EU-Datenschutz-Grundverordnung: Das müssen Sie wissen

dokumente 01
Fachbeitrag

Nach langen Verhandlungen erfolgte im Dezember 2015 die europäische Einigung auf eine EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese wird zu einer weitgehenden Vereinheitlichung europäischen Datenschutzrechtes führen. Während bislang durch nationale Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie doch erhebliche Unterschiede bestanden, wird die Datenschutz-Grundverordnung direkt geltendes Recht in allen Mitgliedsstaaten sein. Geringe Unterschiede sind allenfalls durch die Möglichkeit sog. „Öffnungsklauseln“ zu erwarten. Öffnungsklauseln bieten nationalen Gesetzgebern die Möglichkeit, eigene nationale Regelungen zu erlassen.

Zeitplan der EU-Datenschutz-Grundverordnung

Bis zu der Anwendbarkeit sind noch einige Schritte erforderlich. Der Zeitplan sieht derzeit wie folgt aus:

  • März 2016: offizielle deutsche Fassung der EU-DSGVO
  • April 2016: Beratung des EU-Ministerrats, danach Abstimmung im Europäischen Parlament
  • 25. Mai 2018: Anwendbarkeit der EU-Datenschutz-Grundverordnung

Ziele und Grundsätze

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO).

Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

Die Datenschutz-Grundverordnung wird das europäische Datenschutzrecht nicht völlig umwälzen, weist aber eine Reihe von in der Praxis erheblichen Änderungen auf. Wir werden in einer Reihe von Fachbeiträgen die zu erwartenden Änderungen und Auswirkungen auf die Praxis darstellen. Folgende Beiträge sind erschienen:

Das sind Ihre Rechte

Die EU-Datenschutz-Grundverordnung bringt einige Neuerungen für das Datenschutzrecht mit sich. Diese betreffen nicht nur Unternehmen sondern auch den einzelnen Bürger. Zumindest dann, wenn es um die Rechte der Betroffenen einer Verarbeitung personenbezogener Daten geht. Mit dem 3. Kapitel der aktuellen Fassung der Datenschutz-Grundverordnung will der Gesetzgeber die Rechte der Betroffenen grundsätzlich stärken und weitet diese in manchen Bereichen (im Vergleich zur momentanen Rechtslage) sogar aus. Vor allem die neuen Transparenz- und Informationspflichten der Unternehmen führen zu einem deutlich stärkeren Schutz der Betroffenen, als die aktuell geltenden Regelungen des Bundesdatenschutzgesetzes.

Neues EU-Datenschutzgesetz: Das sind Ihre Rechte

Beschäftigtendatenschutz

Schon seit Jahren ist der Arbeitnehmerdatenschutz immer wieder im Gespräch der Öffentlichkeit. Bereits im Jahre 2010 stellte die Bundesregierung ein Gesetzesentwurf zum Beschäftigtendatenschutz vor. Nach jahrelangen Verhandlungen kam das Vorhaben aber Anfang 2013 zum Erliegen. Die Reform des Arbeitnehmerdatenschutzes wurde aufgrund der geplanten EU-DSGVO und einer Erweiterung des BDSG vorerst ausgesetzt. Im Jahre 2014 wurde das Thema wurde erneut im Koalitionsvertrag der Großen Koalition aufgegriffen, welcher vereinbarte, den Beschäftigtendatenschutz gesetzlich zu regeln. Das Thema Arbeitnehmerdatenschutzgesetz ist mit der kommenden Verabschiedung der Verordnung wieder aktuell. Doch welche Auswirkungen wird diese auf die Zukunft des deutschen Beschäftigtendatenschutzes haben?

EU-Datenschutz-Grundverordnung und Beschäftigtendatenschutz

Pflichten für Unternehmen

Die Datenschutz-Grundverordnung statuiert neben altbekannten Pflichten auch neue Anforderungen für Unternehmen im Bereich Datenschutz. Eine positive Neuerung ist z.B. die Pflicht zu verbraucher- und datenschutzfreundlichen Voreinstellungen bei elektronischen Geräten. Allerdings könnten andere Pflichten wiederum zu einem deutlichen Mehraufwand seitens der Unternehmen führen. Beispielsweise könnte die vorgesehene Pflicht zur Datenschutz-Folgenabschätzung sowie die sich daran evtl. anschließende Konsultation der zuständigen Aufsichtsbehörde zu einem vermehrten Maß an Bürokratie führen. Ob diese dann wirklich noch positive Auswirkungen für Verbraucher und Unternehmen hat, ist derzeit aber kaum abzusehen. Daher betrachten wir die kommenden Änderungen für Unternehmen einmal etwas genauer.

