Ąu├čerst kompliziert und widerspr├╝chlich. Die Rechtm├Ą├čigkeit der Verarbeitung von personenbezogenen Daten findet sich k├╝nftig im Art. 6 DSGVO wieder.

Damit gelten f├╝r Unternehmen folgende Regelungen f├╝r den Umgang mit Daten:

  • f├╝r Zwecke des Abschlusses oder der Erf├╝llung von Vertr├Ągen oder vorvertraglichen Ma├čnahmen, Art. 6 Abs. 1 lit. b DSGVO
  • Innerhalb der Erf├╝llung rechtlicher Verpflichtungen, Art. 6 Abs. 1 lit. c DSGVO; darf die verantwortliche Stelle Daten z.B. nutzen, um Sozialversicherungsabgaben der Besch├Ąftigten abzuf├╝hren oder aus steuerrechtlichen Gr├╝nden
  • im Rahmen von Interessenabw├Ągungen; ist hier abzuw├Ągen, ob ├╝berwiegende Berechtigte Interessen der verantwortlichen Stelle bzw. eines Dritten im Vergleich mit den schutzw├╝rdigen Interessen, Grundrechten oder Grundfreiheiten des Betroffenen vorliegen, Art. 6 Abs. 1 lit. f DSGVO

Dar├╝ber hinaus gelten weitere Sondervorschriften wie Art.9, Art.10, Art 22 der DSGVO. Nach Art.9 ist die Verarbeitung personenbezogener Daten, aus denen die z.B. rassische und ethnische Herkunft, politische Meinung, religi├Âse oder weltanschauliche ├ťberzeugung, sowie Daten zum Sexualleben oder der sexuellen Orientierung einer nat├╝rlichen Person ergibt, untersagt. Art.10 besagt, dass die Verarbeitung der Daten ├╝ber strafrechtliche Verurteilungen und Straftaten nur unter beh├Ârdlicher Aufsicht vorgenommen werden d├╝rfen. Zuletzt bestimmt Art. 22, dass der betroffenen Person das Recht einger├Ąumt wird, einer nicht ausschlie├člich auf einer automatisierten Verarbeitung (inkl. Profiling) beruhenden Entscheidungen unterworfen zu werden, die ihr gegen├╝ber rechtliche Wirkung entfaltet oder sie in ├Ąhnlicher Weise erheblich beeintr├Ąchtigt.

Der Gesetzgeber hat zum Teil einen Entscheidungsspielraum bez├╝glich der Umsetzung der Neuregelungen auf nationaler Ebene daher besteht die M├Âglichkeit einer Fortgeltung des ┬ž 32 BDSG.

Inwiefern wird die Datenverarbeitung gerechtfertigt?

Die Rechtfertigung der Datenverarbeitung erfolgt vor allem nach der Grundlage der Interessenabw├Ągung nach Art. 6 Abs. 1 lit. f DSGVO. Den Unternehmen steht k├╝nftig mehr Argumentationsspielraum zu, da die Interessenabw├Ągungen stets subjektiv sind und verschiedene Interpretationen zulassen. . Es ist davon auszugehen, dass neben den Datenschutzaufsichtsbeh├Ârden lder EuGH als das f├╝r die Beurteilung der DSGVO zust├Ąndige Gericht die Auslegung von Art. 6 Abs. 1 lit. f DSGVO konkretisieren wird.

Wie werden kritische Datenverarbeitungen gehandhabt?

Kritische Datenverarbeitungen, wie das Profiling, die massenhafte Verarbeitung sensitiver Daten oder die massenhafte ├ťberwachung des ├Âffentlichen Raums durch Videosysteme, unterliegen einer Folgenabsch├Ątzung, die nach Art.35 DSGVO vom Unternehmen durchzuf├╝hren ist, wenn die Datenverarbeitung ein erh├Âhtes Risiko f├╝r die Betroffenen nach sich zieht. Nach Art.36 muss in bestimmten F├Ąllen sogar eine Konsultation der Aufsichtsbeh├Ârde erfolgen. Auch diese Entscheidung, welche Verarbeitung umfasst werden soll, liegt letztlich bei den Datenschutzaufsichtsbeh├Ârden.

Wie findet die Einwilligung als Rechtsgrundlage Anwendung?

