DSGVO – ein Überblick

21:25 16 Oktober in Datenschutz

Die am 25.05.2018 in Kraft getretene EU-Datenschutz-Grundverordnung (EU-DSGVO) bringt eine Vielzahl von Änderungen im Daten­schutzrecht mit sich und verlangt branchenübergreifend von Unternehmen die Vornahme von Änderungen in ihren Geschäfts- und Daten­ver­arbeitungs­prozessen.

Die DSGVO erhöht den Dokumentationsaufwand für den Nachweis eines funktionsfähigen Daten­schutz-Managements in den Unternehmen, woraus auch notwendige Anpassungen im Daten­schutz-Management resultieren.

Mit der DSGVO werden die Daten­schutz­richt­linie 95/46/EG von 1995 und das Bundesdatenschutz­gesetz (BDSG) abgelöst, wobei für das BDSG voraussichtlich Anfang 2017 ein Folgegesetz erlassen wird.

Entsprechende Landesgesetze werden voraus­sichtlich Anfang 2018 an die DSGVO angepasst.

Die DSGVO wird gemäß Art. 288 Abs. 2 AEUV unmittelbar in der gesamten Europäischen Union gelten.

Mit der DSGVO soll das europäische Datenschutzrecht im Hinblick auf die mit der Globalisierung und zunehmenden Digitalisierung einhergehenden gestiegenen datenschutzrechtlichen Herausforderungen moder­ni­siert werden.

Die DSGVO wird sich unmittelbar sowohl auf die Privatwirtschaft, wie auch den öffentlichen Sektor auswirken. In sämtlichen Bereichen werden neue Prozesse geschaffen werden müssen.

Dies erfordert eine vorausschauende Planung und die Überarbeitung von Verträgen, Prüflisten und existierenden Vorlagen.

In diesem Zusammenhang empfehlen wir die möglichst frühzeitige Einbindung der Geschäfts­führung in die entsprechenden Planungen und Umsetzungsarbeiten.

Die DSGVO erhält die Grundprinzipien des Datenschutzrechts, baut diese aber noch weiter aus.

So werden die bekannten Grundprinzipien des Datenschutzrechts, wie die Rechtmäßigkeit der Datenverarbeitung, die Datensparsamkeit, die Zweckbindung oder die Datensicherheit um Prinzipien wie das Recht auf Vergessenwerden, die Datenportabilität oder die erweiterte Transparenzpflicht im Rahmen von Rechten Betroffener ergänzt.

Eine der gravierendsten Änderungen stellen die Bußgeldverschärfungen mit Bußgeldern von 2 bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens dar.

Darüber hinaus konkretisiert die DSGVO die Anforderungen an die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten, die Meldung von Datenschutzverletzungen, die Pflichten in Bezug auf Auftragsdatenverarbeitung und deren Verarbeiter sowie Privacy by Design und Privacy by Default

Kapitel der DSGVO

Die DSGVO unterteilt sich in 11 Kapitel:

  • Kapitel I – Allgemeine Bestimmungen
  • Kapitel II – Grundsätze
  • Kapitel III – Rechte der betroffenen Person
  • Kapitel IV – Für die Datenverarbeitung Verantwortliche und Auftragsverarbeiter
  • Kapitel V – Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen
  • Kapitel IV – Unabhängigkeit der Aufsichtsbehörden
  • Kapitel VII – Zusammenarbeit und Kohärenz
  • Kapitel VIII – Rechtsbehelfe, Haftung und Sanktionen
  • Kapitel IX : Vorschriften für besondere Datenverarbeitungssituationen
  • Kapitel X – Delegierte Rechtsakte und Durchführungsrechtsakte
  • Kapitel XI – Schlussbestimmungen

Sechs Kapitel enthalten Verfahrensvorschriften für die Datenschutzaufsichtsbehörden und Regelungen für Sanktionen sowie Vorschriften für besondere Verarbeitungssituationen oder sogenannte delegierte Rechts- und Durchführungsakte.

In fünf Kapiteln werden die Pflichten von Unternehmen, die personenbezogene Daten verarbeiten, und die Rechte der betroffenen Personen behandelt.

Sofortiger Handlungsbedarf für Unternehmen zur Bußgeldvermeidung

Mit der europäischen Datenschutzgrundverordnung (DSGVO) werden die Erlaubnistatbestände zur Verarbeitung personen­bezogener Daten neu geregelt.