Datenschutz-Grundverordnung: Pflichten für Unternehmen

Internationale Datentransfers ins Ausland

Der Transfer von personenbezogenen Daten in Staaten außerhalb der EU/des EWA (sogenannten Drittstaaten) ist problematisch. Dies ist im Rahmen der Richtlinie 95/46/EG (Datenschutz-Richtlinie) der Fall und wird auch mit Inkrafttreten der Datenschutz-Grundverordnung so bleiben. Grund hierfür ist die Annahme, dass in Drittstaaten generell kein angemessenes Datenschutzniveau herrscht. Eine Ausnahme besteht dann, wenn die EU-Kommission für den betreffenden Staat ein solches festgestellt hat. Dementsprechend werden Datentransfers in Drittstaaten auch weiterhin nur zulässig sein, wenn zusätzliche Sicherheitsmechanismen dazu beitragen ein angemessenes Datenschutzniveau zu gewährleisten oder ein solches verbindlich festgestellt wurde.

Grundverordnung: Internationale Datentransfers ins Ausland

Neues zur Videoüberwachung

Mit dem voraussichtlichen Anwendbarkeit der EU-DSGVO im Frühsommer 2018 ändert sich auch die Zulässigkeit einer Videoüberwachung. Eine explizite Regelung zur Zulässigkeit von Videoüberwachung ist dort nicht enthalten. Lediglich in dem Artikel zur Notwendigkeit einer sog. „Datenschutz-Folgenabschätzung“ wird das Thema Videoüberwachung erwähnt. Dies impliziert eine deutliche Veränderung zur bisherigen Rechtslage in Deutschland.

EU-Datenschutz-Grundverordnung: Neues zur Videoüberwachung?

10 Vorteile der EU-Datenschutz-Grundverordnung

Seit Anfang Februar steht die offizielle deutsche Übersetzung der EU-DSGVO zum Nachlesen bereit. Bereits jetzt lassen sich Vorteile benennen, welche die neue Verordnung für den Datenschutz und damit auch für die Betroffenen mit sich bringt. So z.B. die angestrebte Harmonisierung des Datenschutzrechts in Europa oder ein Konzernprivileg beim der Datenweitergabe innerhalb verbundener Unternehmen. Der nachstehende Artikel stellt 10 Vorteile vor.

10 Vorteile der EU-Datenschutz-Grundverordnung

Auftragsdatenverarbeitung

In Deutschland definiert sich die Auftragsdatenverarbeitung als durch einen Auftragnehmer auf Weisung eines Auftraggebers, bei dem die Verantwortung für die ordnungsgemäße Datenverarbeitung verbleibt. Ob eine Auftragsdatenverarbeitung in der Praxis vorliegt, richtet sich ausschließlich nach rechtlichen Vorgaben und kann nicht vertraglich festgelegt werden. Daher ist es wichtig deren Voraussetzungen zu kennen. In der Datenschutz-Grundverordnung werden diese nun erstmals europaweit einheitlich geregelt. Obwohl sich die neuen Regelungen inhaltlich an dem bekannten § 11 BDSG orientieren und diesen im Prinzip auf ein europäisches Level heben, sind einige Unterschiede zu beachten.

Auftragsdatenverarbeitung und Datenschutz-Grundverordnung

Websitebetreiber aufgepasst!

Website Betreiber müssen eine Vielzahl an Vorschriften beachten. Regelungen zur Website-Compliance finden sich u.a. in den §§ 11 ff. Telemediengesetz (TMG), insbesondere in § 13 TMG, der die Pflichten des Diensteanbieters vorgibt. Die Datenschutz-Grundverordnung wird zwangsläufig Auswirkungen auf die aktuellen Anforderungen an Website-Compliance haben. Da die EU-DSGVO als europäische Verordnung direkt in den Mitgliedstaaten anwendbar sein wird, geht sie als europäisches Recht den nationalen Regelungen vor. Zwar bleiben viele gesetzliche Pflichten erstmal bestehen, andererseits sollte aber die Datenschutzerklärung mit den Vorgaben der EU-DSGVO abgestimmt werden.