Die Einwilligung ist weiterhin als Grundlage f├╝r den Umgang mit Daten anerkannt. Die Voraussetzungen ergeben sich aus Art. 7 DSGVO. Im Einzelnen:

  • Nachweis: Unternehmen m├╝ssen nachweisen, dass die Einwilligung erteilt wurde. Wie der Nachweis gef├╝hrt werden soll, ist bisher nicht definiert. Die Dokumentierung von Daten l├Ąsst sich jedoch empfehlen, da Sie als Unternehmen aufgrund fehlender Einwilligung ggf haften.
  • Form: Es ist keine spezielle Form der Einwilligung mehr vorgeschrieben. Die Einwilligung muss in verst├Ąndlicher und leicht zug├Ąnglicher erfolgen, dass es von den anderen Sachverhalten deutlich zu unterscheiden ist Erw├Ągungsgrund 42 DSGVO.
  • Opt-In: Das Opt-In, d.h. der Klick mit der Maus auf ein K├Ąstchen, reicht k├╝nftig aus, um eine Einwilligung zu erteilen. Der Opt-Out ist grunds├Ątzlich nicht mehr zul├Ąssig, so dass voreingestellte Klicks oder reine Widerspruchsl├Âsungen nicht mehr zul├Ąssig sind vgl. Erw├Ągungsgrund 32 DSGVO.
  • Freiwilligkeit: Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Allerdings wird die Person vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung erfolgen. Kopplungen sind grunds├Ątzlich nicht zul├Ąssig, d.h. die Erf├╝llung eines Vertrages darf nicht von der Einwilligung abh├Ąngig gemacht werden, wenn diese nicht f├╝r die Erf├╝llung des Vertrages erforderlich ist. Einwilligungen im Massenverkehr sowie im Besch├Ąftigungsverh├Ąltnis zwischen Verbraucher und Unternehmer sind ├Ąu├čerst risikobehaftet. Diese sind aufgrund der Ungleichgewichtigkeit zwischen Betroffenem und Datenverarbeiter unzul├Ąssig
  • Inhalt: F├╝r verschiedene Datenverarbeitungen sind verschiedene Einwilligungen einzuholen, damit der Betroffene sich frei entscheiden kann, in was er konkret einwilligt. Dies wird in der Praxis nicht leicht umsetzbar sein, da ggf. eine Vielzahl von Einwilligungen einzuholen ist.

Wie steht es um die Zul├Ąssigkeit von Big-Data-Anwendungen?

Das Prinzip der Zweckbindung i.S.d Art. 5 Abs. 1 lit.b , Art.6 IV DSGVO findet weiterhin Anwendung. Personenbezogene Daten m├╝ssen festgelegte, eindeutige und legitime Zwecke haben und d├╝rfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Notwendigkeit der Vereinbarkeit wird durch den Schutz i.S.d Art.23 I DSGVO begr├╝ndet.

Es darf daher nicht f├╝r Marketingzwecke oder andere verwendet werden, wenn diese nicht ausdr├╝cklich bei der Erfassung der Daten festgelegt wurden.

Unter bestimmten Kriterien, welche im nachfolgenden aufgez├Ąhlt werden, ist eine Zweck├Ąnderung m├Âglich, allerding nur dann, wenn der neue Zweck mit dem alten vereinbar ist.

  • die Verbindung zwischen den Zwecken
  • der Gesamtkontext, in dem die Daten erhoben wurden
  • die Art der Daten
  • die m├Âglichen Konsequenzen f├╝r die Betroffenen
  • die umgesetzten angemessenen technisch-organisatorischen Ma├čnahmen

Dadurch k├Ânnen Big-Data-Anwendungen, in denen Daten zweckfrei in gr├Â├čeren Mengen zusammengetragen und ausgewertet werden. Eine m├Âgliche Problemstellung ist der offene Interpretationsspielraum der o.g. Inwiefern die Praxis den Zweckbindungsgrundsatz umsetzt bleibt abzuwarten.

