EU-Datenschutz-Grundverordnung

Innerhalb des Trilogs – bestehend aus Parlament, Kommission und Ministerrat – hat sich die EU nun nach jahrelangem Ringen auf eine Datenschutzreform geeinigt. Die neuen Regeln lösen die Richtlinie aus dem Jahre von 1995 ab. Die Grundverordnung trat am 25.05.2016 in Kraft und besitzt ab dem 25.05.2018 Gültigkeit. 

Die Grundverordnung ist zwar noch nicht bei der aktuellen Verarbeitung von personenbezogenen Daten zu beachten und es müssen demnach auch noch keine Aktivitäten in Ihrem Unternehmen umgesetzt werden. Andererseits sollten Sie sich rechtzeitig (idealerweise schon jetzt) mit der Grundverordnung auseinandersetzen. Hier sollte Qualität vor Geschwindigkeit gelten. Seien Sie beruhigt: Die UIMC wird Sie rechtzeitig und umfassend informieren.

Auf dieser Seite wollen wir Sie über die Neuerungen informieren und werden sukzessive Informationen zur Grundverordnung veröffentlichen. Ein regelmäßiger Besuch lohnt sich also. Sie wollen aktiv informiert werden? Dann abonnieren Sie unseren kostenfreien Info-Brief „UIMCommunication“.

Regionalkonferenzen

Was ändert sich?

... im Hinblick auf die Harmonisierung des Datenschutzrechts innerhalb der EU durch die Grundverordnung?

Aufgrund von diversen Kompromissen innerhalb des Trilogs sind verschiedene Öffnungsklauseln für die Nationalstaaten entstanden. So wird höchstwahrscheinlich das Bundesdatenschutzgesetz (oder ein ähnliches Gesetz) auch weiterhin bestehen bleiben. In welchem Umfang dies geschehen wird, ist jedoch noch unklar, da sich der deutsche Gesetzgeber diesbezüglich noch nicht geäußert hat.
Deutschland (und die anderen EU-Staaten) haben die Möglichkeit, u. a. in den folgenden Gebieten eigene Regelungen zu erlassen:

  • Voraussetzungen für die Bestellung eines Datenschutzbeauftragten
  • Spezielle Regelungen bei Beschäftigtendaten
  • Erlaubnistatbestände zur Verarbeitung personenbezogener Daten
  • Einschränkungen der Betroffenenrechte
  • Vorgaben für Auftragnehmer im Rahmen der Auftragsdatenverarbeitung (z. B. wie aktuell schon in Österreich)
  • Verschärfung von Vorabkontrollverfahren

... durch die EU-Datenschutz-Grundverordnung (ein Überblick)?

Die Grundprinzipien des Datenschutzes bleiben im Wesentlichen unverändert: Verbot mit Erlaubnisvorbehalt, Zweckbindung, Erforderlichkeit und Datenvermeidung/-sparsamkeit. Auch wird die Funktion des Datenschutzbeauftragten weiter erhalten bleiben, wobei durch nationale Öffnungsklauseln die konkrete Ausgestaltung noch nicht sicher ist. In Deutschland kann aber mit einer Fortführung der aktuellen Rechtslage gerechnet werden.
Gegenüber der bisherigen Praxis werden aber dennoch verschiedene Änderungen auf Sie zukommen, so dass die interne Organisation entsprechend geprüft werden muss:

  • Änderungen bei der Rechtsauffassung/-auslegung im Hinblick auf die Erlaubnistatbestände
  • ggf. Vereinfachungen für Konzerne beim Datenaustausch
  • höhere dokumentatorische und Prüfungsanforderungen beispielsweise bei den Datensicherheitsmaßnahmen sowie Notwendigkeit eines kontinuierlichen Verbesserungsprozesses
  • höhere Vorabkontroll-Pflichten („Datenschutz-Folgeabschätzung“ unter Einbeziehung der Aufsichtsbehörden)
  • Garantien im Rahmen der Auftragsdatenverarbeitung sowie stärkere Eigenverantwortung durch den Auftragnehmer

Doch auch hier gilt: Qualität geht vor Geschwindigkeit. Seien Sie beruhigt: Die UIMC wird Sie rechtzeitig und umfassend informieren.

... im Rahmen der Entscheidungen auf EU-Ebene (ein Zeitplan)? 

