Titelbild cc

Die EU-Datenschutzgrundverordnung

Seit dem 25. Mai 2018 gilt die EU-DSGVO in den Mitgliedsstaaten der Europäischen Union als direkt anwendbares Recht. Sie ersetzt damit in den grundlegenden Bereichen das bislang bestehende nationale Datenschutzrecht (z.B. das Bundesdatenschutzgesetz „BDSG“). Nationale Handlungsspielräume sind durch Öffnungsklauseln darüber hinaus weiterhin gegeben. Art. 1 DSGVO beschreibt Gegenstand und Ziele der EU-DSGVO als „Vorschriften zum Schutz (..)" der „Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“

Die Ziele der EU-DSGVO

Die „verschärften Datenschutzvorschriften“ der Europäischen Datenschutzgrundverordnung sollen u.a. bewirken, dass die Bürger der EU eine „bessere Kontrolle über ihre Daten“ haben und „Unternehmen von Wettbewerbsgleichheit profitieren“. 2,3 Milliarden EUR beträgt der geschätzte wirtschaftliche Vorteil des nunmehr einheitlichen Rechts.

Ein Überblick zum aktuellen Status Quo

iStock-1024269370

Ein Jahr DSGVO in Deutschland

Seit dem 25. Mai 2018 gilt die EU-DSGVO in den Mitgliedsstaaten der Europäischen Union als direkt anwendbares Recht. Was ist seit Inkrafttreten der Verordnung passiert? Welche Bußgelder wurden bislang verhängt? Worauf müssen Unternehmen besonders achten? Wir geben einen Überblick zum aktuellen Status Quo.

Die Regeln der EU-DSGVO im Überblick

Grundsätzlich ändert sich an den bisherigen Voraussetzungen für die Verarbeitung von personenbezogenen Daten nichts.

Als personenbezogene Daten nach EU-DSGVO gelten:

  • Name
  • Adresse
  • Lokalisierung
  • Online-Kennungen
  • Gesundheitsdaten
  • Einkommen
  • Kulturelles Profil etc.

Folgende Regeln sind nach wie vor im Prozess einer rechtmäßigen Verarbeitung personenbezogener Daten für Unternehmen bindend:

  • es muss eine Einwilligung für die Verarbeitung personenbezogener Daten für einen oder mehrere Zwecke vorliegen (Motiv der Freiwilligkeit wird gekennzeichnet; in einfacher Form und verständlicher Sprache verfasst)
  • die Verarbeitung der Daten ist prinzipiell notwendig:
  1. aufgrund eines Vertrages (oder vorvertragliche Maßnahmen)
  2. auf Basis einer gesetzlichen Grundlage
  3. aufgrund eines berechtigten Interesses der verantwortlichen Stelle
  4. aufgrund eines berechtigten Interesses eines Dritten, das die Verarbeitung der Personen bezogenen Daten erforderlich macht
  • das Recht auf Widerruf der Einwilligung wird erteilt und kann jederzeit ausgeübt werden
  • die Weiterverarbeitung personenbezogener Daten ist mit Art. 6 nur dann zulässig, wenn diese mit dem ursprünglich festgelegten, eindeutigen und rechtmäßigen Zweck, weshalb die Daten erhoben worden sind, vereinbar ist. (Zweckbindungs-Prinzip)
  • das Recht auf Löschung („Vergessenwerden“, Art. 17) gilt nach wie vor (Daten sind bei Zweckwegfall zu löschen)
  • es besteht weiterhin Benachrichtigungspflicht bei Datenschutzverletzungen (Art. 33), wenn personenbezogene Daten eines Betroffenen verletzt wurden und dieser Umstand voraussichtlich zu einem Risiko für die Rechte und Freiheiten des Betroffenen führen wird. Neu ist, dass der Verantwortliche innerhalb von 72 Stunden nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde hierüber eine Meldung abgeben muss.

Für wen gilt die DSGVO?

Die EU-Datenschutzgrundverordnung ist ein Regelwerk für alle in der EU tätigen Unternehmen, egal wo sie ansässig sind.

DSGVO – Die wichtigsten Änderungen im Überblick

  • Das bisher nicht absolut geltende Kopplungsverbot §28 Abs. 3b BDSG wird zum verschärften Kopplungsverbot EU-DSGVO Art. 7 Abs. 4 inklusive Erwägungsgrund-Prinzip:
  • §28 Abs. 3b BDSG wie folgt: “Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Eine unter solchen Umständen erteilte Einwilligung ist unwirksam.” (loses Wettbewerber-Prinzip)

wird verschärft zu

  • Art. 7 Abs. 4 EU-DSGVO inklusive Erwägungsgrund-Prinzip wie folgt: “Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.” (z.B. die Einwilligung der Erhebung von Daten zu Werbezwecken im Verlauf eines Online-Bestellverfahrens ist per se unfreiwillig)

Darüber hinaus gelten folgende Neuerungen:

