Nach über 4 Jahren ist die neue EU-Datenschutzgrundverordnung (EU-DSGVO, Verordnung EU 2016/679) im April verabschiedet und Ende Mai 2016 in Kraft getreten. Nach einer Übergangszeit von 2 Jahren erlangt die DSGVO Ende Mai 2018 Gültigkeit und löst von da an alle nationalen Datenschutzgesetze ab, die auf der alten EU-Datenschutzrichtlinie von 1995 (Richtlinie 95/46/EG) beruhen. Im Gegensatz zu einer Richtlinie, die in ein nationales Gesetz umgesetzt werden muss, ist die DSGVO eine Rechtsvorschrift, die unmittelbar für alle EU-Mitgliedsstaaten gleichermaßen gilt. Sie gilt außer für den Bereich Strafverfolgung für öffentliche und nicht-öffentliche Stellen (Unternehmen).
Viele Bestimmungen aus dem Bundesdatenschutzgesetz (BDSG) finden sich in der DSGVO wieder, vielfach aber in geänderter oder ergänzter Form. Einen guten Überblick verschafft eine Broschüre der Bundesbeauftragten für Datenschutz mit Gesetzestext und Kommentar (http://www.bfdi.bund.de;
Downloadlink der Broschüre Info6: http://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf?__blob=publicationFile&v=14).
In diesem Beitrag ist es nicht möglich, auf alle Änderungen und Ergänzungen einzugehen. Daher werde ich nur einige Punkte betrachtet:
Einheitlicher Datenschutz: Die DSGVO gilt unmittelbar für alle EU-Mitgliedstaaten. Dies ist ein großer Fortschritt, da dadurch Datenschutzschlupflöcher wie z. B. zurzeit Irland verhindert werden. Allerdings gibt es auch 50 Öffnungsklauseln, wo die Mitgliedsstatten nationale Regelungen schaffen können (u. a. Datenschutzschutzbeauftragter, Beschäftigungsdatenschutz). Die zuständigen deutschen Ministerien haben bereits angekündigt, noch in diesem Jahr ein DSGVO-Ergänzungsgesetz zu entwerfen. Dort werden sich vermutlich die bisherigen Bestimmungen des BDSG zum Datenschutzbeauftragten im Ergänzungsgesetz wiederfinden.
Recht auf Vergessen: Wer möchte, dass persönliche Daten gelöscht werden, muss dieses Recht auf Vergessen gegenüber Google, Facebook u.a. durchsetzen können. Der Datenverarbeiter muss die Löschanfrage auch an Dritte weiterleiten, an die er Daten weitergegeben hatte.
Recht auf Datenportabilität: Wer einen Anbieter wechseln möchte, hat das Recht, persönliche Daten mitzunehmen. Anbieter müssen die Nutzerdaten auf Anfrage auf elektronischem Weg und in einem allgemein nutzbaren Format kostenfrei und schnell aushändigen.
Informierte Einwilligung als Eckpfeiler: Nutzerinnen und Nutzer müssen bewusst einer Datenverarbeitung zustimmen oder sie ablehnen können. Die Verordnung stellt nun klar, dass es keine vermutete Einwilligung geben und es nicht die Aufgabe der Nutzerinnen und Nutzer sein kann, voreingestellte Haken aus Kästchen zu entfernen. Jede Zustimmung bedarf einer klaren zustimmenden Handlung. Diese muss freiwillig sein, d.h. ein Vertrag darf nicht an die Verarbeitung von Daten gebunden sein, die mit der erbrachten Leistung oder dem Produkt nichts zu tun hat.
Informationsrechte und Transparenz: Die Verordnung fordert weit mehr Auskunfts- und Informationsansprüche. Nutzerinnen und Nutzer werden nun klare und präzise Auskunft darüber erhalten, wie die eigenen Daten verarbeitet werden. Nutzungsbedingungen müssen leicht zu verstehen sein. EU-weit standardisierte Symbole sollen lange und oft nur für Juristen lesbare Datenschutzerklärungen leicht verständlich und schnell erfassbar zusammenfassen.
Stärkere Nutzerrechte: Künftig sollen Nutzer leichteren Zugang zu ihren Daten haben. Jeder hat damit das Recht zu erfahren, welche Daten über ihn gesammelt werden. Zudem wird der Nutzer Anspruch auf klare und leicht verständliche Informationen darüber haben, wer seine Daten zu welchem Zweck wie und wo verarbeitet.
Datengeheimnis und Datenverpflichtung: Die Grundverordnung kennt im Gegensatz zum BDSG nicht mehr den Begriff „Datengeheimnis“ und auch nicht die bisherige Verpflichtung auf das Datengeheimnis. In der Praxis werden die Unternehmen Ihren Mitarbeitern inhaltsähnliche Verpflichtungserklärungen vorlegen.
Datenweitergabe an Drittstaaten: Firmen sollen Daten nicht direkt an Behörden in Drittstaaten weitergeben dürfen. Dies ist nur erlaubt auf der Grundlage von Rechtshilfeabkommen oder ähnlicher, auf EU-Recht basierender Regeln. Auch außerhalb der EU müssen Bürgerinnen und Bürgern, deren Daten weitergeleitet werden, gleiche Rechte zustehen, einschließlich der Klagemöglichkeit auch im Drittstaat.