(25.05.2018) Gültigkeit der Datenschutz-Grundverordnung
(01.08.2016) In-Kraft-treten des "EU-US-Privacy-Shields"
(25.05.2016) In-Kraft-treten der Datenschutz-Grundverordnung
(04.05.2016) Veröffentlichung der Grundverordnung im Amtsblatt [Download der deutschen Version der EU-Datenschutz-Grundverordnungweitere Sprachen finden Sie bei der EU (externer Link)]
(14.04.2016) EU-Parlament verabschiedet EU-Datenschutz-Grundverordnung
(01.02.2016) Einigung der EU-Kommission und den USA zu „Privacy Shield“
(28.01.2016) Veröffentlichung der deutschen Version der EU-Datenschutz-Grundverordnung (offizielle Version der EU)
(15.12.2015) Einigung im Trilog zur EU-Datenschutz-Grundverordnung 
(06.10.2015) Urteil des EuGH zu Safe Harbor

… bei der Zulässigkeit der Datenverarbeitung?

Auch weiterhin bleibt das „Verbot mit Erlaubnisvorbehalt“ als zentraler Grundsatz des Datenschutzes erhalten, so dass jede Datenverarbeitung einer gesetzlichen Erlaubnis oder Einwilligung des Betroffenen bedarf. In Artikel 6 DS-GVO werden diese Erlaubnisnormen wie folgt aufgezählt:

  • Einwilligung des Betroffenen
  • Erfüllung eines Vertrags zwischen verantwortlicher Stelle und Betroffenen,
  • Erfüllung einer rechtlichen Verpflichtung,
  • Schutz lebenswichtiger Interessen des Betroffenen,
  • Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt,
  • Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Im Hinblick auf besondere Kategorien personenbezogener Daten werden zusätzliche Anforderungen gestellt (siehe weiter unten). Auch bei der Verarbeitung von Daten von Kindern sind besondere Regelungen geschaffen worden.

Der Grundsatz der Direkterhebung ist keine explizite Forderung mehr in der DS-GVO. Hiervon kann künftig abgewichen werden, wenn die Informationspflichten des Art. 14 DS-GVO beachtet werden.

Neu ist die Aufnahme des Auffangtatbestandes von Treu und Glauben. Dies ist aus dem Zivilrecht bereits bekannt (Vgl. § 242 BGB). Hierunter werden eine Vielzahl von Fallgruppen gefasst (z. B. Rechtsmissbrauch, widersprüchliches Verhalten), so dass dieser Grundsatz zukünftig insbesondere deswegen von Relevanz für Gerichte oder Aufsichtsbehörden sein wird, weil in der Grundverordnung z. T. recht allgemeine Vorgaben gemacht werden.

Auch wenn die inhaltliche Gestaltung in der Datenschutz-Grundverordnung etwas anders gestaltet ist, so bleibt auch die Zweckbindung weiterhin erhalten. Eine „Zweckerweiterung“ ist aber nach einer Interessenabwägung grundsätzlich möglich.

Analoges gilt für die Datensparsamkeit, so dass „personenbezogene Daten […] dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein [müssen] (“Datenminimierung”)”. Eine „Anonymisierung“ kennt die Grundverordnung aber – zumindest in den Begriffsbestimmungen – nicht mehr.

… bei der Verarbeitung von besonderen Kategorien personenbezogener Daten?

Wie bereits aktuell werden auch künftig bestimmte Datenkategorien gegenüber „normalen“ personenbezogenen Daten besonders geschützt sein. Hierzu zählen auch weiterhin

  • rassische oder ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen,
  • Gewerkschaftszugehörigkeit,
  • Gesundheitsdaten,
  • Sexualleben.

Hinzugekommen sind genetische und biometrische Daten sowie Daten zur sexuellen Orientierung. Stärker als bisher gilt bei diesen „besonderen Kategorien personenbezogener Daten“ das Verbot mit Erlaubnisvorbehalt, so dass in der Regel eine Verarbeitung dieser Daten untersagt ist. Grundsätzlich sind nachfolgende Zulässigkeitsvoraussetzungen vorgesehen:

  • Einwilligung
  • Zwecke der Gesundheitsvorsorge, Arbeitsmedizin etc.
  • im öffentlichen Interesse liegende Wissenschaft und Archivzwecke
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
  • Öffnungsklausel für genetische, biometrische oder gesundheitliche Daten
  • Schutz lebenswichtiger Interessen
  • Daten sind offenkundig durch den Betroffenen öffentlich gemacht

Neu ist eine spezielle Regelung hinsichtlich der Datenverarbeitung von Straftaten oder strafrechtlichen Verurteilungen geben. So darf eine Datenverarbeitung grundsätzlich nur unter behördlicher Aufsicht oder aufgrund einer expliziten Rechtsvorschrift stattfinden. Demnach dürfen Arbeitgeber nur dann Führungszeugnisse einholen, sofern eine ausdrückliche gesetzliche Grundlage besteht (z. B. bei Aufgaben in der Kinder- und Jugendhilfe).

