Am 25.Mai 2018 wird die EU-Datenschutzgrundverordnung (DSGVO) unmittelbar anzuwendendes Recht. Die DSGVO enthält eine umfassende Neuregelung des Datenschutzes in der EU.
Damit auch Sie für Ihr Unternehmen die Geschäftsprozesse an die Neuerungen der Verordnungen anpassen können, habe ich die wesentlichen Änderungen für Sie zusammengefasst.
I.
EU-Datenschutzgrundverordnung (DSGVO)
Einleitung:
Die DSGVO ist am 25.05.2016 in Kraft getreten und findet nach einer Übergangsfrist von zwei Jahren ab dem 25.05.2018 zwingende Anwendung. Da es sich bei der DSGVO um eine EU-Verordnung handelt, gilt diese unmittelbar, ohne dass es dafür eine gesonderte Umsetzung in nationales Recht bedarf. Die DSGVO enthält an mehreren Stellen sog. „Öffnungsklauseln“, die es den Mitgliedstaaten der EU ermöglicht, ergänzende, nationale Regelungen zu erlassen. Vor diesem Hintergrund plant die Bundesregierung in Ergänzung zum DSGVO ein neues Bundesdatenschutzgesetz (BDSG-E), so dass ab Mai 2018 das DSGVO und das BDSG-E für den Datenschutz in Deutschland maßgeblich sein werden.
Änderungen durch das neue Datenschutzrecht:
Die DSGVO enthält im Vergleich zur bisherigen Rechtslage zahlreiche Änderungen und Verschärfungen für Unternehmen, die im Rahmen eines ersten Überblicks angesichts des Umfangs der DSGVO hier nur verkürzt und beschränkt auf ausgewählte Themenbereiche wiedergegeben werden können:
a) Deutliche Haftungsverschärfung:
Art. 83 DSGVO enthält im Vergleich zum bisherigen Recht eine deutliche Haftungsverschärfung für Unternehmen bei Verstößen gegen das neue Datenschutzrecht. Verantwortliche, die gegen das DSGVO verstoßen, müssen mit Geldbußen von bis zu 4 % des globalen Umsatzes oder bis zu 20 Mio. € rechnen (bislang sieht § 43 BDSG Bußgelder von max. 300.000,00 € vor).
Ferner haben Verantwortliche und Auftragsverarbeiter, die gegen das DSGVO verstoßen, dem Verletzten nach Art. 82 Abs. 2 DSGVO den materiellen und immateriellen Schaden zu ersetzen.
Erschwerend kommt hinzu, dass nach Art. 24 Abs. 1 DSGVO die Beweislast beim Unternehmen liegt, d. h. das Unternehmen muss im Streitfall nahweisen, die Anforderungen des DSGVO eingehalten zu haben. Somit sind zukünftig erhöhte Anforderungen an die Dokumentation des eigenen Datenschutzkonzepts zu beachten.