  • die Aufnahme der Einwilligungsvoraussetzungen eines Kindes ist nach EU-DSGVO Art. 8 nur dann rechtmäßig, wenn das Kind das 16. Lebensjahr vollendet hat oder die Zustimmung der Eltern für die Datenverarbeitung erteilt wird ( Die EU-Mitgliedstaaten können diese Grenze jedoch auf ein Alter zwischen 13 und 16 Jahren festlegen. *Die einzelnen geltenden nationalen Bestimmungen beachten!)
  • Art. 22 der EU-DSGVO führt den Begriff „Profiling“ ein. Darunter versteht man jede Art der automatisierten Verarbeitung personenbezogener Daten, die darauf abzielt, dass die Daten verwendet werden, um bestimmte persönliche Aspekte eines Betroffenen zu bewerten, zu analysieren oder vorherzusagen. Durch die EU-DSGVO erhält jeder Betroffene das Recht, nicht ausschließlich einer solchen (auf einer automatisierten Verarbeitung beruhenden) Entscheidung unterworfen zu werden, wenn diese rechtliche Wirkungen entfalten oder den Betroffenen in einer ähnlichen Weise erheblich beeinträchtigen kann. (z.B. automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Abwägen/Eingreifen)
  • Unternehmen haben künftig besondere Handlungsverpflichtung in den Fällen, in denen sie personenbezogene Daten „öffentlich“ gemacht haben. Unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten angemessener Maßnahmen müssen Unternehmen zukünftig andere Unternehmen darüber informieren, dass der Betroffene die Löschung aller Links, Kopien und Replikationen seiner Daten verlangt
  • mit dem neuen Recht auf Datenübertragbarkeit in Art. 20 verpflichtet die EU-DSGVO Unternehmen zukünftig, die Daten eines Betroffenen, die dieser dem Unternehmen bereitgestellt hat, in einem „strukturierten, gängigen und maschinenlesbaren Format“ zurückzugeben.
  • Art. 25 - Datenschutzfreundliche Voreinstellungen ("Privacy by Design" und "Privacy by Default") verpflichtet Unternehmen sowohl zum Zeitpunkt der Konzeption wie auch der eigentlichen Datenverarbeitung geeignete technische und organisatorische Maßnahmen voreinzustellen, so dass nur personenbezogene Daten verarbeitet werden, die für den Verarbeitungszweck erforderlich sind.
  • Neu ist die verpflichtende Meldung nach bekannt gewordenen Verletzungen innerhalb von 72 Stunden durch den im Unternehmen für die Verarbeitung personenbezogener Daten Verantwortlichen an die zuständige Aufsichtsbehörde
  • ebenfalls neu ist mit Art. 35 die Datenschutz-Folgenabschätzung als Weiterentwicklung der bisherigen Vorabkontrolle zum Schutz vor (besonderen) Risiken bei der Datenverarbeitung. Die neue Datenschutz-Folgenabschätzung bedarf einer systematischen Beschreibung der geplanten Verarbeitungsvorgänge und der Verarbeitungszwecke, gegebenenfalls einschließlich der vom Unternehmen verfolgten berechtigten Interessen, einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck, sowie einer Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen.
  • Die Haftung bei Verletzungen wird weiter gesteckt; die Haftungserstreckung auf ausländische Unternehmen mit Art. 3 trifft nun mehr auch ausländische Unternehmen unabhängig von ihrem konkreten Firmensitz. Für die Haftungserstreckung ist lediglich erforderlich, dass die gemeinsame Datenverarbeitung dazu dient, Unionsbürgern Waren oder Dienstleistungen anzubieten bzw. deren Verhalten zu beobachten, soweit dieses Verhalten in der Europäischen Union erfolgt. Damit haftet neben Facebook, Google und Co. zukünftig jeder Warenverkäufer und Dienstleister, sofern er sich mit seinem Angebot in einer Sprache der Europäischen Union an Unionsbürger richtet.

DSGVO und die Auftragsdatenverarbeitung

Die im BDSG geregelte „Auftragsdatenverarbeitung“ wird zur EU-DSGVO „Auftragsverarbeitung“. Stellen Sie in Zusammenarbeit mit externen Dienstleistern sicher, dass Sie einen wasserdichten Vertrag haben, der die Verantwortung jeder Vertragspartei aufführt.

Unternehmen müssen sicherstellen können, dass die ihrerseits eingesetzten Auftragsverarbeiter den zur Umsetzung der EU-DSGVO erforderlichen Einsatz von geeigneten organisatorischen und technischen Maßnahmen schriftlich nachweisen können. Dazu zählen:

  • Leistungs- und auftragsbezogene Dokumentationen: (eingesetzte Infrastrukturen, Ressourcen und Prozesse sind in schriftlicher oder elektronischer Form vom zuständigen Auftragsverarbeiter festzuhalten)
  • Allgemeine Maßnahmen zum Datenschutz
  • Technische und organisatorische Maßnahmen zum Datenschutz: (Passwortschutz und interne Verhaltensrichtlinienkataloge)

Im unternehmerischen Alltag liegt die Auftragsdatenverarbeitung z.B. vor bei

  • Outsourcing des Rechenzentrums (ganz oder teilweise).
  • Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
  • Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
  • Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern.
  • Externe Lohn- und Gehaltsabrechnung.
  • Externe Rechnungsbearbeitung / Buchhaltung.
  • Zugriff auf personenbezogene Daten vor Ort bei Auftraggebern

EU-DSGVO – Wann ist ein Datenschutzbeauftragter relevant?