… bei den Rechten der Betroffenen?

Ziel der Grundverordnung ist es auch, die Rechte der Betroffenen zu stärken. Hierbei wurden die Rechte der Betroffenen gegenüber dem BDSG ausgebaut.

Die Datenschutz-Grundverordnung sieht teilweise erheblich über die bisherigen Pflichten des BDSG zur Benachrichtigung und Unterrichtung hinausgehende Informationspflichten vor. So müssen beispielsweise künftig neben der Identität der verantwortlichen Stelle auch Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten angegeben werden. Auch die zugrunde liegende Rechtsgrundlage und die Kategorien von Empfängern müssen mitgeteilt werden. Ebenfalls neu ist beispielsweise die Information zur Übermittlung an ein Drittland, über die Speicherfristen, zu den Betroffenenrechten, über Widerspruchsrechte bei Einwilligungen sowie über Beschwerderechte. Werden Daten nicht beim Betroffenen selbst erhoben, kommen weitere Informationspflichten hinzu.

Ähnlich wie im BDSG kann diese Information unterbleiben, wenn der Betroffene bereits Kenntnis über die besagten Informationen hat. Neu sind aber Vorgaben zu Fristen und zur Form der Information.

Die Rechte auf Auskunft, Löschung („Recht auf Vergessen“), Sperrung („Einschränkung“), Berichtigung oder Widerspruch sind sehr ähnlich im Vergleich zu den aktuellen Regelungen. Neu ist das sog. „Recht auf Datenübertragbarkeit“. Betroffene haben das Recht, „die sie betreffenden personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ und „diese Daten einem anderen für die Verarbeitung Verantwortlichen ohne Behinderung durch den für die Verarbeitung Verantwortlichen, dem die Daten bereitgestellt wurden, zu übermitteln.“ Relevanz kann dies beispielsweise beim Wechsel von Internetdiensten haben, wie beispielsweise sozialen Netzwerken, von Providern (Mail, Telekom etc.) oder von Versorgern (Strom, Gas usw.).

… bei dem Datenschutzbeauftragten?

Die Grundverordnung sieht die Funktion des Datenschutzbeauftragten als obligatorisch an, wenn

es sich um eine Behörde oder öffentliche Stelle handelt oder

die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht,

die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder

besondere Kategorien von Daten oder Daten strafrechtliche Verurteilungen und Straftaten enthalten.

Des Weiteren gibt es eine sog. „Öffnungsklausel“, nach der die Nationalstaaten abweichende Regelungen treffen können. In Deutschland kann man davon ausgehen, dass die bestehende Situation hinsichtlich der Bestellung eines Datenschutzbeauftragten bestehen bleiben wird.

… bei der Verfahrensübersicht (Verzeichnis von Verarbeitungstätigkeiten)?

In der neuen DS-GVO wird das Führen eines Verzeichnisses aller Verarbeitungstätigkeiten vorgeschrieben. Inhaltlich ähnelt dies der bekannten Verfahrensübersicht in Deutschland oder Meldung des Datenverarbeitungsregisters (DVR) in Österreich. Ein Jedermann-Verzeichnis ist aber nicht mehr zu führen; vielmehr muss das Verzeichnis der Aufsichtsbehörden auf Antrag zur Verfügung gestellt werden.

…bei der Vorabkontrolle (Datenschutz-Folgenabschätzung)?

Bislang war eine Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten durchzuführen. Künftig ist bei der Durchführung der Rat des Datenschutzbeauftragten einzuholen. Die neue Datenschutz-Folgenabschätzung ähnelt der Vorabkontrolle, doch gibt es kaum Ausnahmenregelungen mehr, so dass diese öfter durchzuführen ist. Diese ist zu dokumentieren, was auch gilt, wenn eine Datenschutz-Folgenabschätzung nicht erforderlich erscheint. Die Aufsichtsbehörden werden eine Liste jener Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Auch gibt es nun inhaltliche Vorgaben an die Dokumentation. Wenn das Ergebnis der Datenschutz-Folgenabschätzung ist, dass bei der Datenverarbeitung ein hohes Risiko für die Betroffenen besteht, dann ist vor Beginn der Verarbeitung die Aufsichtsbehörde zu konsultieren. Dies gilt aber nur dann, wenn der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos getroffen hat. Nach dem Wortlaut der Grundverordnung kann das Unternehmen der Konsultationspflicht dadurch entgehen, wenn ausreichende Maßnahmen zum Schutz der Betroffenen ergriffen wurden.

… bei Verpflichtung auf das Datengeheimnis?

