Die neue Datenschutz-Grundverordnung (DS-GVO) wurde am 27.4.2016 verabschiedet (VO (EU) 2016/679). Zwar tritt diese erst zum 25.5.2018 in Kraft, aufgrund der großen Wirkung und zumindest in Teilen wesentlichen Veränderungen sind deutsche Unternehmen dazu aufgerufen, sich schon jetzt mit der Verordnung auseinanderzusetzen. Hierzu versuchen wir Ihnen in diesem Beitrag erste grundlegende Fragen zur Verordnung zu beantworten.
Wir werden Sie in nächster Zeit mit weiteren Beiträgen zu einzelnen relevanten Themen informieren.
Was ist die Datenschutz-Grundverordnung?
Die DS-GVO ist eine europäische Verordnung. Anders als die schon bestehende Datenschutz-Richtlinie, welche zum 25.5.2018 durch die neue Verordnung ersetzt wird, entwickelt die DS-GVO mit In Kraft treten sofortige Wirkung. Sie muss nicht, wie die bisherige Richtlinie, erst in das Recht des einzelnen Landesrechts umgesetzt werden. Damit ersetzt die Verordnung auch die deutschen Datenschutzregeln, wie sie bisher im Bundesdatenschutzgesetz geregelt sind, zu großen Teilen.
Die DS-GVO soll dabei dazu dienen, das Datenschutzrecht innerhalb der ganzen europäischen Union gegenüber der bestehenden Datenschutz-Richtlinie weiter zu harmonisieren und zu vereinheitlichen.
Daher gibt die Verordnung den einzelnen Ländern auch deutlich weniger Spielraum, als noch mit der Datenschutz-Richtlinie. Die Regelungen gelten mit In Kraft treten innerhalb der ganzen EU. Nur in von der Verordnung bestimmten Bereichen sind die Mitgliedsstaaten berechtigt, einzelne Regelungen näher zu bestimmen, meist jedoch ohne den Schutzstandard abzuschwächen.
Dies hat für Unternehmen durchaus Vorteile, denn für diese wird es dadurch deutlich einfacher, EU-weit Daten zu erheben und zu verarbeiten.
Wann tritt die Datenschutz-Grundverordnung in Kraft?
Zum 25.Mai 2018. Bis zu diesem Zeitpunkt muss auch das deutsche Bundesdatenschutzgesetz vom deutschen Gesetzgeber geändert werden, denn der DS-VGO entgegenstehende Regelungen müssen bis dahin aufgehoben werden. Die Bundesregierung hat auch bereits ein neues Bundesdatenschutzgesetz beschlossen, dies wird zum 25.Mai 2018 in Kraft treten.
Was ändert sich durch die Datenschutz-Grundverordnung?
Für deutsche Unternehmen viel und wenig zugleich. Da Deutschland bereits jetzt ein sehr hohes Datenschutzniveau besitzt, bringt die DS-GVO in vielen Bereichen keine großen Veränderungen mit. In einzelnen Gebieten wird die DS-GVO sogar zu einer Abschwächung des bisherigen Datenschutzniveaus und damit auch zu mehr Freiheiten bzw. geringeren Pflichten für Unternehmen führen. Gleichzeitig ändert sich im Detailbereichen durchaus Substanzielles.
Insbesondere rückt jedoch durch die DS-GVO die Wichtigkeit der Einhaltung der datenschutzrechtlichen Bestimmungen weiter in den Vordergrund.
In der Vergangenheit wurde der Datenschutz bisher eher stiefmütterlich behandelt. Sanktionen von den Datenschutzbehörden waren bisher selten und wenn diese erfolgten, war die Höhe der Bußgelder in sehr verschmerzbaren Rahmen. Auch war lange unklar, ob Verstöße gegen den Datenschutz wettbewerbsrechtlich relevant und damit abmahnbar waren. Inzwischen sind jedoch Verbraucherschutzverbände zur Ahnung von Datenschutzthemen legitimiert worden.
Durch die DS-GVO werden auch die Befugnisse Datenschutzbehörden anders aufgestellt. Diese können dann Sanktionen aussprechen, welche 20 Millionen Euro bzw. 4% des Jahresumsatzes eines Unternehmens erreichen können.
Wirkt sich die Datenschutz-Grundverordnung auf bestehende Rechtstexte aus?
Ja, davon ist auszugehen. Denn die Informationspflichten, welche sich schon bisher im Bundesdatenschutzgesetz und dem Telemediengesetz finden, werden in der Datenschutz-Grundverordnung verändert und erweitert. Somit müssen alle Datenschutzerklärungen bis zum Inkrafttreten der DS-GVO überarbeitet und erweitert werden
Insbesondere muss ein Unternehmen sich zukünftig vor Datenerhebung festlegen, auf welcher Rechtsgrundlage Daten erhoben werden. Auch sind etwa zukünftig Angaben zur Speicherdauer von personenbezogenen Daten notwendig. Auch sind Nutzer darauf hinzuweisen, dass diese ein Beschwerderecht bei einer Aufsichtsbehörde besitzen.
Ändert sich etwas bei Datenpannen?
Ja, anders als bisher müssen Unternehmen zukünftig bei Datenpannen die Aufsichtsbehörden fast immer innerhalb von 72 Stunden informieren. Nur falls ein Risiko für die Rechte der Betroffenen unwahrscheinlich ist, entfällt diese Pflicht. Bei hohem Risiko für die Betroffenen müssen auch diese benachrichtigt werden. Eine Verletzung der Meldepflicht kann zu hohen Bußgeldern führen.