Hieraus ergibt sich folgender Handlungsbedarf f├╝r die Unternehmen:

  • ├ťberpr├╝fung der Rechtsgrundlagen bestehender Datenverarbeitungen im Unternehmen; ggf. Durchf├╝hrung der Folgenabsch├Ątzung
  • ├ťberpr├╝fung des Umgangs mit pseudonymisierten Daten;
  • ├ťberpr├╝fung und Anpassung von Vertragsvorlagen und Einwilligungserkl├Ąrungen;
  • ├ťberpr├╝fung der Dokumentation von Einwilligungserkl├Ąrungen;
  • ├ťberpr├╝fung und Anpassung bestehender Betriebsvereinbarungen unter Ber├╝cksichtigung der DSGVO

Datenverarbeitung durch Dienstleister ÔÇô Weiterhin zul├Ąssig?

Eine breite Datenverarbeitung durch externe Dienstleister bzw. ihrer Auftragsdatenverarbeitung ist gem. Art. 28 DSGVO weiterhin zul├Ąssig. Die Pflichten der Auftragsverarbeiter, also der Auftragnehmer werden deutlich erweitert. Nicht nur die Durchf├╝hrung von Ma├čnahmen zur Datensicherheit geh├Ârt zu seinen Aufgaben, sondern nun auch die Pflicht seine Mitarbeiter zur Verschwiegenheit zu verpflichten.

Seine Kooperation mit der zust├Ąndigen Aufsichtsbeh├Ârde ist f├╝r die Erf├╝llung von Betroffenenrechten notwendig. Nach Art. 28 Abs. 2 DSGV┬áist die Einschaltung von Subunternehmen nur noch mit vorheriger Einwilligung des Auftraggebers m├Âglich.

Cloud Services

Hier finden sich einige ├änderungen f├╝r Cloud-Dienste, die meist mit Auftragsdatenverarbeitung ausgestaltet sind wieder. Gegebenenfalls m├╝ssen bestehende Vertr├Ąge angepasst werden. Dies ist begr├╝ndet durch den Pflichtenkreis von Cloud-Anbietern, sowie der unmittelbaren Zusammenarbeit mit Cloud-Nutzern.

Joint Controllers

Im Einzelfall kann es dazu kommen, dass mehrere Beteiligte einer Ebene f├╝r die Verarbeitung personenbezogener Daten verantwortlich sind (= Joint Controllers) , wenn die Zwecke und Mittel der Verarbeitung gemeinsam festgelegt wurden. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gem├Ą├č dieser Verordnung erf├╝llt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten nachkommt (vgl Art.26 Abs. 1 DSGVO). Die wesentlichen Aspekte m├╝ssen dem Betroffenen nach Art. 26 Abs. 3 DSGVO zur Verf├╝gung gestellt werden. Die betroffene Person kann ihre Rechte im Rahmen dieser Verordnung bei und gegen├╝ber jedem einzelnen der Verantwortlichen geltend machen.

Hieraus ergibt sich folgender Handlungsbedarf f├╝r die Unternehmen:

  • Pr├╝fung und ggf. Nachverhandlung bestehender ADV-Vertr├Ąge;
  • Sorgf├Ąltige Auswahl und Kontrolle des Auftragsverarbeiters anhand neuer Ma├čst├Ąbe;
  • Vorg├Ąnge identifizieren, bei denen eine gemeinsame Verarbeitung vorliegen k├Ânnte und ggf. entsprechende Vereinbarungen treffen.

Neue Regelungen im internationalen Datentransfer ÔÇô Was wird aus Safe Harbor und dem neuen EU-US Privacy Shield?

Die Neuregelungen beziehen sich weiterhin auf die ├ťbermittlung von personenbezogenen Daten aus der EU in au├čereurop├Ąische Drittstaaten.

Der Gerichtshof der Europ├Ąischen Union (EuGH) hat in der Entscheidung 2000/520/EG im Jahre 2015 das Abkommen ÔÇ×Safe HarborÔÇť, welches Regelungen zum Austausch von Daten zwischen den USA und der EU enthielt, f├╝r ung├╝ltig erkl├Ąrt. Die pers├Ânlichen Daten europ├Ąischer Internetnutzer seien in den USA nicht ausreichend vor dem Zugriff der Beh├Ârden gesch├╝tzt. Das Nachfolgeabkommen des Safe Harbor ist der EU-US Privacy Shield. Dieses befindet sich derzeit in der Abstimmung zwischen Kommission, Art. 29 Arbeitsgruppe und den Mitgliedsstaaten und kann vor Zustimmung des Parlaments zu dem entsprechenden Vorschlag der Kommission und Verabschiedung durch den Rat, die fr├╝hestens f├╝r Juni diesen Jahres erwartet wird, keine Rechtsgrundlage f├╝r US-Daten├╝bermittlungen darstellen.