Eine explizite Pflicht ist in der DS-GVO nicht mehr enthalten. Implizit oder empfehlenswert bleibt eine Verpflichtung auf den Datenschutz aber auch weiterhin. Das Unternehmen hat als verantwortliche Stelle sicherzustellen, dass personenbezogene Daten so verarbeitet werden, dass einerseits ein angemessenes Sicherheitsniveau gewährleistet ist und andererseits keine unberechtigte oder ungesetzliche Verarbeitung stattfindet. Demnach obliegt der Geschäftsführung eine Organisationsschuld, der sie u. a. durch eine Verpflichtung der Mitarbeiter nachkommen kann.

…bei den Schulungen?

Eine mehr oder minder explizite Forderung nach Schulungen ist nur in Artikel 39 DS-GVO erkennbar, nach dem es Aufgabe des Datenschutzbeauftragten ist, eine Unterrichtung und Beratung der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten sowie nach sonstigen Datenschutzvorschriften vorzunehmen. Für eine pragmatische Umsetzung des Datenschutzes ist eine regelmäßige Schulung und Sensibilisierung ohnehin empfehlenswert.

… bei der Auftragsdatenverarbeitung für den Auftraggeber?

Ähnlich wie im aktuellen § 11 BDSG, welcher die Auftragsdatenverarbeitung regelt (also die Auslagerung von bestimmten Tätigkeiten wie Personalabrechnung, IT-Support oder Call Center), wird auch nach den Regelungen der Datenschutz-Grundverordnung der für die Verarbeitung Verantwortliche für die Einhaltung der wesentlichen datenschutzrechtlichen Vorschriften verantwortlich sein. Auch ist der Dienstleister („Auftragsverarbeiter“) weiterhin sorgfältig auszuwählen, wobei weiterhin der Fokus auf die getroffenen technischen und organisatorischen Schutzmaßnahmen und die Gewährleistung der Rechte der betroffenen Personen zu legen ist. Des Weiteren bleibt die Weisungsgebundenheit des Auftragsverarbeiters erhalten. Für die Begründung eines Auftragsdatenverarbeitungsverhältnisses ist auch künftig ein Vertrag notwendig. Dieser Vertrag ist aber nicht mehr zwingend schriftlich abzuschließen; dies bleibt jedoch weiterhin empfehlenswert. Zulässig ist aber eine Vereinbarung in einem elektronischen Format (Textform ist demnach ausreichend). Die inhaltlichen Anforderungen an den Vertrag sind aus dem Bundesdatenschutzgesetz bekannt bzw. folgen der gängigen Rechtsmeinung. Die Kommission kann hierzu „Standardvertragsklauseln“ erarbeiten.

… bei der Auftragsdatenverarbeitung für den Auftragnehmer (Auftragsverarbeiter)?

Die Haftung des Auftragsverarbeiters gegenüber den betroffenen Personen und den Aufsichtsbehörden ist in der Datenschutz-Grundverordnung verschärft worden. Anders als aktuell haften Auftraggeber und Auftragsverarbeiter gemeinsam für Datenschutzverstöße gegenüber den betroffenen Personen. Eine Haftung scheidet nur aus, wenn einer der Vertragsparteien nachweisen kann, dass er für den eingetretenen Schaden nicht verantwortlich ist. Neu ist, dass der Auftragsverarbeiter als für die Verarbeitung Verantwortlicher gilt, sofern er Daten entgegen den erteilten Weisungen verarbeitet. Aber auch in anderen Punkten nimmt die Datenschutz-Grundverordnung den Auftragsverarbeiter stärker in die Verantwortung. Künftig muss auch der Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten (vgl. Verfahrensübersicht) führen, welche er für den Verantwortlichen durchführt. Auch ist er per Grundverordnung verpflichtet, den Auftraggeber unverzüglich zu informieren, wenn er Kenntnis von einer Datenpanne bekommt, und hat einen Datenschutzbeauftragten zu bestellen.

… bei der Datenverarbeitung im „Joint Control“?

Die Rechtsfigur der „gemeinsam für die Verarbeitung Verantwortlichen“ („joint control“) ist in Deutschland, anders als beispielsweise in Österreich, nicht bekannt. Wesentlicher Unterschied zur Auftragsdatenverarbeitung ist, dass die an der Verarbeitung Beteiligten grundsätzlich gleichberechtigt sind (keine Weisungsgebundenheit des Auftragverarbeiters). Es sind Mittel und Zwecke der Verarbeitung gemeinsam festzulegen. Art. 26 DS-GVO enthält konkrete Vorgaben für die Datenverarbeitung im sog. Joint Control. In einer Vereinbarung sind die datenschutzrechtlichen Aufgaben festzulegen, wie z. B. Informationspflichten und andere Betroffenenrechte. Die wesentlichen Inhalte sind den betroffenen Personen transparent zu machen. Innerhalb von Unternehmensgruppen und Konzernen kann dies den Austausch personenbezogener Daten zwischen selbstständigen rechtlichen Einheiten vereinfachen. Die in diesem Zusammenhang stattfindenden Datenübermittlungen müssen sich aber im vorgegebenen Rahmen der DS-GVO bewegen (insbesondere hinsichtlich einer Rechtsgrundlage).