Aufgaben und Pflichten des Datenschutzbeauftragten werden in Art. 37ff. geregelt. Die EU-DSGVO stellt es hier den meisten Mitgliedsstaaten hinsichtlich privat-wirtschaftlicher Unternehmen frei, ob zukünftig die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht. Die Aufgaben des Datenschutzbeauftragten erstreckten sich bislang auf die Unterrichtung und Beratung der Unternehmen. Neu ist in Zukunft die Pflicht zur Überwachung der Einhaltung der EU-DSGVO, anderer Datenschutzvorschriften sowie der Strategie des Unternehmens einschließlich der Zuweisung von Zuständigkeiten. Damit steigt der Einflussbereich maßgeblich.

Folgen und Auswirkungen der EU-DSGVO

Was ändert sich für Unternehmen und was müssen Unternehmen nach Maßgabe der EU-DSGVO im Unternehmensalltag künftig tun?

Neben den bereits eingangs erwähnten Dokumentations- und Berichtspflichten gilt prinzipiell folgende Checkliste:

  • Datenschutz durch Technik (Bauen Sie Datenschutzvorkehrungen bereits in einer frühen Entwicklungsphase in Ihre Produkte und Dienstleistungen ein)
  • Wenn Sie eine Profilerstellung nutzen, um Anträge für rechtsverbindliche Vereinbarungen wie Darlehen zu verarbeiten, müssen Sie:
  • die Kunden informieren,
  • sicherstellen, dass eine Person und kein Roboter das Verfahren prüft,
  • falls der Antrag abgelehnt wird, dem Antragsteller das Recht geben, die Entscheidung anzufechten

Verwenden Sie außerdem

  • besondere Schutzmaßnahmen für Informationen zu Gesundheit, ethnischer Zugehörigkeit, sexueller Orientierung, Religion und politischen Ansichten
  • treffen Sie rechtliche Vorkehrungen, wenn Sie Daten in Länder übermitteln, die nicht durch die EU-Behörden zugelassen wurden

Aufzeichnungspflicht KMU

Bei KMU liegt Aufzeichnungspflicht nur vor, wenn die Datenverarbeitung regelmäßig stattfindet, eine Bedrohung der Rechte und Freiheiten der Menschen darstellt und/oder sensitive Daten oder Strafregister betrifft.

Die Aufzeichnungen müssen in den genannten Fällen folgende Informationen enthalten:

  • Name und Kontaktinformationen des Unternehmens
  • Gründe für die Datenverarbeitung
  • Beschreibung der Kategorien von betroffenen Personen und Personen bezogenen Daten
  • Kategorien der Organisationen, die diese Daten erhalten
  • Übermittlung von Daten in ein anderes Land oder an eine andere Organisation
  • Frist für die Löschung der Daten, sofern möglich
  • Beschreibung der Sicherheitsmaßnahmen, die bei der Verarbeitung genutzt werden, sofern möglich

EU-DSGVO Verstöße und Haftung

Die EU-DSGVO erweitert zukünftig die Haftungsverantwortlichkeit eines jeden Unternehmens und verpflichtet ergänzend auch im Fall von rein moralischen Schäden zur Schadensersatzpflicht. Zukünftig wird nicht mehr nur überprüft werden, ob ein Schaden tatsächlich in der vorgeworfenen Datenverarbeitung seine Ursache gefunden hat, sondern ob die Datenverarbeitung einer zu erwartenden sachgerechten Datenverarbeitung entsprochen hat. Damit steigt das potentielle Haftungsrisiko eines jeden Unternehmens.

Die Bandbreite der zu erwartenden Strafen reichen in Abhängigkeit der Vergehen von Verwarnung über Rüge, Aussetzung der Datenverarbeitung bis hin zu Geldstrafen von bis zu 20 Millionen EUR oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorgelagerten Geschäftsjahres.

Das könnte Sie auch interessieren

Crypto

Digitalisierung

Tiefgreifende Veränderungen von Wirtschaft und Gesellschaft durch digitale Technologien - die digitale Transformation ist ein struktureller Veränderungsprozess eines Unternehmens und eine der wichtigsten Führungsaufgaben der kommenden Jahre. Künstliche Intelligenz, Big Data, neue Geschäftsmodelle und Arbeitswelten: Hier erfahren Sie alles rund um Digitale Themen und Potenziale für Ihr Unternehmen.

Recht und Steuern

Recht & Steuern

Neue Gesetze und Vorschriften, relevante Reformen und aktuelle Vorschriften - hier finden Sie die wichtigsten Neuigkeiten und Tipps zu rechtlichen Themen wie Gewerbeanmeldung, Rechtsformen, Scheinselbständigkeit, Umsatzsteuer uvm.