Fehlt ein Angemessenheitsbeschluss der Kommission und sind die Ausnahmetatbest├Ąnde, wie z.B. Einwilligung des Betroffenen oder ├ťbermittlung zur Erf├╝llung eines Vertrags nicht einschl├Ągig bedarf es einer geeigneten Garantie zur Legitimierung des Transfers. Zu den Garantien z├Ąhlen neben Binding Corporate Rules von der Kommission in einem Pr├╝fverfahren auch genehmigte Standarddatenschutzklauseln.

Zun├Ąchst d├╝rften die Standardvertragsklauseln f├╝r ├ťbermittlungen an Auftragsverarbeiter (Beschluss 2010/87/EU) und f├╝r ├ťbermittlungen an verantwortliche Stellen (Entscheidung 2001/497/EG und Entscheidung 2004/915/EG betreffend die Einf├╝hrung alternativer Standardvertragsklauseln) dargestellt werden.

Au├čerdem wird die M├Âglichkeit geboten, von einer Aufsichtsbeh├Ârde erlassene Standarddatenschutzklauseln von der Kommission f├╝r die allgemeine Verwendung genehmigen zu lassen. Als geeignete Garantien anerkannt werden bei entsprechender Genehmigung zudem auch branchenbezogene Verhaltensregeln und sog. Zertifizierungsmechanismen Alternativ kann sich ein Unternehmen Einzelfall die mit einem Drittland vereinbarten Vertragsklauseln als passende Garantie durch die zust├Ąndige Aufsichtsbeh├Ârde genehmigen lassen.

Zusammengefasst ergibt sich folgender Handlungsbedarf f├╝r die Unternehmen:

  • ├ťberpr├╝fung der Leistungsbeziehungen zu Mitarbeitern, Kunden und Dienstleistern hinsichtlich relevanter Daten├╝bermittlungen in Drittl├Ąnder und Pr├╝fung der Einhaltung der Voraussetzungen;
  • Pr├╝fung, ob die Erweiterung und die Flexibilisierung der geeigneten Garantien zur Legitimation von internationalen Transfers neue Gestaltungsspielr├Ąume er├Âffnen.

Wie funktioniert Datenschutz im Konzern?

Erleichterungen f├╝r Konzerngestaltungen ergeben sich vor allem aus der ausdr├╝cklichen Anerkennung der Position eines gemeinsamen Datenschutzbeauftragten f├╝r ein Unternehmen sowie der Vereinfachung der Zust├Ąndigkeiten f├╝r die ├ťberwachung der Datenschutz-Compliance.

Hieraus ergibt sich folgender Handlungsbedarf f├╝r die Unternehmen:

  • Identifizierung der Daten├╝bermittlungen in Drittl├Ąnder auch bei konzerninternen Leistungsbeziehungen und Verifizierung der rechtlichen Grundlage;
  • Pr├╝fung, ob die Einf├╝hrung von Binding Corporate Rules eine Alternative zur Legitimierung der Daten├╝bermittlungen und zur Vereinfachung der Abl├Ąufe und der vertraglichen Dokumentation darstellt; dies empfiehlt sich insbesondere bei konzerninternen Service-Strukturen;
  • Anpassung der Datenschutz-Compliance Organisation;
  • Zuweisung der Zust├Ąndigkeiten und Verantwortlichkeiten entsprechend den Vorgaben der DSGVO.

Wie l├Ąuft die DSGVO ab? Und wie wird sie durchgesetzt?

Durch die DSGVO ├Ąndern sich beh├Ârdliche Zust├Ąndigkeiten und m├Âgliche Sanktionen im Falle von Datenschutzverst├Â├čen.

