Einführung in die EU-DSGVO
Am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Dadurch werden unmittelbar das bisherige Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) abgelöst.
Zeitgleich tritt ein dazugehöriges deutsches Ergänzungsgesetz (Datenschutz-Anpassungs- und -Umsetzungsgesetz – DSAnpUG) in Kraft, das die DSGVO zum Teil modifiziert und konkretisiert.
Die DSGVO wird durch die noch in Abstimmung befindliche EU-E-Privacy-Verordnung, die ebenfalls am 25. Mai 2018 in Kraft treten soll und Internet- und Telemediendienste betrifft, ergänzt.
Keine Änderung der Grundprinzipien
Die DSGVO schreibt die bekannten datenschutzrechtlichen Grundprinzipien fort. Die Grundsätze des „Verbots mit Erlaubnisvorbehalt“, der „Datensparsamkeit“, der „Zweckbindung“ und der „Transparenz“ haben auch zukünftig Bestand.
Im Mittelpunkt des Datenschutzes steht auch in Zukunft die Datensicherheit. So kann eine Pseudonymisierung oder Verschlüsselung erforderlich sein. Veraltete Verschlüsselungsstandards können sogar mit Bußgeldern in Höhe von bis zu 2 % des Vorjahresumsatzes belegt werden. Datenverarbeitung und auch Auftragsverarbeitung ist in Drittstaaten weiterhin nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist.
Betroffenenrechte werden durch Transparenz, proaktive Benachrichtigungspflichten, Auskunfts-, Berichtigungs- und Löschungsansprüche gewährleistet. Eine besondere Ausprägung des Löschungsanspruchs stellt das „Recht auf Vergessenwerden“ dar.
Wichtige Neuerungen
Jede Stelle muss zukünftig nachweisen können, dass sie ein Gesamtkonzept zur Einhaltung des Datenschutzes besitzt, das sie regelmäßig kontrolliert und weiterentwickelt.
Nach der DSGVO müssen Unternehmen personenbezogene Daten auf Antrag in einem gängigen und maschinenlesbaren Format entweder an den User oder gleich an ein anderes Unternehmen übergeben können. Neben diesem Recht auf Datenübertragbarkeit werden Betroffene ein allgemeines Widerspruchsrecht gegen eine an sich rechtmäßige Verarbeitung von personenbezogenen Daten, die im öffentlichen Interesse liegt, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten Interesses des Verantwortlichen oder eines Dritten erfolgte, erhalten. Der Verantwortliche darf dann die Daten nur noch verarbeiten, wenn er zwingende berechtigte Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten des Betroffenen überwiegen.
Die DSGVO stärkt die Rechte der Aufsichtsbehörden. Für internationale Organisationen ist nur noch die Datenschutz-Aufsichtsbehörde an ihrem Hauptsitz in der EU zuständig („federführende Aufsichtsbehörde“). Betroffene können sich an ihre jeweils nächstgelegene Aufsichtsbehörde wenden, die das Anliegen dann weiterleiten muss. Die Behörden müssen sich untereinander abstimmen.
Auch die Sanktionsmöglichkeiten der Aufsichtsbehörden werden erheblich ausgedehnt: Der Bußgeldrahmen wird deutlich erhöht und kann bis zu 20 Mio. Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
Neu im Datenschutz-Schadensrecht sind der Direktanspruch des Betroffenen gegen den Auftragsverarbeiter und eine Beweislastumkehr für Datenschutzverletzungen.
Herausragende Bedeutung des technischen und organisatorischen Datenschutzes haben die Regelungen zu Privacy by Design und Privacy by Default: Datenschutz muss integraler Bestandteil der Entwicklung sein (Datenschutz durch Technikgestaltung). Zusätzlich muss der maximale Datenschutz die Grundeinstellung sein und nicht mehr nur eine Option (Datenschutzfreundliche Voreinstellungen).
Auch die Auftragsdatenverarbeitung wird europaweit einheitlich geregelt und angepasst. Eine vertragliche Regelung ist weiterhin als Grundvoraussetzung für die Verarbeitung personenbezogener Daten erforderlich. Neu ist, dass auch der Auftragsverarbeiter ein „Verzeichnis der Verarbeitungstätigkeiten“ führen muss.
Auch in Zukunft müssen alle Unternehmen, die mindestens zehn Personen mit automatisierter Datenverarbeitung beschäftigen, einen Datenschutzbeauftragten bestellen. Bei einer umfangreichen Verarbeitung besonders sensitiver personenbezogener Daten greift die Bestellpflicht auch dann, wenn das entsprechende Unternehmen unter der 10-Personen-Grenze liegt.
Zukünftig müssen alle Datenschutzverletzungen gemeldet werden, sofern ein Datenschutzrisiko besteht. Die Meldung muss innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde eingereicht werden. Auch die Betroffenen sind „ohne unangemessene Verzögerung“ zu benachrichtigen.
Das bisherige Instrument der „Vorabkontrolle“ weicht dem Konzept der Datenschutz-Folgenabschätzung. Beinhaltet die Art der Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten, muss das Unternehmen vor Beginn der Datenverarbeitung eine Datenschutz-Folgenabschätzung vornehmen.
Fazit
Die DSGVO erhöht die rechtlichen, betrieblichen und technisch-organisatorischen Anforderungen an den Datenschutz. Hingegen werden die Verbraucherrechte gestärkt.
Bei Fragen sprechen Sie uns gerne an.