Einführung

Die „Verordnung des Rates zum Schutz natürlicher Personen“ – Datenschutz-Grundverordnung (DS-GVO) wurde bereits verabschiedet, ist in Kraft und wird ab 2018 Geltung in Deutschland und ganz Europa erhalten.

Wir haben zu dem Thema eine gesonderte Informationsseite aufgebaut, die unter www.rickert.law/gdpr-ninja/ zu finden ist. Dort werden wir gemeinsam mit Experten aus anderen Ländern laufend Informationen über die anstehende Neuregelung einstellen. Nachstehend erhalten Sie aber auch einen schlagwortartigen Überblick über die wichtigsten Änderungen.

Für viele Unternehmen stellt sich nunmehr die Frage, was bis dahin getan werden muss, um auch den neuen Anforderungen entsprechend rechtskonform Daten zu verarbeiten. Die Verordnung stellt keine Revolution des Datenschutzes dar, die alles Bekannte und Bewährte über den Haufen wirft. Dennoch finden sich einige Änderungen in der Verordnung, die es erforderlich machen, die gesamten Datenverarbeitungsprozesse und –systeme noch einmal genau unter die Lupe zu nehmen, um möglichst rechtssicher in die Zukunft zu gehen. Insoweit ist die Frist bis zur unmittelbaren Geltung der Verordnung – die die Geltung des Bundesdatenschutzgesetzes (BDSG) wie wir es kennen aufhebt – nicht so lange, wie sie auf den ersten Blick scheint. 

Denn soweit die Prüfung der Systeme auf Compliance mit kommendem Datenschutzrecht Anpassungsbedarf offenbart, müssen etwaige Änderungen auch noch umgesetzt werden. Soweit dies Anpassungen im Bereich der technischen Infrastruktur oder der bestehenden Datenschutzberechtigungskonzepte erforderlich machen, kann deren Umsetzung erheblich Zeit in Anspruch nehmen. 

Nachfolgend möchten wir Ihnen einen kurzen Überblick über die neue Verordnung und deren Änderungen geben. Gerne stehen wir Ihnen bei der Prüfung und Umsetzung beratend zur Seite und stehen selbstverständlich auch telefonisch und per Email für etwaige Fragen zur Verfügung. 

Ziele der Verordnung 

Ziel der Verordnung ist neben der Vereinheitlichung des Datenschutzrechtes in Europa auch die Stärkung der Rechte der Betroffenen und der Datensicherheit. 

Gleichzeitig wurden die Dokumentations- und Nachweispflichten der Unternehmen erweitert. 

Zeitplan und Geltung der Verordnung

Die Datenschutzgrundverordnung ist bereits seit dem 25.05.2016 in Kraft, entfaltet aber seine unmittelbare Geltung erst ab dem 25.05.2018 gem. Art. 99 DS-GVO. 

Da es sich um eine europäische Verordnung handelt, wird diese – im Gegensatz zu einer Richtlinie, die erst noch in nationales Recht umgesetzt werden muss – unmittelbar ab diesem Stichtag europaweit Geltung haben. 

Aufgrund der vollharmonisierenden Wirkung der Verordnung dürfen ab dem 25.05.2018 keine weitergehenden, strengeren oder abweichenden Regelungen durch nationales Recht mehr bestehen, es sei denn die Verordnung selbst gestattet den Mitgliedstaaten eine solche Regelung (sog. Öffnungsklausel). 

Wesentliche Änderungen zur bisherigen Rechtslage

Die Verordnung hält an vielen altbewährten Konzepten und Prinzipien fest. Entsprechend bleibt es weiter bei dem generellen Verbot der Verarbeitung personenbezogener Daten mit einem Erlaubnisvorbehalt wie bislang unter Geltung des Bundesdatenschutzgesetzes (BDSG). Dennoch wurden selbstverständlich einige Punkte neu oder anders als bislang geregelt. Insoweit möchten wir nachfolgend kurz die wesentlichen Aspekte der neuen Regelungen hervorheben:

Marktortprinzip/Räumlicher Anwendungsbereich

Nunmehr gilt das europäische Datenschutzrecht auch für Unternehmen, die keinen Sitz in der europäischen Union haben, aber Waren oder Dienstleistungen im europäischen Markt anbieten. 

Auftragsdatenverarbeitung

Nach bisherigem Recht war die Auftragsdatenverarbeitung aus § 11 BDSG eine Möglichkeit der privilegierten Verarbeitung personenenbezogener Daten durch Dritte, z.B. im Falle des Outsorcings. Dabei wurde der Auftragsdatenverarbeiter dadurch privilegiert, dass er nicht als „Dritter“ im Sinne des BDSG galt, so dass eine Weitergabe der Daten an diesen für die Verarbeitung weiter keiner Rechtfertigung bedurfte. Eine Privilegierung wie in § 11 BDSG findet sich nunmehr nicht mehr im Gesetz. 