One-Stop-Shop

Nach Art. 56 Abs. 6 DSGVO ist bei grenz├╝berschreitender Datenverarbeitung die sog. federf├╝hrende Aufsichtsbeh├Ârde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Dies bedeutet, dass Unternehmen bei grenz├╝berschreitenden Datentransfers/ -verarbeitungen k├╝nftig nur noch einen Ansprechpartner f├╝r die Beurteilung der datenschutzrechtlichen Belange haben werden, auf dessen Aussagen sie sich dann auch verlassen d├╝rfen. F├╝r die Anwendung des Art. 56 Abs. 1 DSGVO bedarf es des Vorliegens dreier Voraussetzungen:

  1. Vorliegen einer grenz├╝berschreitenden Datenverarbeitung vgl. Art 4 Nr.23 DSGVO
  2. Feststellung der federf├╝hrenden Aufsichtsbeh├Ârde anhand der Haupt-Niederlassung
  3. Ein Verantwortlicher

Zu beachten ist, dass die Anwendbarkeit des Art. 56 Abs. 1 DSGVO seinem Wortlaut nach auf die grenz├╝berschreitende Datenverarbeitung eines Verantwortlichen oder Auftragsverarbeiters abstellt. Dies sind zun├Ąchst mit Sicherheit die F├Ąlle zu sehen, in denen z.B. ein Unternehmen einen europaweit abrufbaren Onlinedienst bereitstellt oder ├╝ber unselbst├Ąndige Niederlassungen Daten verarbeiten l├Ąsst. Problematischer wird diese Beurteilung allerdings bereits, wenn eine Datenverarbeitung durch mehrere selbst├Ąndige Niederlassungen erfolgt. Hier stellen einige Stimmen in der Literatur darauf ab, ob die verarbeitenden Niederlassungen Zweck und Mittel der Datenverarbeitung selbst bestimmen und beherrschen k├Ânnen. In diesem Falle d├╝rften sie selbst als Verantwortliche im Sinne der DSGVO zu sehen sein, so dass auch in F├Ąllen der Datenverarbeitung durch Niederlassungen nicht generell der One Stop Shop anwendbar sein d├╝rfte.

Koh├Ąrenzverfahren

Konkurrierende Zust├Ąndigkeit der Aufsichtsbeh├Ârden

Im Falle, dass sich Meinungsverschiedenheiten unter den jeweiligen Aufsichtsbeh├Ârden der EU-Mitgliedsstatten im konkreten Fall nicht ausr├Ąumen lassen, ist eine verbindliche Entscheidung im durch den Europ├Ąischen Datenschutzausschuss (EDSA) im Koh├Ąrenzverfahren herbeizuf├╝hren (Art.65 DSGVO). Durch das Verfahren wird ein erheblich gesteigerter Druck auf die Aufsichtsbeh├Ârde ausge├╝bt. Aufgabe der EDSA ist es, f├╝r eine einheitliche Anwendung innerhalb der EU sicher zu stellen. Zudem l├Âst EDSA die Arbeit der bisherigen Artikel-29-Arbeitsgruppe ab, deren Stellungnahmen bisher nicht verbindlich waren und deren Gesetzescharakter keine h├Âhere Lenkungswirkung hat.

Jedoch bestehe die M├Âglichkeit, durch Folgen bestimmter Gerichtsentscheidungen andere Rechtsauffassungen zu provozieren, die von der EDSA nicht vertreten werden. Wird ein begr├╝ndeter Einspruch erhoben, so liegt die verbindliche Entscheidungskompetenz bei der EDSA und nicht bei der Aufsichtsbeh├Ârde. Insgesamt ist die Umsetzung von Regelungen zur Zusammenarbeit und die Koh├Ąrenz ├Ąu├čerst komplex, aufgrund der bestehenden F├Âderalstruktur und der mangelnden Existenz einer zentralen Datenaufsicht in Deutschland.

Sch├Ąrfere Sanktionen und Verbandsklagerecht

Die maximale Geldbu├če betr├Ągt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Gesch├Ąftsjahr; je nachdem, welcher Wert der h├Âhere ist. Hier ist der oben genannte Unternehmensbegriff von Bedeutung: Es gilt der Jahresumsatz des gesamten Konzerns, nicht der der einzelnen juristischen Person.

Die Sanktionen sollen von Datenschutzverst├Â├čen abhalten und das Bewusstsein daf├╝r sch├Ąrfen, dass Verst├Â├če gegen die Verordnung zugleich Verletzungen der Grundrechtecharta der Europ├Ąischen Union sind. Gem├Ą├č Art 84 DSGVO m├╝ssen die Sanktionen wirksam, verh├Ąltnism├Ą├čig und abschreckend sein. Zur Bemessung der Sanktion gibt es einen Katalog mit Kriterien in Art. 83 Abs. 2 a-k DSGVO.

