IT-Recht und Datenschutz

Die EU-Datenschutz-Grundverordnung kommt

Artikel drucken

27.07.2016 | Autor: Peter Huppertz LL.M.
Lesezeit: 9 Minuten

Nach langen und zähen Verhandlungen sowie zahlreichen Änderungen hat das EU-Parlament am 14. April 2016 endlich die finale Fassung der neuen EU-Datenschutz-Grundverordnung (DSGVO) verabschiedet. Die DSGVO soll Grundlage für ein europaweit weitgehend einheitliches Datenschutzrecht sein und bringt zahlreiche Änderungen mit sich. Die DSGVO soll nach einer Übergangsfrist im Mai 2018 in Kraft treten. Wir stellen Ihnen im Folgenden die wesentlichen Änderungen und den Handlungsbedarf vor, die die DSGVO mit sich bringt. Jedes Unternehmen ist gehalten, sich auf die neue Rechtslage einzustellen und frühzeitig die dafür nötigen Strukturen und Prozesse zu schaffen.

 

Hohe Bußgelder

 

Von vorrangigem Interesse dürfte für viele Unternehmen zunächst sein, welche Rechtsfolgen mit einem Verstoß gegen die DSGVO verbunden sind. Im Vergleich zur aktuellen Rechtslage sind die Sanktionsmöglichkeiten nach der DSGVO erheblich verschärft worden. Während bislang einem Maximalsatz von EUR 300.000,00 für mögliche Bußgelder galt, liegt die Grenze nach der DSGVO bei bis zu EUR 20.000.000,00 bzw. vier Prozent des vom Unternehmen gesamten weltweit erzielten Jahresumsatzes des vorrangegangenen Geschäftsjahres.

 

Maßgabe für die Aufsichtsbehörden bei der Verhängung von Bußgeldern sollen die Attribute „wirksam, verhältnismäßig und abschreckend“ sein. Zur Verringerung von Bußgeldern kann eine ordnungsgemäße Dokumentation der Datenverarbeitung bzw. von geplanten Datenschutzmaßnahmen beitragen. Allein zur Vermeidung schwerwiegender Sanktionen ist daher jedes Unternehmen gehalten, den Willen zur Umsetzung der Vorgaben aus der DSGVO zu dokumentieren. 

 

Dokumentationspflichten

 

Die Dokumentations- und Nachweispflichten werden zudem ganz ausdrücklich von der DSGVO angesprochen und wesentlich erweitert. Unternehmen obliegt es künftig, die Einhaltung der vorgeschriebenen Datenschutzgrundsätze positiv nachzuweisen. Unternehmen müssen deshalb Aufzeichnungen über Aktivitäten in der Datenverarbeitung führen. Dazu sind auch die getroffenen Maßnahmen zur Einhaltung der DSGVO festzuhalten.

 

Darüber hinaus sind Unternehmen verpflichtet, deutlich umfangreicher über die Art, wie sie Daten verarbeiten, zu informieren. Die DSGVO erhebt den Transparenzgrundsatz zu einem wesentlichen Prinzip des neuen Datenschutzrechts. Ähnlich wie derzeit im Online-Bereich bei den Datenschutzerklärungen muss „in präziser, transparenter, verständlicher und leicht zugänglicher Form“ Auskunft erteilt werden. Dies verlangt die Einführung von Prozessen, die diese erweiterten Auskunftspflichten darstellen können.

 

Einwilligung

 

Zwar sollen Einwilligungen zur Datenverarbeitung nicht – wie bisher – grundsätzlich schriftlich erfolgen. Mündlich oder elektronisch erteilte Einwilligungen werden den schriftlich erteilten Einwilligungen gleichgestellt. Umgekehrt bedeutet dies aber, dass nicht schriftlich erteilte Einwilligungen entsprechend dokumentiert werden müssen. Bereits erteilte Einwilligungen dürfen für Datenverarbeitungen unter der DSGVO nur dann weiter verwendet werden, wenn diese auch den Anforderungen aus der DSGVO entsprechen. Dies wird für jeden Einzelfall zu überprüfen sein.

 

Ferner besteht ein Kopplungsverbot, wonach Dienstleistungen nicht mehr im Austausch gegen die Einwilligung zu einer Datenverarbeitung erbracht werden sollen, wenn die Datenverarbeitung nicht im Zusammenhang mit der Dienstleistung steht. Bauen Geschäftsmodelle oder Marketingaktionen auf diesem Prinzip auf, müssen sie überdacht und ggf. neu konzipiert werden.

 

Meldepflichten

 

Deutlich erweitert werden auch die Melde- und Benachrichtigungspflichten eines Unternehmens gegenüber Aufsichtsbehörden und den Betroffenen im Falle einer Datenschutzverletzung. Als meldepflichtige Datenschutzverletzung zählt nach der DSGVO schon eine Verletzung der Sicherheit, die zum Verlust von personenbezogenen Daten führt. Auf die Art der Daten kommt es folglich nicht mehr an, so dass grundsätzlich jede Datenverarbeitung eine meldepflichtige Datenschutzverletzung auslösen kann.

 

Die Datenschutzverletzung ist unverzüglich, spätestens jedoch innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden. Eine Ausnahme besteht nur in dem Fall, in dem kein Risiko für die davon betroffenen Personen besteht. Die geänderten Bedingungen verlangen im Ergebnis nun von jedem datenverarbeitenden Unternehmen, entsprechende Vorkehrungen für die Einhaltung der Meldepflichten zu treffen.