EU-Grundverordnung: Websitebetreiber aufgepasst!

Bußgelder und Sanktionen

Die Landes- und Bundesdatenschutzbeauftragten werden gern als zahnlose Tiger bezeichnet. Unter anderem auch wegen ihren eingeschränkten Sanktionsmöglichkeiten, die sie bei Datenschutzverstößen nach deutschem Recht haben. Die EU-Datenschutz-Grundverordnung aber enthält eigene Vorschriften zu Bußgeld- und Sanktionsmöglichkeiten. Dadurch sollen Unternehmen von Datenschutzverstößen abgehalten und das Bewusstsein dafür geschärft werden, dass Verstöße gegen die Verordnung zugleich Verletzungen der Grundrechtecharta der Europäischen Union sind. Wir geben deshalb einen Überblick über die Bußgelder und sonstige Sanktionen, die Sie bei Nichteinhaltung der Vorschriften treffen können.

Datenschutz-Grundverordnung: Bußgelder und Sanktionen

Die Rolle der Aufsichtsbehörden

Mit der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) ändert sich nicht nur die gesetzliche Ausgestaltung des Datenschutzrechts. Auch Aufgaben, Zuständigkeit und Befugnisse der Aufsichtsbehörden wurden teilweise überarbeitet. Daraus ergeben sich für die praktische Handhabung des Datenschutz ganz neue Chancen, aber auch Probleme.

EU-Datenschutz-Grundverordnung – Die Rolle der Aufsichtsbehörden

Anforderungen an eine Einwilligung

Die Einwilligung in die Verarbeitung seiner personenbezogenen Daten durch den Betroffenen ist seit jeher zentraler Bestandteil des Datenschutzrechts. Aufgrund des Grundrechts der informationellen Selbstbestimmung kann jeder Bürger für sich entscheiden, wer welche Informationen über ihn erhält. Aktuell sind die Voraussetzungen für eine rechtsgültige Einwilligung in die Verarbeitung personenbezogener Daten durch § 4a BDSG und für den Bereich der elektronischen Medien zusätzlich durch § 13 Abs. 2 Telemediengesetz (TMG). Durch die Einführung der Datenschutz-Grundverordnung werden diese Voraussetzungen ergänzt.

Grundverordnung: Anforderungen an eine Einwilligung

Datenschutz-Vertreter für Unternehmen

Bislang wenig beachtet wird durch die EU-DSGVO auch ein neues Rechtsinstitut eingeführt: der EU-Vertreter bzw. Vertreter in der Union. Seine Existenz hängt eng mit dem durch die EU-DSGVO neu eingeführten Marktortprinzip zusammen. Alle Unternehmen, die keine Niederlassung in der EU unterhalten, aber Personen in der Union Waren oder Dienstleistungen anbieten oder ihr Verhalten – z.B. durch „Tracking“ oder „Profiling“ – beobachten, müssen grundsätzlich einen EU-Vertreter bestellen. Dieser soll insbesondere als Anlaufstelle und Ansprechpartner für Aufsichtsbehörden und betroffene Personen dienen und stellt damit das Bindeglied zwischen diesen und dem in einem Drittland niedergelassenen datenverarbeitenden Unternehmen dar.

EU-Grundverordnung: Datenschutz-Vertreter für Unternehmen

Betrieblicher Datenschutzbeauftragter

Das Modell Datenschutzbeauftragter ist in Deutschland seit langem bekannt und viele Unternehmen müssen bereits jetzt einen Datenschutzbeauftragten bestellen. Mit Inkrafttreten der Datenschutz-Grundverordnung wird eine solche Pflicht auch erstmals europaweit für Unternehmen, deren Tätigkeit einer besonderen Kontrolle bedarf, eingeführt. Durch die Öffnungsklauseln können die Länder zwar nationale Sonderregelungen für die Bestellung eines betrieblichen Datenschutzbeauftragten schaffen. Nichtsdestotrotz gelten daneben die Anforderungen der Datenschutz-Grundverordnung, welche sich an einige Stellen vom Bundesdatenschutzgesetz unterscheiden und daher zwangsläufig eine Veränderung herbeiführen werden.