Dar├╝ber hinaus kommen zivilrechtliche (z.B. Schadensersatz) und strafrechtliche Konsequenzen in Betracht. Insbesondere sieht die DSGVO ein Verbandsklagerecht vor. Rechte der Betroffenen k├Ânnen somit k├╝nftig z.B. durch Verbraucherschutzverb├Ąnde geltend gemacht werden, Art. 80 DSGVO.

Sind Datenschutzorganisation im Unternehmen neue Herausforderungen?

Die DSGVO dient zum einen der Verringerung b├╝rokratischer H├╝rden. Zum anderen soll die Datenschutzorganisation in Unternehmen f├╝r Au├čenstehende sowie Aufsichtsbeh├Ârden nachvollziehbarer werden. Dies f├╝hrt zu folgenden ├änderungen:

Betrieblicher Datenschutzbeauftragter

Nach Art. 37 Abs. 1 DSGVO muss bei Unternehmen in der Privatwirtschaft zuk├╝nftig ein betrieblicher Datenschutzbeauftragter dann bestellt werden, wenn

  • die Kernt├Ątigkeit als verantwortlichen Stelle oder des Auftragsverarbeiters eine umfangreiche, regelm├Ą├čige und systematische Beobachtung der Betroffenen erforderlich machen
  • die Kernt├Ątigkeit der verantwortlichen Stelle die Verarbeitung sensibler Daten umfasst

Es ist bereits jetzt absehbar, dass der deutsche Gesetzgeber von der Befugnis in Art. 37 Abs. 4 DSGVO Gebrauch machen und weitere F├Ąlle vorschreiben wird, in denen zwingend ein Datenschutzbeauftragter zu benennen ist, sodass die bislang geltenden Regelungen fortlaufend gelten.

Es ist zuk├╝nftig auch m├Âglich, einen gemeinsamen Datenschutzbeauftragten f├╝r eine Unternehmensgruppe bzw. einen Konzern zu ernennen, nach Art. 37 Abs. 2 DSGVO kann eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. Der Konzerndatenschutzbeauftragte, der bislang nicht im deutschen Recht verankert war erh├Ąlt damit eine eigenst├Ąndige Funktion.

Neue Dokumentations- und Meldepflichten

Neue Datenverarbeitungsverfahren m├╝ssen an die zust├Ąndigen Aufsichtsbeh├Ârden gemeldet werden. In Deutschland ist diese Meldung entbehrlich, sofern ein betrieblicher Datenschutzbeauftragter bestellt ist. Die DSGVO erh├Âht die Dokumentations- und Meldepflichten. Deutsche Unternehmen m├╝ssen sich insofern erheblich umstellen. Dazu sollten Folgende Punkte beachtet werden:

  • Jeder Verantwortliche und gegebenenfalls sein Vertreter f├╝hren ein Verzeichnis aller Verarbeitungst├Ątigkeiten, die ihrer Zust├Ąndigkeit unterliegen. (Artikel 30 DSGVO), die im Wesentlichen den bereits jetzt verpflichtend vorgesehenen Verfahrensverzeichnissen entsprechen.
  • Absch├Ątzung der Folgen der vorgesehenen Verarbeitungsvorg├Ąnge f├╝r den Schutz personenbezogener Daten teilweise unter Einbindung der Aufsichtsbeh├Ârden (Art. 35 DSGVO), wenn eine Datenverarbeitung ein deutlich erkennbar hohes Risiko f├╝r die pers├Ânlichen Rechte und Freiheiten der Betroffenen zur Folge hat
  • Erfolgt die Meldung von Datenschutzverletzungen an die Aufsichtsbeh├Ârde nicht binnen 72 Stunden, so ist ihr eine Begr├╝ndung f├╝r die Verz├Âgerung beizuf├╝gen.(Art. 33 DSGVO). Auch die Meldung an die Betroffenen unterliegt Fristen. Art. 33, 34 DSGVO sehen bereits eine Meldepflicht bei der ÔÇ×Verletzung des Schutzes personenbezogener DatenÔÇť vor.

Umfasst ist k├╝nftig nach Art. 4 Nr. 12 DSGVO z.B. bereits die unbeabsichtigte Offenlegung von Daten gegen├╝ber unbefugten Dritten.