 

Datenschutz-Folgenabschätzung

 

An die Stelle einer Vorabkontrolle tritt eine generelle Pflicht zur Datenschutz-Folgenabschätzung. Damit verbunden ist eine Risikobewertung, die vom Unternehmen vor Einführung bestimmter Datenverarbeitungsmaßnahmen durchgeführt werden muss. Dadurch soll vor allem die Eintrittswahrscheinlichkeit und die Schwere des möglichen Risikos der Datenverarbeitung bewertet werden.

 

Als Beispiel für Datenverarbeitungen, für die eine Folgenabschätzung unumgänglich ist, ist das Profiling sowie die Verarbeitung von Gesundheitsdaten genannt. Allein diese Pflicht zur Datenschutz- Folgenabschätzung erfordert einen ganz erheblichen Dokumentationsaufwand. Um sich nicht allein deswegen möglichen Sanktionen auszusetzen, sollten zeitnah Vorbereitungen für entsprechende Abschätzungen getroffen werden – ggf. in Zusammenarbeit mit den zuständigen Aufsichtsbehörden.

 

Recht auf Vergessenwerden

 

Die DSGVO sieht im Rahmen der Löschungsrechte des Betroffenen ein ausdrückliches „Recht auf Vergessenwerden“ vor. Dahinter steht das Recht des Betroffenen, mit seinem Widerspruch gegen die Verarbeitung seiner personenbezogenen Daten die Löschung der Daten verlangen zu können. Neu daran ist, dass ein Unternehmen Dritte über den Widerspruch unterrichten muss, wenn es die Daten eines Betroffenen öffentlich gemacht hat und die Dritten Links zu diesen Daten gesetzt haben. Grundsätzlich empfiehlt es sich für jedes Unternehmen, ein Löschkonzept („Data Retention Policy“) zu erstellen, das all diese Vorgaben berücksichtigt.

 

Privacy by Design/Privacy by Default

 

Bei der Einrichtung und Gestaltung von IT-Systemen sind Unternehmen verpflichtet, Datenschutzgrundsätze wie etwa die Datenminimierung wirksam umzusetzen. Als Beispiel wird hier insbesondere die Pseudonymisierung von personenbezogenen Daten genannt. Darüber hinaus trifft ein Unternehmen auch die Pflicht, entsprechende Voreinstellungen in den IT-Systemen zu wählen, so dass grundsätzlich nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden. Die Prinzipien des „Privacy by Design“ und des „Privacy by Default“ haben insoweit eine gesetzliche Grundlage erhalten.

 

Konzerninterne Datentransfers

 

Zwar findet sich innerhalb der DSGVO ein „kleines Konzernprivileg“, mit Hilfe dessen der konzerninterne Datenaustausch grundsätzlich erleichtert werden soll: Erlaubte Datenverarbeitungen nach der DSGVO sind solche, für die ein berechtigtes Interesse eines Dritten besteht. In den Erwägungsgründen zur DSGVO wird klargestellt, dass zu den Dritten auch Unternehmensgruppen mit ihren internen Verwaltungszwecken gehören können. Ungeachtet dessen verlangt ein Datentransfer innerhalb des Konzerns jedoch ein gewisses Maß an Transparenz. Deshalb werden auch zukünftig derartige Datentransfers genau zu untersuchen und im Einzelfall auf ihre rechtliche Zulässigkeit geprüft werden müssen.

 

One Stop Shop

 

Eine entscheidende Neuerung ergibt sich schließlich bei grenzüberschreitenden Datenverarbeitungsvorgängen. Hierfür waren bislang jeweils die einzelnen Aufsichtsbehörden der betroffenen Mitgliedsstaaten zuständig. Mit der DSGVO wird es allerdings eine einheitliche Anlaufstelle für diese Fälle geben (One Stop Shop-Prinzip). Federführende Aufsichtsbehörde soll dabei diejenige Behörde sein, die im Gebiet der Hauptniederlassung oder der einzigen Niederlassung des Unternehmens tätig ist.

 

Fazit

 

Die DSGVO bringt zahlreiche neue Anforderungen und Verpflichtungen für Unternehmen mit sich, die personenbezogene Daten verarbeiten. In Anbetracht der immensen Bußgelder, die für einen Verstoß gegen die Bestimmungen der DSGVO drohen, sollte sich jedes Unternehmen frühzeitig Gedanken zur Vorbereitung auf die neue Rechtslage machen. Doch ganz unabhängig von den Bußgeldern drohen jedem, der zu lange mit den Vorbereitungsmaßnahmen wartet, unter Umständen erhebliche unternehmerische Nachteile.

 

Wer sich beispielsweise nicht an die neuen Prinzipien des „Privacy by Design“/“Privacy by Default“ anpasst, kann später etwa einen Entwicklungsplan für bestimmte Produkte nicht mehr einhalten. Nichts anderes gilt für die Installation von Prozessen, um die bald bestehenden zusätzlichen Anforderungen, z.B. an die Dokumentation und Transparenz von Datenverarbeitungen, zu gewährleisten. Wer diese Prozesse im Blick hat und frühzeitig auf eine Anpassung vorbereitet, kann unternehmerisch besser planen. Handeln Sie deshalb lieber zu früh als zu spät.

Partner
Peter Huppertz LL.M.

"Häufig empfohlen: Peter Huppertz (IP/IT)"


JUVE Handbuch Wirtschaftskanzleien 2016/2017 und 2017/2018

 

Diesen Blogartikel teilen: