Die EU-Datenschutzgrundverordnung

Die „verschärften Datenschutzvorschriften“ der Europäischen Datenschutzgrundverordnung sollen u.a. bewirken, dass die Bürger der EU eine „bessere Kontrolle über ihre Daten“ haben und „Unternehmen von Wettbewerbsgleichheit profitieren“. 2,3 Milliarden EUR beträgt der geschätzte wirtschaftliche Vorteil, der dadurch erreicht werden soll.

Grundsätzlich ändert sich durch die EU-DSGVO an den bisherigen Voraussetzungen für die Verarbeitung von personenbezogenen Daten nichts.

Als personenbezogene Daten nach EU-DSGVO gelten:

• Name
• Adresse
• Lokalisierung
• Online-Kennungen
• Gesundheitsdaten
• Einkommen
• Kulturelles Profil etc.

Folgende Regeln sind nach wie vor im Prozess einer rechtmäßigen Verarbeitung personenbezogener Daten für Unternehmen bindend:

• Es muss eine Einwilligung für die Verarbeitung personenbezogener Daten für einen oder mehrere Zwecke vorliegen (Motiv der Freiwilligkeit wird gekennzeichnet; in einfacher Form und verständlicher Sprache verfasst).
• Die Verarbeitung der Daten ist prinzipiell notwendig und zwar aufgrund eines Vertrages (oder vorvertragliche Maßnahmen), auf der Basis einer gesetzlichen Grundlage, aufgrund eines berechtigten Interesses der verantwortlichen Stelle oder aufgrund eines berechtigten Interesses eines Dritten, das die Verarbeitung der Personen bezogenen Daten erforderlich macht.
• Das Recht auf Widerruf der Einwilligung wird erteilt und kann jederzeit ausgeübt werden.
• Die Weiterverarbeitung personenbezogener Daten ist mit Art. 6 nur dann zulässig, wenn diese mit dem ursprünglich festgelegten, eindeutigen und rechtmäßigen Zweck, weshalb die Daten erhoben worden sind, vereinbar ist. (Zweckbindungs-Prinzip)
• Das Recht auf Löschung („Vergessenwerden“, Art. 17) gilt nach wie vor (Daten sind bei Zweckwegfall zu löschen).
• Es besteht weiterhin Benachrichtigungspflicht bei Datenschutzverletzungen (Art. 33), wenn personenbezogene Daten eines Betroffenen verletzt wurden und dieser Umstand voraussichtlich zu einem Risiko für die Rechte und Freiheiten des Betroffenen führen wird. Neu ist seit 2018, dass der Verantwortliche innerhalb von 72 Stunden nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde hierüber eine Meldung abgeben muss.

Die EU-Datenschutzgrundverordnung ist ein Regelwerk für alle in der EU tätigen Unternehmen, egal wo sie ansässig sind.

Das bisher nicht absolut geltende Kopplungsverbot §28 Abs. 3b BDSG wird zum verschärften Kopplungsverbot EU-DSGVO Art. 7 Abs. 4 inklusive Erwägungsgrund-Prinzip:

§28 Abs. 3b BDSG wie folgt: “Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Eine unter solchen Umständen erteilte Einwilligung ist unwirksam.” (loses Wettbewerber-Prinzip)

wird verschärft zu

Art. 7 Abs. 4 EU-DSGVO inklusive Erwägungsgrund-Prinzip wie folgt: “Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.” (z.B. die Einwilligung der Erhebung von Daten zu Werbezwecken im Verlauf eines Online-Bestellverfahrens ist per se unfreiwillig)

Darüber hinaus gelten folgende Neuerungen:

Die Aufnahme der Einwilligungsvoraussetzungen eines Kindes ist nach EU-DSGVO Art. 8 nur dann rechtmäßig, wenn das Kind das 16. Lebensjahr vollendet hat oder die Zustimmung der Eltern für die Datenverarbeitung erteilt wird ( Die EU-Mitgliedstaaten können diese Grenze jedoch auf ein Alter zwischen 13 und 16 Jahren festlegen. *Beachte hier die einzelnen geltenden nationalen Bestimmungen!)