Ändert sich durch die Grundverordnung etwas beim betrieblichen Datenschutzbeauftragten?
Ja. Nach aktueller Rechtslage müssen fast alle deutschen Unternehmen einen betrieblichen Datenschutzbeauftragten vorweisen, so diese nicht weniger als 10 Mitarbeiter aufweisen.
Nach der DS-GVO ist die Bestellung eines betrieblichen Datenschutzbeauftragten dagegen in den meisten Fällen entbehrlich. Allerdings enthält diese Passage eine Öffnungsklausel. Der Gesetzesentwurf der Bundesregierung zur Änderung des BDSG macht hiervon auch Gebrauch und behält die alte Regelung bei, so dass es hier aller Voraussicht nach innerhalb Deutschlands zu keinen Änderungen kommen wird.
Keine Öffnungsklausel gibt es jedoch für andere Regelungen. Der Datenschutzbeauftrage muss nach Inkrafttreten der DS-GVO bekanntgegeben werden, etwa auf der Homepage eines Unternehmens. Anders als bisher ist es zukünftig explizit möglich einen konzernweiten betrieblichen Datenschutzbeauftragten zu bestellen, vorausgesetzt, dieser ist für alle Unternehmen der Firmengruppe leicht erreichbar.
Auch ändern sich die gesetzlichen Aufgaben des Datenschutzbeauftragten. Zukünftig muss dieser die Mitarbeiter nicht nur schulen sondern auch für den Datenschutz sensibilisieren. Der Datenschutzbeauftragte ist dann Ansprechpartner für Betroffene zu Fragen der Datenverarbeitungsprozess und zu Klärung von durch die DSVGO zustehenden Rechten. Gleichermaßen ist er künftig Kontaktperson für die Aufsichtsbehörden.
Der bestehende Kündigungsschutz für den betrieblichen Datenschutzbeauftragten schwächt sich durch die DS-GVO ab. Der Datenschutzbeauftragte genießt zwar weiterhin einen Schutz, ist jedoch leichter als bisher zu kündigen. Mit Beendigen des Amtes endet zum in Kraft treten der DS-GVO der besondere Kündigungsschutz, aktuell gilt dieser noch ein Jahr nach Ende.
Ändert sich etwas beim Verfahrensverzeichnis?
Ja. Schon bisher gibt es eine grundsätzliche Pflicht zur Führung von Verfahrensverzeichnissen. In diesen müssen die Prozesse der Datenverarbeitung in Grundzügen beschrieben werden. Jedermann hat das Recht, auf Antrag vom Datenschutzbeauftragten eines Unternehmens ein öffentliches Verfahrensverzeichnis anzufordern.
Die DS-GVO behält diese Pflicht bei. Zwar gibt es teilweise eine Befreiung der Pflicht für Unternehmen mit weniger als 250 Mitarbeitern, diese betrifft aber nur einzelne Verfahren, jedes Unternehmen muss ein Verfahrensverzeichnis führen. Verantwortlich ist dann die Unternehmensleitung, nicht mehr der Datenschutzbeauftragte. Das Jedermanns-Recht auf Einsicht des Verfahrensverzeichnis (bzw. zukünftig Verzeichnis von Verarbeitungstätigkeiten) ist in der DS-VGO nicht enthalten, das Führen eines öffentlichen Verfahrensverzeichnis ist daher zukünftig entbehrlich. Jedoch können Aufsichtsbehörden Einsicht nehmen, auch für Verfahren in der Vergangenheit. Das Führen des Verfahrensverzeichnisses wird daher nicht weniger wichtig, sondern nimmt bezüglich der Dokumentationspflichten an Wichtigkeit zu.
Wie steht es um die Rechte von Betroffenen?
Die DS-GVO erteilt den Betroffenen, deren persönliche Daten verarbeitet werden, zahlreiche Rechte.
Die Meisten bestehen bereits nach geltendem Recht:
So hat er ein Auskunftsrecht, ob und welche Daten über ihn gespeichert wurden. Falls dies zutrifft, kann er nähere Informationen über die gespeicherten Daten erlangen, neben den Daten selbst u.A. auch zu welchen Zweck diese gespeichert werden sowie an wen diese gegebenenfalls weitergeben wurden.
Darüber hinaus hat er ein Berichtigungsrecht, so Daten unrichtig oder unvollständig wären.
Unter bestimmten Voraussetzungen kann er auch die Löschung seiner Daten verlangen, etwa wenn die Daten für den Zweck, für den diese ursprünglich verarbeitet wurden, nicht mehr notwendig sind, oder diese unrechtmäßig verarbeitet wurden.
Auch eine Einschränkung der Verarbeitung ist unter Umständen auf Antrag des Betroffenen notwendig.
Völlig neu und technisch aufwendig wird für viele Unternehmen das Recht auf Datenübertragbarkeit:
Zukünftig können Verbraucher an Unternehmen herantreten, und verlangen, dass diese über sie gespeicherte Daten in strukturierten, gängigen und maschinenlesbaren Format an den Verbraucher selbst oder einen Konkurrenten übermitteln, sofern dies technisch machbar ist.
Sinn und Zweck soll sein, dass ein Verbraucher schnell zwischen verschiedenen Anbietern wechseln kann. So kann ein Kunde an ein Onlineshop herantreten und verlangen, die gesamte Bestellhistorie an einen anderen Onlineshop übertragen, damit dieser diese Bestellungen nutzen kann, um ihm persönliche Empfehlungen zu machen
Dies sollte einen ersten Überblick geben. In den nächsten Monaten werden wir konkreter auf einzelne Bereiche der Datenschutz-Grundverordnung eingehen.
1