Links überspringen
side view of businesswoman using smartphone at workplace in office, gdpr cyber security concept

Neuerungen der EU-Datenschutz-Grundverordnung im Überblick

Bis spätestens 25. Mai 2018 sind die Regelungen der EU-Datenschutzgrundverordnung (EU-DSGVO) bei allen verantwortlichen Stellen umzusetzen. Ab diesem Zeitpunkt ist das Bundesdatenschutzgesetz nicht mehr anzuwenden. Mit ihr wird die europäische Datenschutzrichtlinie (95/46/EG) aus dem Jahr 1995 abgelöst. Die EU-DSGVO hat zum Ziel, einen für die EU übergreifenden gültigen Datenschutzstandard zu setzen und den freien Fluss von personenbezogenen Daten innerhalb der EU zu gewährleisten.

Doch wie soll dies umgesetzt werden? Was macht die EU-DSGVO aus? Nachstehend möchten wir Ihnen die wichtigsten Informationen zu EU-DSGVO aufzeigen.

Die EU-DSGVO ist auf Grundprinzipien aufgebaut, die der Verordnung auch in Art. 5 vorangestellt werden. Ziel der EU-DSGVO ist es, Auslegungshilfen direkt in die Verordnung zu integrieren, so dass bei Auslegung der Regelungen darauf zurückgegriffen werden kann. Diese sind teilweise aus den bisherigen Datenschutzgesetzen bekannt. Zu den Grundprinzipien gehören: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Richtigkeit, Erforderlichkeit (Speicherbegrenzung), Integrität und Vertraulichkeit, Verantwortlichkeit (Rechenschaftspflicht) und Datenminimierung.

In der EU-DSGVO gilt das „Marktortprinzip“ (Art. 3). Es kommt nicht mehr, wie bisher, darauf an, dass die Unternehmen durch eine Niederlassung innerhalb der EU Daten erheben, verarbeiten und Nutzen. Sollen Daten einer Person verarbeitet werden, müssen die Vorgaben desjenigen Landes eingehalten werden, aus dem die Person stammt. Dies gilt unabhängig davon, wo die Unternehmen ihren Standort haben. Grundsätzlich sind dies die Vorgaben der EU-DSGVO. Fehlt es an einer Niederlassung, muss ein Vertreter der verantwortlichen Stelle bestellt werden, bspw. als Ansprechpartner für Aufsichtsbehörden. Die Benennung eines Vertreters schützt den Verantwortlichen jedoch nicht vor der Verantwortung bei Haftungsfragen. Das bisher nicht vorhandene Konzernprivileg wird in dem Maße eingeführt, dass Personal- und Kundendaten von einem Konzernunternehmen innerhalb der EU verarbeitet werden dürfen. Eine zentrale Verarbeitung von Personaldaten ist demnach bald möglich, soweit keine schützenswerten Interessen der Betroffenen entgegenstehen. Hierfür muss eine Abwägung vorgenommen werden, eine Übermittlung in die USA ist hiermit nicht zu rechtfertigen.

Die EU-DSGVO hat die Verantwortlichkeiten für die Datenverarbeitung in einem eigenen Abschnitt normiert (Kapitel IV). Jedoch enthält das Kapitel auch direkte Vorgaben zu einzelnen Themen wie der Auftragsdatenverarbeitung.

Bei der Auftragsdatenverarbeitung werden viele Punkte mit aufgenommen, die über die Vorgaben des bisherigen Bundesdatenschutzgesetzes hinausgehen. Durch die Vorgaben der hiesigen Aufsichtsbehörden dürften diese jedoch bekannt sein. So enthält Art. 28 zunächst einen Verweis auf die Grundprinzipien der EU-DSGVO, die der Auftragnehmer durch geeignete technische und organisatorische Maßnahmen garantieren muss. Unterauftragsverhältnisse müssen den gleichen Bedingungen unterliegen wie die Beauftragung der Auftragnehmer. Bestimmt ein Auftragnehmer entgegen der Weisungen des Verantwortlichen eigene Zwecke und Mittel der Datenverarbeitung, gilt er bezüglich dieser Datenverarbeitung als Verantwortlicher.