Art. 22 der EU-DSGVO führt außerdem den Begriff des „Profiling“ ein. Darunter versteht man jede Art der automatisierten Verarbeitung personenbezogener Daten, die darauf abzielt, dass die Daten verwendet werden, um bestimmte persönliche Aspekte eines Betroffenen zu bewerten, zu analysieren oder vorherzusagen. Durch die EU-DSGVO erhält jeder Betroffene das Recht, nicht ausschließlich einer solchen (auf einer automatisierten Verarbeitung beruhenden) Entscheidung unterworfen zu werden, wenn diese rechtliche Wirkungen entfalten oder den Betroffenen in einer ähnlichen Weise erheblich beeinträchtigen kann. (z.B. automatische Ablehnung eines Online-Kreditantrags oder eien Absage im Rahmen eines Online-Einstellungsverfahrens ohne jegliches menschliche Abwägen/Eingreifen).

Unternehmen haben künftig besondere Handlungsverpflichtung in den Fällen, in denen sie personenbezogene Daten „öffentlich“ gemacht haben. Unter Berücksichtigung deiner verfügbaren Technologien und der Implementierungskosten angemessener Maßnahmen musst du andere Unternehmen darüber informieren, insofern ein Betroffener die Löschung aller Links, Kopien und Replikationen seiner Daten verlangt.

Mit dem neuen Recht auf Datenübertragbarkeit in Art. 20 verpflichtet die EU-DSGVO Unternehmen darüber hinaus die Daten eines Betroffenen, die dieser dem Unternehmen bereitgestellt hat, in einem „strukturierten, gängigen und maschinenlesbaren Format“ zurückzugeben.

Art. 25 - Datenschutzfreundliche Voreinstellungen ("Privacy by Design" und "Privacy by Default") verpflichtet Unternehmen sowohl zum Zeitpunkt der Konzeption wie auch der eigentlichen Datenverarbeitung geeignete technische und organisatorische Maßnahmen voreinzustellen, so dass nur personenbezogene Daten verarbeitet werden, die für den Verarbeitungszweck erforderlich sind.

Neu ist zudem die verpflichtende Meldung nach bekannt gewordenen Datenschutzverletzungen. Innerhalb von 72 Stunden muss der im Unternehmen für die Verarbeitung personenbezogener Daten Verantwortliche hierüber eine Meldung an die zuständige Aufsichtsbehörde abgeben.

Ebenfalls neu ist mit Art. 35 die Datenschutz-Folgenabschätzung als Weiterentwicklung der bisherigen Vorabkontrolle zum Schutz vor (besonderen) Risiken bei der Datenverarbeitung. Die neue Datenschutz-Folgenabschätzung bedarf einer systematischen Beschreibung der geplanten Verarbeitungsvorgänge und der Verarbeitungszwecke, gegebenenfalls einschließlich der vom Unternehmen verfolgten berechtigten Interessen, einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck, sowie einer Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen.

Die Haftung bei Verletzungen wird weiter gesteckt; die Haftungserstreckung auf ausländische Unternehmen mit Art. 3 trifft nun mehr auch ausländische Unternehmen unabhängig von ihrem konkreten Firmensitz. Für die Haftungserstreckung ist lediglich erforderlich, dass die gemeinsame Datenverarbeitung dazu dient, Unionsbürgern Waren oder Dienstleistungen anzubieten bzw. deren Verhalten zu beobachten, soweit dieses Verhalten in der Europäischen Union erfolgt. Damit haftet neben Facebook, Google und Co. zukünftig jeder Warenverkäufer und Dienstleister, sofern er sich mit seinem Angebot in einer Sprache der Europäischen Union an Unionsbürger richtet.

Die im BDSG geregelte „Auftragsdatenverarbeitung“ wird zur EU-DSGVO „Auftragsverarbeitung“. Stelle in Zusammenarbeit mit externen Dienstleistern sicher, dass du einen wasserdichten Vertrag hast, der die Verantwortung jeder Vertragspartei aufführt.