b) Erweiterte Informationspflichten:
Wie bisher auch, kann ein Unternehmen nach der DSGVO grds. Daten verarbeiten (erheben, speichern und bearbeiten), wenn die betroffene Person eingewilligt hat oder die Verarbeitung für die Erfüllung eines Vertrages erforderlich oder dies einer Erfüllung einer rechtlichen Verpflichtung dient, vgl. Art. 6 Abs. 1 DSGVO. Allerdings muss der Verantwortliche (Unternehmen) die von der Verarbeitung betroffene Person „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ unterrichten, vgl. Art. 12 Abs. 1 DSGVO. Insbesondere die Unterrichtungspflichten nach Art. 13 und Art. 14 DSGVO gehen über die Vorgaben der bislang geltenden §§ 4 Abs. 3 und 33 BDSG hinaus, so dass der Verantwortliche den Betroffenen bei der Datenverarbeitung folgendes mitteilen muss:
- Kontaktdaten des Verantwortlichen und seines Datenschutzbeauftragten
- Zwecke der Datenverarbeitung, ggf. berechtigte Interessen des Verantwortlichen an der Datenverarbeitung
- Empfänger oder Kategorien von Empfängern personenbezogener Daten
- Übermittlung von Daten in ein Drittland
- Speicherdauer
- Bestehen von Auskunftsrechten und Rechte auf Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit und Beschwerderecht bei Aufsichtsbehörden
c) Betroffenenrechte:
Durch die DSGVO sollen die Betroffenenrechte gestärkt werden. Die Betroffenen haben nach der DSGVO bei der Datenverarbeitung folgende Rechte:
- umfassendes Auskunftsrecht nach Art. 15 DSGVO
- Berichtigungsanspruch nach Art. 16 DSGVO
- Recht auf Löschung nach Art. 17 DSGVO
- Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO
- Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
- Widerspruchsrecht nach Art. 21 DSGVO
Hinzuweisen ist darauf, dass eine Verletzung der vorstehend genannten Rechte des Betroffenen durch das Unternehmen (Verantwortlicher) zu der Verhängung von Bußgeld und Schadensersatzansprüchen des Betroffenen führen kann. Diese verschärften Sanktionen machen es erforderlich, die IT-Struktur des Unternehmens an die Vorgaben des DSGVO rechtzeitig anzupassen.
d) Datensicherheit:
Eine weitere wesentliche Änderung ist die Sanktionierung unzureichender Datensicherheit des Unternehmens durch erhebliche Bußgelder. Nach Art. 32 DSGVO muss jedes Unternehmen für ein ausreichendes Datenschutzniveau sorgen, wobei sich die Datensicherheit in erster Linie nach den individuellen Risiken im Unternehmen richten muss. Der Verantwortliche und der Auftragsverarbeiter haben geeignete, technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveauzu gewährleisten, wobei u. a. folgende Maßnahmen genannt werden:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaliierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zu gewährleisten und der Sicherheit der Verarbeitung.
e) Zweckänderungen:
Grundsätzlich wird vom DSGVO gefordert, dass die Verarbeitung der Daten zweckgebunden ist und Zweckänderungen (z. B. Verwendung der Kundendaten für Werbemails) nach Art. 6 Abs. 4 DSGVO nur zulässig sind, wenn die betroffene Person in die Zweckänderung eingewilligt hat. Dabei nennt Art. 7 DSGVO die Voraussetzungen, die für eine wirksame Einwilligung gefordert werden, nämlich:
- Nachweis der Einwilligung durch den Verantwortlichen
- klare textliche Abgrenzung des Ersuchens um die Einwilligung
- Belehrung über jederzeitiges Widerrufsrecht
- Beachtung des Kopplungsverbotes
I.
Fazit
Da die Vorgaben des DSGVO bußgeldbewehrt sind und Art. 24 DSGVO eine generelle Beweislastumkehr bei objektiven Datenschutzverstößen enthält, muss jedes Unternehmen rechtzeitig vor Geltung des DSGVO prüfen, ob die derzeitige IT-Struktur den Anforderungen des DSGVO genügt.
Aufgrund der Beweislastumkehr des Art. 24 Abs. 1 DSGVO muss darauf geachtet werden, dass die Einhaltung des DSGVO und der getroffenen Datenschutzmaßnahmen (Datenschutzkonzept) umfassend dokumentiert wird, damit das Unternehmen im Streitfall den Nachweis der Einhaltung gegenüber dem Betroffenen und/oder der Aufsichtsbehörde führen kann. Dies stellt erhöhte Anforderungen an die IT-Compliance. Ferner sind die IT-Prozesse sowie die verwendeten Vertragsmuster, Einwilligungs- und Datenschutzerklärungen rechtzeitig an die Anforderungen des DSGVO anzupassen.
Dr. Björn Schreier
Rechtsanwalt
Fachanwalt für Handels- und Gesellschaftsrecht
Fachanwalt für Steuerrecht