Zukunftstaugliche Definitionen: Alle Informationen, die direkt oder indirekt einer Person zugeordnet werden können, müssen als personenbezogene Daten geschützt werden. Dies ist gerade in Zeiten von „Big Data“ wichtig.
Privacy by Design: Hardware, Software und Dienste müssen datensparsam konzipiert werden.
Privacy by Default: Produkte (z. B. Browser) müssen mit den datenschutzfreundlichsten Voreinstellungen angeboten werden.
Einwilligung in Datenverarbeitung erst ab 16: Nach DSGVO steigt das Mindestalter für die Abgabe einer rechtswirksamen Einwilligung in die Verarbeitung personenbezogener Daten auf 16. Kinder bis 16 Jahren benötigen die Zustimmung der Eltern.
Datenschutzbeauftragter: Den Datenschutzbeauftragten wird es jetzt EU-weit geben. Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt werden.
Marktortprinzip: Das „Marktortprinzip“ sorgt dafür, dass die DSGVO Anwendung auf Datenverarbeiter findet, die nicht in der EU niedergelassen sind, wenn eine Datenverarbeitung dazu dient, in der EU ansässigen Personen Waren oder Dienstleistungen anzubieten.
Auftragsdatenverarbeitung: Bei der Auftragsdatenverarbeitung (ADV, Verarbeitung von Daten durch externe Unternehmen) wird vieles den Bestimmungen im BDSG entsprechen. Ändern wird sich die Verantwortlichkeit. Nach dem BDSG ist der Auftraggeber verantwortlich für die Datenverarbeitung. Zukünftig werden sowohl Auftraggeber als auch Auftragnehmer für die Datenverarbeitung gleichermaßen verantwortlich sein. Auch für eventuell verhängte Bußgelder werden beide herangezogen werden können. Der ADV-Vertrag kann nun auch elektronisch gefasst werden. Im BDSG ist die Schriftform zwingend vorgeschrieben.
Sanktionen: Entscheidende Änderungen gibt es beim Bußgeld. Anders als bislang wird die Höchstsumme für Bußgelder bei Datenschutzverstößen nicht mehr in starren Werten angegeben, vielmehr können künftig Bußgelder in Höhe von bis zu 4 Prozent der Weltjahresumsatzes eines Unternehmens oder bis zu 20 Mill. EUR verhängt werden (das jeweils höhere gilt). Großunternehmen wird das nicht gefallen, ihnen drohen bei Verstößen gegen die Verordnung Bußgelder in Millionen- oder gar Milliardenhöhe. Sanktionen werden aber verhältnismäßig sein und die Größe eines Unternehmens berücksichtigen.
Einheitliche Rechtsdurchsetzung: Ein europäischer Datenschutzausschuss, bestehend aus den nationalen Aufsichtsbehörden, soll die einheitliche Anwendung des Datenschutzrechts sicherstellen. Die Unabhängigkeit der Datenschutzbehörden bleibt gewahrt.
Fester Ansprechpartner für ganz Europa: Bürgerinnen und Bürger müssen sich in der gesamten EU nur noch an eine Datenschutzbehörde wenden. Unternehmen müssen ebenfalls nur noch mit der Datenschutzbehörde des Mitgliedstaats zusammenarbeiten, in dem sich der Hauptsitz des Unternehmens befindet.
Datenschutz als Complianceanforderung: Die DSGVO verstärkt die Notwendigkeit von Datenschutzkontrollen. Die in der DSGVO formulierten Datenschutz-Grundsätze (Datensparsamkeit, Transparenz, Zweckgebundenheit, Rechtmäßigkeit, IT-Sicherheit usw.) werden von einer Rechenschaftspflicht begleitet, bei der die für Verarbeitung von Daten Verantwortlichen die Einhaltung der Datenschutz-Grundsätze nachweisen müssen.
Öffentliches Verfahrensverzeichnis: Bisher müssen Unternehmen ein sogenanntes „Öffentliches Verfahrensverzeichnis“ führen. Dieses entfällt zukünftig. Stattdessen führt die Grundverordnung eine Dokumentationspflicht (Art. 28 DSGVO) ein, die auch für Auftragsverarbeiter gelten wird. Diese Dokumentation ist für die Aufsichtsbehörden bereitzuhalten.
Langer Weg zum Gesetz: Der Weg zur endgültigen Fassung der EU-Datenschutzgrundverordnung war lang und ein harter Kampf. Nie zuvor hat ein Gesetzgebungsverfahren der EU so lange gedauert (über 4 Jahre). Nie zuvor hat es dermaßen viele Anträge und Änderungswünsche gegeben (über 4000). Maßgeblichen Einfluss hatte aber die Snowden Affäre, ohne die das Gesetz nicht in der jetzigen Form vorliegen würde.
Empfehlung für Unternehmen
Unternehmen sollten die weitere Entwicklung in Sachen DSGVO unbedingt im Auge behalten und sich bereits möglichst frühzeitig um die Umsetzung kümmern. Bei Fragen können Sie sich gerne an mich wenden. Ich unterstütze ihr Unternehmen bei der Umstellung auf die neue EU-DSGVO inkl. Schulung und Weiterbildung von Mitarbeitern und internen Datenschutzbeauftragten.
Dr. Johannes Schröder, externer Datenschutzbeauftragter mit Zertifikat
abebo IT-Lösungen. info@abebo.de
Weiterlesen