Datenschutz-Grundverordnung – Datenschutzbeauftragter

Datensicherheit

Mit der DSGVO ändern sich die Vorgaben zur Datensicherheit und somit auch die der technischen und organisatorischen Maßnahmen. Manche Begriffe werden durch die Verordnung noch abstrakter, als sie es bisher gewesen sind, einige Vorgehensweise ähneln der jetzigen Handhabung und wiederum andere Anforderungen, wie der Stand der Technik, Belastbarkeit oder data protection by default, sind neu. Auf Unternehmen kommt daher eine Menge Arbeit zu. Neue Verfahren müssen etabliert und Prozesse entsprechend der Verordnung angepasst werden.

Datenschutz-Grundverordnung und Datensicherheit

Informationspflichten

Die Datenschutz-Grundverordnung führt für Unternehmen und Verantwortlichen eine Reihe von neuen Informationspflichten ein. Dabei ändert sich im Vergleich zu den bisherigen Vorschriften des Telemedien- und Bundesdatenschutzgesetz einiges an den Anforderungen. Denn der europäische Gesetzgeber verfolgt das Ziel, dem Grundsatz der fairen und transparenten Datenverarbeitung gerecht zu werden. Die Betroffenen Nutzer sollen zukünftig besser in der Lage sein, eine Datenerhebung, -verarbeitung oder -nutzung, anhand den zur Verfügung gestellten Informationen, zu überprüfen.

Neue Informationspflichten mit der Datenschutz-Grundverordnung

Aufgaben des Datenschutzbeauftragten

Mit der Datenschutz-Grundverordnung erweitert sich der Aufgabenkreis des Datenschutzbeauftragten. Damit verbunden ist eine Aufwertung der Position im Unternehmen. Unter Umständen aber auch ein gesteigerter Haftungsumfang für Datenschutzverstöße des betreuten Unternehmen. Bis zur Anwendbarkeit der Datenschutz-Grundverordnung sollten Mitarbeiter und Datenschutzbeauftragte hinsichtlich der gesteigerten Bedeutung des Datenschutzes für Unternehmen sensibilisiert werden.

Datenschutz-Grundverordnung: Aufgaben des Datenschutzbeauftragten

Datenschutz-Folgenabschätzung

Dass es eine gute Idee ist, eine Abschätzung der Folgen vor dem Einsatz einer bestimmten Technologie durchzuführen, hat sich bereits in den 1960er Jahre in den Bereichen Gesundheit und Umwelt durchgesetzt. Mit der Datenschutz-Grundverordnung hat der europäische Gesetzgeber diese Überlegung aufgegriffen. Fortan sind Unternehmen unter bestimmten Voraussetzungen verpflichtet eine Datenschutz-Folgenabschätzung vorzunehmen. Diese ähnelt stark der aus dem BDSG bekannten Vorabkontrolle. Aber der Text der DSGVO lässt weitgehend offen, wie und nach welchen Kriterien eine Datenschutz-Folgenabschätzung durchzuführen ist.

Datenschutz-Folgenabschätzung: Was ist das überhaupt?

Data Breach Notification

Schon heute müssen Unternehmen, unter bestimmten Voraussetzungen, Aufsichtsbehörde und Betroffenen eine Data Breach Notification zukommen lassen. Nämlich dann, wenn Unberechtigte vermutlich oder erwiesenermaßen Zugang zu „Risikodaten“ hatten. Eine weitere Voraussetzung ist, dass die Datenpanne zu einer schwerwiegenden Beeinträchtigung der Rechte oder schutzwürdigen Interessen des Betroffenen führen könnte. Die Datenschutz-Grundverordnung wird diese Anforderungen und etwaige Sanktionen noch deutlich verschärfen. Die Bedeutung der Data Breach Notification und deren Anzahl wird dadurch zwangsläufig steigen.