… bei der Datenverarbeitung im Konzern?

Auch künftig wird es grundsätzlich kein Konzernprivileg geben, wie es zunächst in der Grundverordnung geplant war. So findet sich in der finalen Fassung der DS-GVO keine Privilegierung, sondern nur in den Erwägungsgründen: “Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.” Die Erwägungsgründe gehören aber formal nicht zum Gesetzestext, sondern dienen nur als Auslegungshilfe (vgl. Gesetzesbegründung). Doch auch wenn es keine Privilegierung gibt, kann aufgrund der Erwägungsgründe eine Argumentation zum vereinfachten konzerninternen Datentransfer aufgebaut werden. So müssen Aufsichtsbehörden (oder auch Gerichte) selbst triftige Gründe anführen, ein berechtigtes Interesse im Konzern zurückzuweisen. Hierfür ist es aber zwingend erforderlich, dass Konzerne wirksame Maßnahmen zur Gewährleistung eines einheitlichen Datenschutzniveaus ergreifen. Ratsam ist eine analoge Vorgehensweise wie aktuell, indem der Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des „Düsseldorfer Kreises“ umgesetzt wird.

… bei Datenpannen?

Aktuell müssen Unternehmen, denen Daten „abhanden“ gekommen sind („unrechtmäßige Kenntnisnahme durch Dritte“), Aufsichtsbehörde und die Betroffenen informieren. Künftig werden die Anforderungen an eine Dokumentation und Meldung von Datenpannen erweitert. Zum einen ist künftig eine Meldung nicht nur bei „besonders sensiblen“ Daten erforderlich. Des Weiteren sind nicht nur Datenpannen betroffen, die eine „unrechtmäßige Kenntnisnahme von Daten durch einen Dritten“ zur Folge haben, sondern auch interne Datenpannen. Aber nicht alle Datenpannen sind zu melden; vielmehr ist auch weiterhin eine Abwägung erforderlich, ob besondere Risiken bestehen. Zum anderen sind künftig alle Datenschutzverletzungen zu dokumentieren; demnach auch jene, die keine Meldung an die Aufsichtsbehörde erfordern.

… bei den Aufsichtsbehörden?

Kernaufgabe der Aufsichtsbehörden wird unter der DS-GVO auch weiterhin die Überwachung und Durchsetzung der Vorschriften zum Schutz personenbezogener Daten sein. Die Aufgaben der Aufsichtsbehörden wurden aber auch erweitert, wie z. B. die Genehmigung von Drittlandtransfers oder Einbindung bei Datenschutz-Folgeabschätzungen. Die Einführung des sog. „One-Stop-Shop“ stellt eine wichtige Änderung für multinationale Unternehmen dar. Dieses kann sowohl den Betroffenen als auch Unternehmen die Kommunikation mit den Aufsichtsbehörden erleichtern. Dies soll zu einer weitgehend vereinheitlichten Rechtsanwendung führen. Durch den „One-Stop-Shop“ wird bei grenzüberschreitenden Datenverarbeitungen nur noch eine Aufsichtsbehörde am Sitz der „Hauptniederlassung” zuständig sein (für alle Unternehmen einer Unternehmensgruppe), also der zentrale Verwaltungssitz in der EU. Das Prinzip des „One-Stop-Shop“ wird aber durch verschiedene Ausnahmeregelungen relativiert, wie z. B. dann, wenn Entscheidungen über die Zwecke und Mittel der Verarbeitung in einer anderen Niederlassung getroffen und umgesetzt werden. Ähnlich ist es, wenn eine Beschwerde nur eine bestimmte Niederlassung betrifft. In den Fällen des „One-Stop-Shop“, bei denen es zu keiner Einigung kommt, wird das Kohärenzverfahren eingeleitet. In diesem wird der Streit durch einen verbindlichen Beschluss des Europäischen Datenschutzausschusses beigelegt.

… bei den Sanktionen/Strafen?