Vielmehr muss auch im Rahmen der Auftragsdatenverarbeitung eine Abwägung der Interessen des Betroffenen mit denen der verantwortlichen Stelle stattfinden. Eine solche wird regelmäßig in den bisherigen Fällen der Auftragsdatenverarbeitung wohl auch weiterhin zu Gunsten einer Verarbeitung ausgehen. 

Geltungsbereich der Auftragsdatenverarbeitung 

Wo eine Auftragsdatenverarbeitung allerdings bisher lediglich innerhalb Europas möglich war, ist diese nunmehr auch mit außereuropäischen Auftragnehmern möglich, soweit die weiteren Anforderungen erfüllt sind. Hierzu zählen insbesondere die sorgfältige Auswahl des Auftragnehmers und die Prüfung seiner technischen und organisatorischen Maßnahmen mit Bezug auf den Datenschutz. 

Beschäftigtendatenschutz

Es findet sich in der Verordnung keine gesonderte Regelung zum Beschäftigtendatenschutz. Allerdings erlaubt Art. 88 der Verordnung es, dass Mitgliedstaaten eine eigene bereichsspezifische Regelung des Beschäftigtendatenschutzes schaffen. Hierzu ist vorgesehen, den alten § 32 BDSG in das neue Bundesdatenschutzgesetz zu überführen. 

Konzernprivileg

Auch die Verordnung kennt kein Konzernprivileg, das heißt, auch die Weitergabe von Daten an Unternehmen des gleichen Konzernverbundes ist eine Weitergabe an einen Dritten im Sinne des Gesetzes und bedarf insoweit einer Rechtfertigung. 

Kleines Konzernprivileg

Vielfach lässt sich aber nunmehr vom sog. „kleinen Konzernprivileg“ lesen. Dies bezieht sich auf den Erwägungsgrund 48 der Verordnung, wo der Gesetzgeber erklärt, dass ein Verantwortlicher, der Teil eines Konzernverbundes ist ein berechtigtes Interesse daran haben kann, personenbezogene Daten für interne Verwaltungszwecke innerhalb der Unternehmensgruppe zu übermitteln. Hieraus lässt sich eine argumentative Grundlage für die Rechtfertigung einer solchen Weitergabe im Rahmen der allgemeinen Interessenabwägung des Art. 6 der Verordnung ableiten. Insoweit besteht keine eindeutige Regelung, aber es wird Unternehmen eine Möglichkeit der Rechtfertigung an die Hand gegeben, soweit die weiteren Voraussetzungen der Datenverarbeitung erfüllt sind. 

Informationspflichten 

Die Verordnung verschärft die Informationspflichten des Unternehmers erheblich, um die Transparenz der Datenverarbeitung zu stärken. 

Datenerhebung 

Art. 13 und 14 der Verordnung definieren die Informationspflichten im Rahmen der Datenerhebung beim Betroffenen und haben aufgrund ihres Umfangs teils den Charakter einer Rechtsmittelbelehrung. Hier ist zu prüfen, welche Anpassungen an den Systemen und Verträgen bzw. Allgemeinen Geschäftsbedingungen eines Unternehmens erforderlich sind, um allen Informationspflichten der Verordnung gerecht zu werden. 

Weitere Informationspflichten

Ein Unternehmen muss auch über Datenschutzverletzungen, die Aufhebung einer Einschränkung der Verarbeitung, einmaligen Dritttransfer oder bei der Weiterverarbeitung zu einem anderen Zweck informieren. Insbesondere die letztgenannte Pflicht kann für viele Unternehmen relevant werden, da es schnell zu einer Zweckänderung kommen kann. 

Privacy by Design/Privacy by Default

In Art. 25 der Verordnung werden nunmehr die Grundsätze des Datenschutz durch Technikgestaltung (Privacy by Design) und durch datenschutzfreundliche Voreinstellung (Privacy by Default) aufgestellt. Danach wird den Unternehmen aufgegeben, bereits in der Planungs- und Konzeptionsphase die Belange des Datenschutzes im Auge zu haben, und die Grundsätze bereits hier umzusetzen. Dabei soll bei der Konzeption und Beschaffung technischer Verarbeitungsanlagen darauf geachtet werden, dass die technischen und organisatorischen Vorkehrungen bestehen, dass der Datenschutz wirksam eingehalten werden kann. Gleiches gilt für die Voreinstellung solcher Geräte und Systeme. So muss beispielsweise geprüft werden, ob eine Verarbeitungssoftware die Möglichkeit bietet, verschiedene Berechtigungskonzepte zu hinterlegen, um somit der Zugriff auf Daten auf diejenigen Personen beschränken zu können, die diesen Zugriff tatsächlich haben müssen. 

