2. Mai 2018

Einfüh­rung in die EU-DSGVO

Am 25. Mai 2018 tritt die neue EU-Daten­schutz­grund­ver­ord­nung (DSGVO) in Kraft. Dadurch werden unmit­telbar das bishe­rige Bundes­da­ten­schutz­ge­setz (BDSG) und die EU-Daten­schutz­richt­linie (Richt­linie 95/46/EG) abge­löst.

Zeit­gleich tritt ein dazu­ge­hö­riges deut­sches Ergän­zungs­ge­setz (Daten­schutz-Anpas­sungs- und -Umset­zungs­ge­setz – DSAnpUG) in Kraft, das die DSGVO zum Teil modi­fi­ziert und konkre­ti­siert.

Die DSGVO wird durch die noch in Abstim­mung befind­liche EU-E-Privacy-Verord­nung, die eben­falls am 25. Mai 2018 in Kraft treten soll und Internet- und Tele­me­di­en­dienste betrifft, ergänzt.

Keine Ände­rung der Grund­prin­zi­pien

Die DSGVO schreibt die bekannten daten­schutz­recht­li­chen Grund­prin­zi­pien fort. Die Grund­sätze des „Verbots mit Erlaub­nis­vor­be­halt“, der „Daten­spar­sam­keit“, der „Zweck­bin­dung“ und der „Trans­pa­renz“ haben auch zukünftig Bestand.

Im Mittel­punkt des Daten­schutzes steht auch in Zukunft die Daten­si­cher­heit. So kann eine Pseud­ony­mi­sie­rung oder Verschlüs­se­lung erfor­der­lich sein. Veral­tete Verschlüs­se­lungs­stan­dards können sogar mit Bußgel­dern in Höhe von bis zu 2 % des Vorjah­res­um­satzes belegt werden. Daten­ver­ar­bei­tung und auch Auftrags­ver­ar­bei­tung ist in Dritt­staaten weiterhin nur zulässig, wenn dort ein ange­mes­senes Daten­schutz­ni­veau gewähr­leistet ist.

Betrof­fe­nen­rechte werden durch Trans­pa­renz, proak­tive Benach­rich­ti­gungs­pflichten, Auskunfts-, Berich­ti­gungs- und Löschungs­an­sprüche gewähr­leistet. Eine beson­dere Ausprä­gung des Löschungs­an­spruchs stellt das „Recht auf Verges­sen­werden“ dar.

Wich­tige Neue­rungen

Jede Stelle muss zukünftig nach­weisen können, dass sie ein Gesamt­kon­zept zur Einhal­tung des Daten­schutzes besitzt, das sie regel­mäßig kontrol­liert und weiter­ent­wi­ckelt.

Nach der DSGVO müssen Unter­nehmen perso­nen­be­zo­gene Daten auf Antrag in einem gängigen und maschi­nen­les­baren Format entweder an den User oder gleich an ein anderes Unter­nehmen über­geben können. Neben diesem Recht auf Daten­über­trag­bar­keit werden Betrof­fene ein allge­meines Wider­spruchs­recht gegen eine an sich recht­mä­ßige Verar­bei­tung von perso­nen­be­zo­genen Daten, die im öffent­li­chen Inter­esse liegt, in Ausübung öffent­li­cher Gewalt oder aufgrund des berech­tigten Inter­esses des Verant­wort­li­chen oder eines Dritten erfolgte, erhalten. Der Verant­wort­liche darf dann die Daten nur noch verar­beiten, wenn er zwin­gende berech­tigte Gründe für die Verar­bei­tung nach­weisen kann, die die Inter­essen, Rechte und Frei­heiten des Betrof­fenen über­wiegen.

Die DSGVO stärkt die Rechte der Aufsichts­be­hörden. Für inter­na­tio­nale Orga­ni­sa­tionen ist nur noch die Daten­schutz-Aufsichts­be­hörde an ihrem Haupt­sitz in der EU zuständig („feder­füh­rende Aufsichts­be­hörde“). Betrof­fene können sich an ihre jeweils nächst­ge­le­gene Aufsichts­be­hörde wenden, die das Anliegen dann weiter­leiten muss. Die Behörden müssen sich unter­ein­ander abstimmen.

Auch die Sank­ti­ons­mög­lich­keiten der Aufsichts­be­hörden werden erheb­lich ausge­dehnt: Der Bußgeld­rahmen wird deut­lich erhöht und kann bis zu 20 Mio. Euro oder 4 % des gesamten welt­weit erzielten Jahres­um­satzes betragen, je nachdem, welcher Betrag höher ist.

Neu im Daten­schutz-Scha­dens­recht sind der Direkt­an­spruch des Betrof­fenen gegen den Auftrags­ver­ar­beiter und eine Beweis­last­um­kehr für Daten­schutz­ver­let­zungen.

Heraus­ra­gende Bedeu­tung des tech­ni­schen und orga­ni­sa­to­ri­schen Daten­schutzes haben die Rege­lungen zu Privacy by Design und Privacy by Default: Daten­schutz muss inte­graler Bestand­teil der Entwick­lung sein (Daten­schutz durch Tech­nik­ge­stal­tung). Zusätz­lich muss der maxi­male Daten­schutz die Grund­ein­stel­lung sein und nicht mehr nur eine Option (Daten­schutz­freund­liche Vorein­stel­lungen).

Auch die Auftrags­da­ten­ver­ar­bei­tung wird euro­pa­weit einheit­lich gere­gelt und ange­passt. Eine vertrag­liche Rege­lung ist weiterhin als Grund­vor­aus­set­zung für die Verar­bei­tung perso­nen­be­zo­gener Daten erfor­der­lich. Neu ist, dass auch der Auftrags­ver­ar­beiter ein „Verzeichnis der Verar­bei­tungs­tä­tig­keiten“ führen muss.

Auch in Zukunft müssen alle Unter­nehmen, die mindes­tens zehn Personen mit auto­ma­ti­sierter Daten­ver­ar­bei­tung beschäf­tigen, einen Daten­schutz­be­auf­tragten bestellen. Bei einer umfang­rei­chen Verar­bei­tung beson­ders sensi­tiver perso­nen­be­zo­gener Daten greift die Bestell­pflicht auch dann, wenn das entspre­chende Unter­nehmen unter der 10-Personen-Grenze liegt.

Zukünftig müssen alle Daten­schutz­ver­let­zungen gemeldet werden, sofern ein Daten­schutz­ri­siko besteht. Die Meldung muss inner­halb von 72 Stunden nach Kenntnis bei der Aufsichts­be­hörde einge­reicht werden. Auch die Betrof­fenen sind „ohne unan­ge­mes­sene Verzö­ge­rung“ zu benach­rich­tigen.

Das bishe­rige Instru­ment der „Vorab­kon­trolle“ weicht dem Konzept der Daten­schutz-Folgen­ab­schät­zung. Beinhaltet die Art der Daten­ver­ar­bei­tung ein hohes Risiko für die Rechte und Frei­heiten, muss das Unter­nehmen vor Beginn der Daten­ver­ar­bei­tung eine Daten­schutz-Folgen­ab­schät­zung vornehmen.

Fazit

Die DSGVO erhöht die recht­li­chen, betrieb­li­chen und tech­nisch-orga­ni­sa­to­ri­schen Anfor­de­rungen an den Daten­schutz. Hingegen werden die Verbrau­cher­rechte gestärkt.

Bei Fragen spre­chen Sie uns gerne an.