In der DS-GVO erfahren die Sanktionen eine Verschärfung gegenüber dem aktuell geltenden Recht. So können bei Verstößen Geldbußen – je nach Verstoß – von bis zu 10 oder 20 Millionen EUR oder von bis zu 2 oder 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. Entscheidend ist der jeweils höhere Betrag. Auch werden zukünftig sämtliche Verstöße gegen die Grundverordnung sanktioniert und nicht nur gegen spezielle gesetzliche Vorgaben, was beispielsweise beim BDSG aktuell der Fall ist. Die definierten Bedingungen für die Bestimmung der Geldbuße im Einzelfall relativieren diesen umfassenden Strafrahmen. So müssen Aufsichtsbehörden die Geldbußen danach festsetzen, dass sie „wirksam, verhältnismäßig und abschreckend“ sind. Hierzu zählen u. a. „a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens; b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; […]. Auch erhalten die Betroffenen die Wahl, Beschwerden entweder bei einer naheliegenden Behörde oder einem Gericht, ggf. auch mit Unterstützung einer entsprechenden Organisation, geltend zu machen. Sollte die angerufene Behörde dabei nicht innerhalb von drei Monaten tätig werden, kann außerdem ein Gericht die „Untätigkeit“ überprüfen. Ferner können Betroffene einen immateriellen Schadensersatzanspruch in Geld beanspruchen. Eines häufig sehr schwer zu beziffernden materiellen Schadens bedarf es somit nicht mehr. Gleichwohl muss es möglich sein, die Höhe des (ebenfalls schwer bezifferbaren) immateriellen Schadens in das Ermessen des jeweiligen Gerichts zu stellen, welches diesen regelmäßig und in angemessener Höhe zuspricht.

… bei den technischen und organisatorischen Maßnahmen (IT-Sicherheit/Informationssicherheit)?

Die IT-Sicherheit hat durch die Datenschutz-Grundverordnung einen wesentlich höheren Stellenwert erhalten. Dies zeigt sich einerseits daran, dass die Pflicht, geeignete technische und organisatorische Maßnahmen umzusetzen, als Grundsatz in die DS-GVO aufgenommen wurde. Andererseits werden auch Prinzipien wie „Privacy by Design“ und „Privacy by Default“ eingeführt. Auch ist eine Pflicht zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen Maßnahmen eingeführt worden.

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; […]“
Bislang waren technischen und organisatorischen Maßnahmen nur erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Künftig sind bei der Abwägung neben der Art der Daten auch Zweck der Verarbeitung und der Stand der Technik zu berücksichtigen. Auch muss das ausgehende Risiko zur Beeinträchtigung von Persönlichkeits- und Freiheitsrechten berücksichtigt werden. Die Abschätzung des Risikos ist Vorbereitung und Ergebnis einer Datenschutz-Folgenabschätzung.

Neu ist die Forderung von speziellen Techniken wie die Pseudonymisierung und die Verschlüsselung von personenbezogenen Daten. Auch werden künftig Sicherheitsziele statt Kontrollmaßnahmen in den Fokus gestellt: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste. Dies ist eine Terminologie, die aus der Informationssicherheit und den Best-Practice-Normen (z. B. ISO 27001) entnommen sind und demnach auch zeitgemäßer sind.

Ferner gilt, dass „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ einzurichten ist. Somit sind regelmäßig Audits, Revisionen oder gar Penetrationstests durchzuführen. Dies ist auch schon heute die Herangehensweise der UIMC.

… im Hinblick auf die Dokumentation?

Nachdem in der Vergangenheit eine Dokumentation zwar empfehlenswert, aber nicht explizit gefordert war, wird eine solche an vielen Stellen der Grundverordnung jetzt verbindlich vorgeschrieben. Insbesondere die sog. Rechenschaftspflicht ist hierbei aufzuführen:

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 [Grundsätze für die Verarbeitung inkl. technischer und organisatorischer Maßnahmen, Art. 5 DS-GVO; Anm.] verantwortlich und muss dessen Einhaltung nachweisen können (“Rechenschaftspflicht”).“

Um Haftungsrisiken zu senken, sollten Unternehmen nicht nur ein Datenschutzhandbuch erstellen, sondern auch ein Audit-System aufbauen.
Des Weiteren enthält die Datenschutz-Grundverordnung folgende Dokumentationspflichten:

  • Dokumentation von Verarbeitungsvorgängen der für die Verarbeitung Verantwortlichen und Auftragsverarbeiter (Art. 30 DS-GVO)
  • Dokumentation von Sicherheitsvorfällen (Art. 33 Abs. 5 DS-GVO)
  • Datenschutz-Folgenabschätzung (Art. 35 DS-GVO)
  • Dokumentation geeigneter Drittlandgarantien (Art. 46 DS-GVO)

… bei den Kontrollanforderungen und Nachweispflichten?