Grundprinzipien der Datenverarbeitung

Die DSGVO stellt in Art. 5 DSGVO datenschutzrechtliche Grundprinzipien auf.

Danach müssen Personenbezogene Daten

  • auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Art. 5 Abs. 1 a) DSGVO)
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Grundsatz der Zweckbindung, Art. 5 Abs. 1 b) DSGVO)
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Grundsatz der Datenminimierung, Art. 5 Abs. 1 c) DSGVO)
  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein (Grundsatz der Richtigkeit, Art. 5 Abs. 1 d) DSGVO)
  • in einer Form gespeichert werden, welche die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1 e) DSGVO)
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (Grundsatz der Integrität und Vertraulichkeit, Art. 5 Abs. 1 f) DSGVO)

Gemäß Art. 5 Abs. 2 DSGVO ist der Verantwortliche im Rahmen einer Rechenschaftspflicht für die Einhaltung der Grundsätze von Art. 5 Abs. 1 DSGVO verantwortlich und muss deren Einhaltung nachweisen können.

Unternehmen müssen geeignete und wirksame Maßnahmen für die Einhaltung der Grundsätze treffen und nachweisen, dass diese Maßnahmen wirksam sind.

Rechtmäßigkeitsprinzipien

Art. 6 DSGVO regelt, wann die Verarbeitung personenbezogener Daten rechtmäßig ist. Dies ist der Fall, wenn

  • die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat (Art. 6 Abs. 1 a) DSGVO) oder
  • die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen (Art. 6 Abs. 1 b) DSGVO) oder
  • die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (Art. 6 Abs. 1 c) DSGVO) oder
  • die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 d) DSGVO) oder
  • die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 e) DSGVO) oder
  • die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt (Art. 6 Abs. 1 f) DSGVO).

Als berechtigte Interessen des Unternehmens kann in diesem Zusammenhang auch die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung angesehen werden kann.

Besonderen Anforderungen unterliegen Änderungen des Verarbeitungszweckes nach der ursprünglichen Ersterhebung der Daten. Art. 6 Abs. 4 DSGVO gestattet diesbezüglich die weitere Verarbeitung, vorausgesetzt, der Zweck der Verarbeitung ist mit dem Zweck der ersten Datenerhebung „vereinbar“.

Die DSGVO stellt die Abwägung zwischen den Interessen von Unternehmen an einer Datenverarbeitung und den Interessen der betroffenen Personen am Schutz ihrer Daten stärker in den Vordergrund als das BDSG.

Auch eine Verletzung der Grundsätze der DSGVO wird härter sanktioniert, als es nach den Vorschriften des BDSG der Fall war. Nach Art. 83 Abs. 5 a) DSGVO drohen Unternehmen Bußgelder bis zu einer Höhe von 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen – je nachdem, welcher Betrag der höhere ist.

Die Art. 13 Abs. 1 c) und Art. 14 Abs. 1 c) DSGVO verpflichten zudem den Verantwortlichen einer Datenverarbeitung in der Datenschutzerklärung anzuzeigen, auf welchem Erlaubnistatbestand des Art. 6 DSGVO die Datenverarbeitung gestützt werden soll.

Der Erlaubnistatbestand der Einwilligung, Art. 6 Abs. 1 a) DSGVO nimmt auch in der DSGVO eine wichtige Rolle ein, wird allerdings durch einige Regelung der DSGVO eingeschränkt. Exemplarisch sind hier Art. 7, 8 oder 42 S. 5 DSGVO anzuführen.

Im Rahmen des Art. 6 Abs. 1 b) DSGVO wird ein separater Erlaubnistatbestand für den Vertrag geschaffen. Die Zulässigkeit einer Datenverarbeitung auf dieser Grundlage wird dadurch eingeschränkt, dass der Datenverarbeitung eine Anfrage des Betroffenen vorgegangen sein muss. Art. 6 Abs. 1 b) DSGVO erfasst zudem Bestands- und Nutzungsdaten, die bisher in §§ 14, 15 TMG geregelt waren.