Unternehmen müssen sicherstellen können, dass die ihrerseits eingesetzten Auftragsverarbeiter den zur Umsetzung der EU-DSGVO erforderlichen Einsatz von "geeigneten organisatorischen und technischen Maßnahmen" schriftlich nachweisen können. Dazu zählen:

1. Leistungs- und auftragsbezogene Dokumentationen zu den eingesetzten Infrastrukturen, Ressourcen und Prozessen in schriftlicher oder elektronischer Form, aufzubewahren vom zuständigen Auftragsverarbeiter 
2. Allgemeine Maßnahmen zum Datenschutz
3. Technische und organisatorische Maßnahmen zum Datenschutz: (Passwortschutz und interne Verhaltensrichtlinienkataloge)

Im unternehmerischen Alltag liegt die Auftragsdatenverarbeitung z.B. vor bei

• Outsourcing des Rechenzentrums (ganz oder teilweise).
• Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
• Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
• Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern.
• Externe Lohn- und Gehaltsabrechnung.
• Externe Rechnungsbearbeitung / Buchhaltung.
• Zugriff auf personenbezogene Daten vor Ort bei Auftraggebern

Aufgaben und Pflichten des Datenschutzbeauftragten werden in Art. 37ff. geregelt. Die EU-DSGVO stellt es hier den meisten Mitgliedsstaaten hinsichtlich privat-wirtschaftlicher Unternehmen frei, ob zukünftig die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht. Die Aufgaben des Datenschutzbeauftragten erstreckten sich bislang auf die Unterrichtung und Beratung der Unternehmen. Neu ist in Zukunft die Pflicht zur Überwachung der Einhaltung der EU-DSGVO, anderer Datenschutzvorschriften sowie der Strategie des Unternehmens einschließlich der Zuweisung von Zuständigkeiten. Damit steigt der Einflussbereich maßgeblich.

Neben den bereits eingangs erwähnten Dokumentations- und Berichtspflichten gilt prinzipiell folgende Checkliste:

• Datenschutz durch Technik (Baue Datenschutzvorkehrungen bereits in einer frühen Entwicklungsphase in deine Produkte und Dienstleistungen ein)
• Wenn du eine Profilerstellung nutzt, um Anträge für rechtsverbindliche Vereinbarungen wie Darlehen zu verarbeiten, musst du deine Kunden darüber informieren, sicherstellen, dass eine Person und kein Roboter das Verfahren prüft sowie im Fall einer Ablehnung des Antrags, dem Antragsteller das Recht geben, die Entscheidung anzufechten.
• Verwende besondere Schutzmaßnahmen für Informationen zu Gesundheit, ethnischer Zugehörigkeit, sexueller Orientierung, Religion und politischen Ansichten.
• Triff rechtliche Vorkehrungen, wenn du Daten in Länder übermittelst, die nicht durch die EU-Behörden zugelassen wurden.

Aufzeichnungspflicht für KMU beachten!

Bei KMU liegt eine Aufzeichnungspflicht nur dann vor, wenn

1. die Datenverarbeitung regelmäßig stattfindet,
2. eine Bedrohung der Rechte und Freiheiten der Menschen darstellt und/oder
3. sensitive Daten oder Strafregister betrifft.

Trifft dies auf dein Unternehmen zu, müssen die Aufzeichnungen folgende Informationen enthalten:

• Name und Kontaktinformationen deines Unternehmens
• Gründe für die Datenverarbeitung
• Beschreibung der Kategorien von betroffenen Personen und Personen bezogenen Daten
• Kategorien der Organisationen, die diese Daten erhalten
• Übermittlung von Daten in ein anderes Land oder an eine andere Organisation sofern praktiziert
• Frist für die Löschung der Daten, sofern möglich
• Beschreibung der Sicherheitsmaßnahmen, die bei der Verarbeitung genutzt werden, sofern möglich

Die EU-DSGVO erweitert die Haftungsverantwortlichkeit eines jeden Unternehmens und verpflichtet ergänzend auch im Fall von rein moralischen Schäden zur Schadensersatzpflicht.

Sachverstand und Sorgfalt schützen dich vor Abmahnungen

Zukünftig wird nicht mehr nur überprüft werden, ob ein Schaden tatsächlich in der vorgeworfenen Datenverarbeitung seine Ursache gefunden hat, sondern ob die Datenverarbeitung einer zu erwartenden sachgerechten Datenverarbeitung entsprochen hat. Damit steigt das potentielle Haftungsrisiko eines jeden Unternehmens.

Die Bandbreite der zu erwartenden Strafen reichen in Abhängigkeit der Vergehen von Verwarnung über Rüge, Aussetzung der Datenverarbeitung bis hin zu Geldstrafen von bis zu 20 Millionen EUR oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorgelagerten Geschäftsjahres.