Durch die Grundverordnung werden an verschiedenen Stellen verschärfte Nachweispflichten eingeführt. Somit bekommen Datenschutz-Überprüfungen eine stärkere Bedeutung. Datenschutz-Audits (Datenschutz-Checkup) oder gar Zertifizierungen sollen den Datenschutz fördern; eine Vorgehensweise, die die UIMC schon seit jeher praktiziert hat. Auch die Haftungsrisiken (wie z. B. durch Bußgeld, Schadensersatz, Abmahnungen) werden durch die Datenschutz-Grundverordnung verschärft.

Neben den altbekannten Datenschutzgrundsätzen wie Transparenz, Zweckgebundenheit oder Datensparsamkeit werden künftig Forderungen nach einer Rechenschaftspflicht gestellt. So muss der für die Verarbeitung Verantwortliche die Einhaltung der Datenschutz-Grundsätze nachweisen können muss. Auch finden sich in verschiedenen Artikel die Anforderungen, Vorgaben zu „gewährleisten“, sich zu „vergewissern“ oder diese „sicherzustellen“. Grundlage für solche Datenschutz-Audits sollen festgelegte Verhaltensregelungen („Kriterien“) und Zertifizierungsverfahren sein.

Ferner wird explizit gefordert, dass eine Datenschutz-Folgenabschätzung als Nachfolger der Vorabkontrolle durchzuführen ist, wenn „die Form der Verarbeitung ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, insbesondere wenn dabei neue Technologien Verwendung finden.“

… bei Zertifizierungen?

Wie schon unter den Kontrollanforderungen und Nachweispflichten dargestellt, sollen auf Basis der Grundverorderungen Verhaltensregelungen (Artikel 40 f.) und Zertifizierungsverfahren (Artikel 42) etabliert werden. Diese können klar haftungsmindernd wirken, wie im Erwägungsgrund Nr. 81 dargestellt:

„[…] Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.[…]“.

… im Beschäftigtendatenschutz?

In der Datenschutz-Grundverordnung werden kaum oder keine inhaltlichen Bestimmungen zur Verarbeitung von speziellen Daten wie beispielsweise von Beschäftigten getroffen; vielmehr können die Mitgliedstaaten einen Gestaltungsspielraum nutzen. Die diesbezüglichen nationalen Bestimmungen müssen bis zur Anwendbarkeit der DS-GVO vorliegen. Demnach bleibt aktuell abzuwarten, welche Regelungen im Rahmen der Datenverarbeitung in Beschäftigten Beschäftigtenverhältnissen in den einzelnen Ländern geschaffen werden.

… im Rahmen der Werbung?

Grundsätzlich gibt es, anders als aktuell im BDSG, keine konkreten Erlaubnistatbestände zur Werbung. Vielmehr gelten hier die „allgemeinen“ Grundsätze (siehe oben). Hiernach muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein. Zudem dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Bei der personalisierten Werbung liegt regelmäßig dann ein berechtigtes Interesse vor, wenn eigene Produkte beworben werden sollen, was auch in den Erwägungsgründen dargestellt wird („Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“).

Der Begriff der Werbung (genauer „Direktwerbung“) wird ausschließlich in Artikel 21 DS-GVO verwendet:

„(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
(3) Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.“


Wie bereits im Rahmen des BDSG ist die Abwägung zwischen dem berechtigten Interesse der verantwortlichen Stelle und dem schutzwürdigen Interesse des Betroffenen problematisch. Das schutzwürdige Interesse wird mindestens dann überwiegen, wenn der Betroffene der Datenverarbeitung zum Zwecke der Werbung widersprochen hat. Die Abwägung sollte an ähnlichen Maßstäben wie bisher vorgenommen werden:

Art des Betroffenen (B2B oder B2C),Anspracheweg (Post, Telefon, E-Mail),bisheriger Kontakt (Kunde, Interessent, Kalt-Akquise) undInhalt der Ansprache (ähnliches Produkt oder gänzlich anderes).


So wird der rechtliche Rahmen des § 7 UWG („unzumutbare Belästigung“) sicherlich auch künftig bleiben, so dass eine Ansprache per Mail nur mittels Einwilligung (idealerweise Double-Opt-In) zulässig ist.

In finaler Konsequenz wird die Interessenabwägung oftmals unterschiedlich von Betroffenen und Werbenden beurteilt werden, so dass es zu rechtlichen Auseinandersetzungen kommen wird (auch hier wird u. U. „Treu und Glauben“ berücksichtigt; siehe oben). Daher wird eine gewisse Rechtsunsicherheit bestehen und die Rechtsprechung abzuwarten sein, inwiefern die Werbemöglichkeiten durch die EU-Datenschutz-Grundverordnung ausgeweitet werden kann. Daher scheint das werbende Unternehmen gut darin beraten, die Abwägungsgründe gut zu dokumentieren.