Hierbei ist zu beachten, dass die Verordnung ausschließlich die verantwortliche Stelle verpflichtet, nicht aber die Hersteller von Verarbeitungsanlagen und –systemen. Der Gedanke ist hier, dass die verantwortliche Stelle bei den Herstellern aufgrund der eigenen Verpflichtung auf die entsprechenden Anpassungen zur Umsetzung der Anforderungen hinwirkt. 

Hier müssen entsprechend die bestehenden Geräte und Systeme überprüft werden. Darüber hinaus muss im Rahmen der Planung neuer Systeme stets geprüft werden, ob diese den Anforderungen entsprechen und es sollten die Angebote, Allgemeinen Geschäftsbedingungen und Verträge etwaiger Anbieter geprüft werden, um eine Umsetzung dieser neuen Anforderungen sicherzustellen. 

Einwilligung

Die Anforderungen an eine wirksame Einwilligung in die Datenverarbeitung wurden in mehrfacher Hinsicht angepasst. So wird künftig grundsätzlich auch eine stillschweigende Einwilligung ausreichend sein, sofern sie eindeutig ist. Entsprechend bestehen erhebliche Informationspflichten entsprechend der neuen Verordnung mit Blick auf wirksame Einwilligungen.

Kopplungsverbot

Auch wurde ein Koppelungsverbot im Rahmen der Einwilligung in die Verordnung aufgenommen, welches nicht mehr auf Fälle der Monopolstellung beschränkt ist, wie es noch unter § 28 Abs. 3b BDSG der Fall war. Allerdings ist in Art. 7 Abs. 4 der Verordnung lediglich vorgegeben, dass die Koppelung bei der Beurteilung der Freiwilligkeit der Einwilligung im größtmöglichen Umfang zu berücksichtigen sei. Hier besteht einiges an Spielraum zur Interpretation und zur Auslegung. 

Fortgeltung oder Erneuerung bestehender Einwilligungen

Es stellt sich die Frage, ob Unternehmen unter Geltung der neuen Verordnung nunmehr verpflichtet sind, auch für Bestandskunden neue Einwilligungen einzuholen, die den Anforderungen der Verordnung entsprechen. Hierzu erklärt die Verordnung in Erwägungsgrund 171 einen Bestandsschutz bestehender Einwilligungen, soweit diese den Bedingungen der Verordnung bereits entsprechen. Entsprechend sind Unternehmen gehalten, alle bestehenden Einwilligungen entsprechend auf die Anforderungen der Verordnung in formeller und materieller Hinsicht zu überprüfen, um sicherzustellen, dass eine weitere Verwendung dieser Daten nicht rechtswidrig ist. 

Sanktionen

Für den Fall des Verstoßes gegen die verschiedenen Anforderungen und Vorgaben der Verordnung sieht diese einen umfangreichen und einschneidenden Bußgeldkatalog vor.

 Im Rahmen des BDSG war das Höchstmaß eines Bußgeldes 300.000 EUR. Nunmehr sieht die Verordnung Bußgelder bis zu 10.000.000 EUR oder 2 % des weltweiten Jahresumsatzes bzw. 20.000.000 EUR oder 4 % des weltweiten Jahresumsatzes je nach Verstoß vor. Damit erfolgt eine drastische Erhöhung des Bußgeldrahmens für Datenschutzverstöße. 

Selbstverständlich werden diese Summen nicht sofort bei jedem Verstoß gegen die Verordnung fällig. Allerdings ist auch anzunehmen, dass der Gesetzgeber diese empfindlichen Summen nicht aufgenommen hat, damit die Behörden sie nicht ausreizen. Entsprechend ist davon auszugehen, dass erheblich höhere Bußgelder verhängt werden, sobald die Verordnung Geltung erlangt hat. 

Aus nachfolgender Übersicht der bußgeldbewährten Verstöße lässt sich erkennen, dass beinahe sämtliche Pflichten der Unternehmen nunmehr bußgeldbewährt sind. Entsprechend sollten Unternehmen zeitnah damit beginnen, ihre Compliance mit den Vorgaben der Verordnung zu überprüfen, um einem möglichen bösen Erwachen mit erheblichen Sanktionen zu entgehen. 

Maßnahmen

Für Unternehmen in Deutschland wird die Regelungslage der DSGVO an Komplexität gewinnen. Gerade am Anfang ist damit ein erhöhter Aufwand für die Umstellung auf die neuen rechtlichen Vorgaben zu erwarten. Dieses gilt umso mehr, als dass das bestehende Datenschutzniveau Ihres Unternehmens noch nicht auf dem derzeitigen Stand des BDSG ist. 

Gerne beraten wir Sie bei der Implementierung und Umsetzung der bestehenden und zukünftigen Rechtslage.