  • Benachrichtigung der von einer Datenschutzverletzung betroffenen Personen (Art. 34 DSGVO), wenn wahrscheinlich ein hohes Risiko f├╝r die pers├Ânlichen Rechte und Freiheiten des Betroffenen besteht.

Datensicherheit

Nach der DSGVO haben sowohl die verantwortliche Stelle als auch der Auftragsverarbeiter die technischen und organisatorischen Ma├čnahmen zu schaffen, die in Anbetracht des konkreten Risikos ein angemessenes Schutzniveau gew├Ąhrleisten. Dabei werden Ma├čnahmen verlangt, die in wesentlichen Teilen bereits nach ┬ž 9 BDSG vorausgesetzt werden. Hierzu geh├Âren:

  • Pseudonymisierung und Verschl├╝sslung personenbezogener Daten;
  • Sicherstellung der Vertraulichkeit, Integrit├Ąt, Verf├╝gbarkeit und Belastbarkeit der Systeme, mit denen personenbezogene Daten verarbeitet werden;
  • M├Âglichkeit der raschen Wiederherstellung verlorener Daten nach einem technischen Zwischenfall;
  • Etablierung von Verfahren zum regelm├Ą├čigen Monitoring der Wirksamkeit eingerichteter technischer und organisatorischer Ma├čnahmen.

Die zu treffenden Ma├čnahmen sind vielmehr danach auszurichten, welche Risiken jeweils in Bezug auf die konkret betroffenen personenbezogenen Daten drohen k├Ânnen. Die DSGVO verlangt eine regelm├Ą├čige Kontrolle und einen Nachweis der Umsetzung der Ma├čnahmen.

Zudem gelten nach der DSGVO h├Âhere Anforderungen f├╝r Unternehmen im Hinblick auf Entwicklung und Installation von IT-Systemen. Art. 25 DSGVO erweitert die Vorgaben an technische und organisatorische Ma├čnahmen und Anforderungen.

Bei Data ÔÇ×protection by designÔÇť sollen Datenschutz und Datensicherheit bereits in der Planung und Entwicklung von IT-Systemen ber├╝cksichtigt werden. Es soll vorgebeugt werden, dass die Vorgaben nach dem Datenschutz und Datensicherheit erst nach dem Bereitstellen von IT-Systemen durch teure und zeitaufwendige Zusatzprogrammierungen umgesetzt werden werden. Bereits bei der Herstellung sollten M├Âglichkeiten wie Deaktivierung von Funktionalit├Ąten, Anonymisierung oder Pseudonymisierung aber auch an Authentisierung und Authentifizierung oder Verschl├╝sselungen ber├╝cksichtigt werden.

Bei Data ÔÇ×protection by defaultÔÇť sollen IT-Systeme datenschutzfreundlich voreingestellt sein, so dass nur die personenbezogenen Daten verarbeitet werden, die f├╝r den verfolgten Zweck erforderlich sind. Hintergrund dieser Regelung ist, dass viele Nutzer nicht ├╝ber ausreichende IT Kenntnisse verf├╝gen und somit keine Einstellungen zum Schutz ihrer personenbezogenen Daten vornehmen k├Ânnen. Dar├╝ber hinaus muss dem Nutzer Funktionalit├Ąten zur Verf├╝gung gestellt werden, mit denen er seine Privatsph├Ąre sch├╝tzen kann. Adressat dieser Vorschrift sind nicht nur Verantwortliche sondern auch die Entwickler von IT-Systemen und Produkten.

Insgesamt ergibt sich folgender Handlungsbedarf f├╝r die Unternehmen:

  • Pr├╝fung, ob ein Datenschutzbeauftragter bestellt werden muss und ggf. Bestellung, sofern noch nicht erfolgt;
  • Pr├╝fung und Implementierung von Prozessen, die die erweiterten Dokumentations- und Meldepflichten sicherstellen;
  • Pr├╝fung, ob Folgenabsch├Ątzungen durchzuf├╝hren sind;
  • Pr├╝fung, ob die Systeme die Anforderungen von privacy by design und default umsetzen;
  • Einf├╝hrung von Prozessen zur Implementierung und regelm├Ą├čigen Kontrolle der erforderlichen technisch-organisatorischen Ma├čnahmen.

Wie soll die Einf├╝hrung neuer Betroffenenrechte erfolgen?