… im Hinblick auf die Videoüberwachung?

Die DSGVO enthält keinerlei Spezialregelungen zur Videoüberwachung, wie aktuell im BDSG. Die Zulässigkeit wird daher künftig an den allgemeinen Erlaubnistatbeständen zu messen sein. So gelten auch hier die „allgemeinen“ Grundsätze des Artikels 6 DS-GVO. Hiernach muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein. Zudem dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Wie bereits im Rahmen des BDSG ist die Abwägung zwischen dem berechtigten Interesse der verantwortlichen Stelle und dem schutzwürdigen Interesse des Betroffenen problematisch.

Ferner ist Vorsicht geboten, wenn Kinder die per Video erfassten Bereiche durchschreiten oder sich hier aufhalten können. Auch bleibt abzuwarten, ob die Nationalstaaten eigene spezielle Regelungen zum Beschäftigtendatenschutz treffen.

Grundsätzlich scheinen aber die bisherigen Prüfschritte auch bei der Datenschutz-Grundverordnung zielführend zu sein. So sollte durch Schilder/Piktogramme die Überwachung kenntlich gemacht werden; die zusätzlichen Anforderungen zur Transparenz stellen aber eine neue Herausforderung dar (siehe „Rechte der Betroffenen“). Nach wie vor sollte im Einzelfall geprüft werden, nach welchem Zeitraum realistisch eine Auswertung der Videodaten erfolgen kann. Auch sind Zugriffsberechtigungskonzepte oder Verschlüsselungstechnologien zu berücksichtigen. Auch ist zu prüfen, ob eine vorherige Datenschutz-Folgenabschätzung erforderlich ist.

Haben Sie konkrete Fragen zur Datenschutz-Verordnung?

Dann wenden Sie sich an uns. Gerne klärt ein erfahrener Berater erste Fragen bereits am Telefon und zeigt Ihnen Umsetzungsmöglichkeiten auf.

EU-Datenschutz-Grundverordnung

UIMChange: Das Changeprogramm der UIMC

Die EU-Datenschutz-Grundverordnung wird Änderungen in der Datenschutz-Organisation zur Folge haben. Hierfür ist ein Change-Prozess erforderlich, der gerade in einem „Non-Profit-Bereich“ wie dem Datenschutz besonders effizient und effektiv sein muss. Das UIMChange-Programm kann Sie dabei maßgeblich unterstützen, wie z. B. durch

Change-Konzept 

  • Planung des Change-Prozesses / Erstellung eines Projektplans
  • Unterstützung bei der Umsetzung der Maßnahmen (beispielsweise auf Basis der u. g. Analysen)
  • Beratung bei individuellen Fragen auf Basis der EU-Datenschutz-Grundverordnung
  • Coaching des intern bestellten Datenschutzbeauftragten (fachlicher Counterpart oder Diskussionspartner)
  • Ausgleich von Belastungsspitzen durch Bereitstellung von kompetenten Beratern

Audits / Analysen 

  • Prüfung bestehender Prozesse, Formulare, Richtlinien, Verträge usw.
  • Tool-gestützte „Delta“-Checkups (inkl. Berichtserstellung und Maßnahmenplanung)
  • Tool-gestützte Vorabkontrollen (Datenschutz-Folgeabschätzung)
  • Tool-gestützte Dienstleister-Audits
  • Testierung durch unsere Schwester-Gesellschaft UIMCert [ext.]
  • Tool-gestützte „Aufzeichnung der Verarbeitungsaktivitäten“

Schulungen 

  • gezielte Information des Managements (Workshop mit erfahrenen Beratern)
  • Besuch von UIMCollege-Seminaren zur Grundverordnung
  • Fortbildung der internen Datenschutz-Funktionen (Datenschutzbeauftragter, Datenschutz-Ansprechpartner/Datenschutz-Koordinatoren usw.)
  • Train-the-Trainer-Konzepte
  • Schulungen durch erfahrene Referenten
  • eCollege-Kurse für Mitarbeiter (fachbereichsspezifische Informationen)

Datenschutz-Organisation

  • Erstellung des Datenschutz-Handbuchs
  • Überarbeitung interner Richtlinien
  • Erarbeitung von neuen Formularen, Verträgen etc.

Hierbei greifen wir nicht nur auf unsere etablierten Tools, sondern auch auf jahrelange Erfahrung in der Begleitung von Change-Prozessen und im Datenschutz zurück. Fragen Sie nach einem individuell