Vor dem Hintergrund, dass die Voraussetzungen für eine wirksame Einwilligung nach Art. 6 Abs. 1 a) DSGVO im Vergleich zum BDSG verschärft worden sind, wird der Erlaubnistatbestand des Art. 6 Abs. 1 f) DSGVO an Bedeutung gewinnen. Anders als im BDSG, welches verschiedene Abwägungstatbestände enthält, etwa § 28 Abs. 1 S. 1 Nr. 2, § 30 Abs. 2 oder § 32 Abs. 1 S. 2 BDSG, verfügt die DSGVO nur in Art. 6 Abs. 1 f) DSGVO über einen Abwägungstatbestand. Im Rahmen der Prüfung nach der „Berechtigung“ sind insbesondere die Grundprinzipien der Datenverarbeitung des Art. 5 Abs. 1 DSGVO zu berücksichtigen.

Bei Art. 6 Abs. 1 d) DSGVO handelt es sich um eine subsidiäre Rechtsgrundlage. Eine Datenverarbeitung soll lediglich dann auf diesen Erlaubnistatbestand gestützt werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann.

Die Herausforderungen der DSGVO für Ihr Unternehmen

Unternehmen müssen die eigenen Prozesse zur Datenverarbeitung einer umfassenden Prüfung unterziehen und analysieren, welche Arten personenbezogener Daten in welchem Umfang, in welchen Umständen und für welche Zwecke verarbeitet werden.

Wurde bereits ein Verfahrensverzeichnis gemäß § 4 g Abs. 2 S. 1 BDSG erstellt, kann auf dieses – vorbehaltlich einer Vollständigkeitsprüfung – zurückgegriffen werden.

Im Anschluss muss analysiert werden, welche Risiken mit der Art der Verarbeitung dieser personenbezogenen Daten für die betroffenen Personen einhergehen.

Risiken können sich in Form von Rufschädigungen, finanziellen Verlusten, materiellen und immateriellen Schäden, Identitätsdiebstählen und -betrug, Diskriminierungen und dem Verlust der Vertraulichkeit bei Berufsgeheimnisträgern manifestieren.

Sind die Risiken identifiziert, müssen Maßnahmen entwickelt werden, die zu deren Vermeidung oder Minimierung geeignet sind.

In diesem Zusammenhang bieten sich Maßnahmen durch das Ergreifen technisch organisatorischer Maßnahmen gemäß dem Katalog des Art. 32 DSGVO, der Einsatz datenschutzfreundlicher Voreinstellungen im Wege von Privacy-by-Default gemäß Art. 25 DSGVO, durch die Gestaltung der Technik im Wege von Privacy-by-Design oder durch die Einhaltung von genehmigten Verhaltensregeln und Zertifizierungen gemäß Art. 40 und 41 DSGVO an.

Des Weiteren ist zu beachten, dass auch eine Datenverarbeitung, welche durch einen der Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO legitimiert ist, rechtswidrig sein kann. Dies ist der Fall, wenn einer der allgemeinen Datenschutzprinzipien missachtet wurde, etwa das in Art. 5 Abs. 1 c) DSGVO geregelte Gebot der „Datensparsamkeit“.

Für Unternehmen, die keine entsprechenden Maßnahmen umgesetzt haben, besteht dringender Handlungsbedarf.

Welche Bedeutung haben getroffene Maßnahmen im Rahmen von Bußgeldverfahren?

Gemäß Art. 83 Abs. 2 c) DSGVO werden jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag gebührend berücksichtigt.

Hierzu zählen nach Art. 83 Abs. 2 d) DSGVO auch der Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von diesen nach den Art. 25 und 32 DSGVO getroffenen technischen und organisatorischen Maßnahmen oder gemäß Art. 83 Abs. 2 j) DSGVO die Einhaltung von genehmigten Verhaltensregeln nach Art. 40 DSGVO oder genehmigten Zertifizierungsverfahren nach Art. 42 DSGVO.

Art und Umfang der von Unternehmen getroffenen Maßnahmen haben somit eine entscheidende Bedeutung im Rahmen von Bußgeldverfahren.

Handlungsempfehlung

Unternehmen sollten im Interesse der Vermeidung von erheblichen Bußgeldern ihre Datenverarbeitungsprozesse zeitnah auf die Art der verarbeiteten Daten und die Zwecke der Verarbeitung sowie auf bestehende Risiken für die Freiheiten von betroffenen Personen hin analysieren.

Im Anschluss daran müssen Maßnahmen zum Schutz der Daten geprüft und gegebenenfalls ergriffen werden.

Es empfiehlt sich dringend mit der Umsetzung der entsprechenden Analysen und technischen und organisatorischen Maßnahmen unverzüglich zu beginnen.