Data Breach Notification: Datenpannen in der DSGVO

Verzeichnis von Verarbeitungstätigkeiten

Mit der Datenschutz-Grundverordnung muss ein Unternehmen nach Art. 30 DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten führen. Dies ist nur eine von mehreren, neuen Vorgaben zur Dokumentationspflicht. Bei der Einhaltung aller gesetzlichen Vorgaben wird das Verzeichnis aber eine tragende Rolle spielen. Denn es enthält eine Dokumentation und Übersicht über alle eingesetzten Verfahren, bei denen personenbezogene Daten verarbeitet werden.

Verzeichnis von Verarbeitungstätigkeiten – Infos & Tipps zur Umsetzung

Aufbau eines Datenschutzmanagementsystems

Neben dem angesprochenen Verzeichnis von Verarbeitungstätigkeiten finden sich in der Datenschutz-Grundverordnung eine Vielzahl von Normen, die eine Dokumentierung der getroffenen Datenschutzmaßnahmen fordern. Daneben schafft die DSGVO weitere Prozesse, die etabliert, und Aufgaben die wahrgenommen werden müssen. Bei dieser Vielzahl von Anforderungen kann man schnell mal den Überblick verlieren. Daher bietet sich ein Datenschutzmanagement an, um die Einhaltung aller Vorgaben systematisch zu planen, umzusetzen und laufend zu kontrollieren.

Datenschutzmanagement nach der DSGVO – Leitfaden für die Praxis

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

9 Kommentare zu diesem Beitrag

    • In der Tat. Der Beitrag stammt aus dem März 2016. Zu diesem Zeitpunkt sah der Zeitplan noch anders aus. Die Angabe ist uns leider trotz Aktualisierung des Artikels (z.B. der Gesetzesnormen) entgangen. Vielen Dank für den Hinweis. Das Datum ist nun geändert.

  1. Wie wird die Verpflichtung auf das Datengeheimnis nach §5 BDSG in der DSGVO umgesetzt. Muß man oder sollte man sich neue Verpflichtungen von den Mitarbeitern unterschreiben lassen?

    • Die dem § 5 BDSG zugrunde liegende Regelung, dass die Mitarbeiter personenbezogenen Daten nicht unbefugt erheben, verarbeiten oder nutzen dürfen, ist zwar nicht explizit in der DSGVO geregelt, gilt aber auch weiterhin. Dies ergibt sich beispielsweise im Umkehrschluss aus Art. 5 DSGVO. Dieser schreibt nicht nur vor, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen, sondern gibt außerdem vor, wann dies der Fall ist.

      Die Verpflichtungserklärung auf das Datengeheimnis sollte weiterhin eingeholt werden. Im Gegensatz zu früher müssen in dieser (nach dem jetzigen Stand) nicht unbedingt Normen genannt werden. Dies ändert sich, wenn die persönliche Haftung der Mitarbeiter im Allgemeinen Datenschutzgesetz in Deutschland explizit geregelt wird oder die Datenschutzaufsichtsbehörden eine anderweitige Empfehlung geben. Vielmehr sollte die Verpflichtungserklärung dann die Grundregeln des Datenschutzes beinhalten, an die sich jeder Mitarbeiter halten soll.

    • Nein, das ist so nicht richtig. Um ein gleichmäßiges Datenschutzniveau und gleiche Rechte für alle von einer Datenverarbeitung betroffenen Personen zu gewährleisten, soll die DSGVO ausweislich des Erwägungsgrundes 13 gerade auch für kleine und mittlere Unternehmen sowie Kleinstunternehmen gelten.

      Die DSGVO sieht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, in Art. 30 Abs. 5 der DSGVO lediglich eine Erleichterung hinsichtlich der Pflicht vor, ein Verzeichnis über ihre Verarbeitungstätigkeiten zu führen. Allerdings wird auch diese Erleichterung nur selten einschlägig sein. Genaueres dazu finden Sie in unserem Beitrag: Verzeichnis von Verarbeitungstätigkeiten – Infos & Tipps zur Umsetzung.

      Zudem sollen die Aufsichtsbehörden nach dem genannten Erwägungsgrund 13 gehalten sein, die besondere Situation von kleineren Unternehmen bei der Anwendung der Verordnung zu berücksichtigen. Konkrete Ausnahmen lassen sich aus dieser unspezifischen Aussage jedoch nicht ableiten. Deshalb sollten nach dem gegenwärtigen Stand auch kleine Unternehmen die Vorgaben der DSGVO bestmöglich umsetzen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.