Die Bestimmung der geeigneten technischen und organisatorischen Maßnahmen ist in Art. 25 geregelt. Diese müssen „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere der damit verbundenen Risiken […]“ vom Verantwortlichen festgelegt werden. Es muss folglich eine explizite Risikobewertung vorgenommen werden, die in ein übergreifendes Schutzkonzept einfließt.

Die Pflicht zur Bestellung eines Datenschutzbeauftragten wird beibehalten und ist in Abschnitt 4 des Kapitels IV geregelt. Datenschutzbeauftragte sind immer dann zu bestellen, wenn eine öffentliche Stelle betroffen ist, die Kerntätigkeit des Verantwortlichen eine regelmäßige und systematische Überwachung von Personen erforderlich macht oder die Kerntätigkeit in der Verbreitung sensibler Daten besteht. Die Bestellung kann auf nationaler Ebene unterschiedlich geregelt werden. Ob die Vorschriften zur Bestellung eines Datenschutzbeauftragten beibehalten werden oder die Vorgaben aus der EU-DSGVO gelten werden, bleibt abzuwarten.

Weiterhin bestehen bleibt das Prinzip der Vorabkontrolle. Dieses wird jedoch durch eine Risikofolgenabschätzung ersetzt, in welche der Datenschutzbeauftragte mit einzubeziehen ist. Trifft der Verantwortliche keine geeigneten Maßnahmen, hat der die Aufsichtsbehörde zu konsultieren. Für die Aufsichtsbehörden gilt in Zukunft, dass es eine federführende Aufsichtsbehörde am Sitz der Hauptniederlassung geben soll. Betroffene können sich hingegen an ihre eigene Aufsichtsbehörde wenden, die dann die Bearbeitung übernimmt.

Innerhalb der EU unterliegt der Datenverkehr keinen Übermittlungsbeschränkungen. Der grenzüberschreitende Datenverkehr ähnelt den bisher anzuwendenden Vorschriften. Es wird am Prinzip des angemessenen Datenschutzstandards festgehalten. Dieses wird weiterhin von der Kommission festgelegt. Der Kriterienkatalog, anhand dessen die Angemessenheit festgelegt wird, ist in der EU-DSGVO vorgeschrieben (Art. 45). Liegt keine Entscheidung der Kommission vor, können „angemessene Garantien“ einen Datentransfer ermöglichen. Diese müssen bindend und auch durchsetzbar sein. Die EU-Standardvertragsklauseln als auch unternehmensinterne verbindliche Verhaltensregeln (Binding Corporate Rules) bleiben als Mittel erhalten. Ergänzt werden diese durch Zertifizierungen, soweit diese genehmigt wurden. Der grenzüberschreitende Datenverkehr kann aber auch generell auf einer Einwilligung des Betroffenen basieren.

Grundsätzlich bleibt die Einwilligung ein wichtiger Teil der EU-DSGVO (Art. 7). Die bisherigen Anforderungen an die Einwilligung bleiben erhalten. Wichtig wird sein, die Einwilligung „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ einzuholen. Der Verantwortliche muss für die Einwilligungen einen Nachweis erbringen, wenn die Verarbeitung auf einer Einwilligung basiert. Ergänzt werden die Vorgaben durch ein Kopplungsverbot. Vertragserfüllungen dürfen nicht mehr von einer gegebenen Einwilligung abhängig sein.

Ein wichtiger Aspekt noch zum Schluss: die Strafen für Verstöße gegen die Verordnung sind auf empfindliche Größen angewachsen. Bis zu 4 % des Jahresumsatzes kommen als Strafe in Frage, was besonders abschreckend sein soll und vermutlich auch ist. Ähnlich relevante Verstöße wie beim bisherigen § 42a BDSG sind zudem innerhalb von 72 Stunden bei den Behörden zu melden.

Bis 2018 scheint es noch weit zu sein. Jedoch sollten Sie frühzeitig daran denken, die Vorgaben der EU-DSGVO zu berücksichtigen. Gerne beraten wir Sie diesbezüglich und helfen Ihnen bei der Umsetzung.