Es kommen einige neue Rechte f├╝r Betroffene kommen hinzu, die seitens der Unternehmen umzusetzen sind,

Hieraus ergibt sich folgender Handlungsbedarf f├╝r die Unternehmen:

  • Pr├╝fung, in welchen F├Ąllen unternehmensintern das Recht auf Datenportabilit├Ąt greift, d.h. welche Systeme und welche personenbezogenen Daten der Betroffenen sind erfasst;
  • Pr├╝fung, welches Datenformat f├╝r die Bereitstellung dieser Daten geeignet ist;
  • Pr├╝fung, ob dieses Datenformat ÔÇ×g├ĄngigÔÇť im Sinne der DSGVO ist;
  • ├ťberpr├╝fung und Vervollst├Ąndigung der bereits bestehenden Datenschutzpolicies, Einwilligungserkl├Ąrungen etc.;
  • Pr├╝fung und Implementierung von Prozessen zur Mitteilung der Informationen (insbesondere bei Zweck├Ąnderungen und Erhebungen ├╝ber Dritte);
  • Dokumentation der berechtigten Interessen und Implementierung von Prozessen im Umgang mit Widerspr├╝chen;
  • Einf├╝hrung von Prozessen im Umgang mit dem Recht auf Vergessenwerden.

Recht auf Datenportabilit├Ąt

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, g├Ąngigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung, dem die personenbezogenen Daten bereitgestellt wurden, zu ├╝bermitteln (Art. 20 DSGVO).

Bei der ├ťbermittlung dieser Daten sind ├╝blicherweise technische Hindernisse zu erwarten:

  • Unternehmen arbeiten ├╝blicherweise mit verschiedenen IT-Systemen, aus denen sich nicht ohne weiteres s├Ąmtliche bereitgestellten Daten in einem g├Ąngigen Datenformat zusammenfassen lassen.
  • Die Umsetzung dieser Anforderung erfordert daher die Umsetzung von entsprechenden technischen Vorkehrungen.

Pflicht zur transparenten Information

Es erfolgt zus├Ątzlich eine Erweiterung der bereits bestehenden Informationspflichten (Art. 12 bis 14 DSGVO). Folgende Erg├Ąnzungen wurden hierbei getroffen:

  • Sofern die Rechtsgrundlage auf einer Interessenabw├Ągung beruht, Informationen ├╝ber die berechtigten Interessen der verantwortlichen Stelle;
  • Die Speicherdauer der personenbezogenen Daten (soweit m├Âglich);
  • Das Bestehen eines Beschwerderechts des Betroffenen gegen├╝ber einer Aufsichtsbeh├Ârde;
  • Die ├ťbermittlung von Daten an einen Empf├Ąnger mit Sitz in einem Drittland und ob im Hinblick auf dieses Drittland ein sogenannter ÔÇ×AngemessenheitsbeschlussÔÇť der Kommission vorliegt oder ob auf andere Weise ein angemessener Datenschutzstandard gew├Ąhrleistet wird.

Weitergehendes Widerspruchsrecht der Betroffenen

Die bislang bestehenden Widerspruchsrechte im Umgang mit Daten werden ausgeweitet (Art. 21 DSGVO) Die Betroffene Person hat k├╝nftig das Recht, aus bestimmten Gr├╝nden nach Art. 6 Abs. 1 lit. f DSGVO, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, Widerspruch einzulegen. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzw├╝rdige Gr├╝nde f├╝r die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person ├╝berwiegen, oder die Verarbeitung dient der Geltendmachung, Aus├╝bung oder Verteidigung von Rechtsanspr├╝chen.

Recht auf Vergessenwerden

Das Recht auf Vergessenwerden ist weitgehend deckungsgleich mit den L├Âschungsanspr├╝chen nach dem BDSG. Es gibt jedoch auch hier einige Erweiterungen: Hat die verantwortliche Stelle die personenbezogenen Daten ├Âffentlich gemacht so ist die verantwortliche Stelle zuk├╝nftig auch verpflichtet, Dritte dar├╝ber zu informieren, dass ein Betroffener die L├Âschung s├Ąmtlicher Links zu diesen personenbezogenen Daten und deren Kopien und Replikationen verlangt hat. Wie diese Informationen erfolgen sollen, ist derzeit noch unklar.