EU-Datenschutz-Grundverordnung - DS-GVO Überblick über neue Pflichten und Sanktionen für Unternehmen

So unterschiedlich die Kulturen der einzelnen Länder in der Europäischen Union sind, so unterschiedlich war bisher auch das jeweilige nationale Datenschutzrecht in der EU. Europäische Datenschutzrichtlinien wurden unterschiedlich in nationales Recht umgesetzt. Der jeweilige Vollzug und das Kontrollniveau des umgesetzten Rechts erfolgte durch die nationalen, unabhängigen und eigenständigen Aufsichtsbehörden.
Mit dieser Mannigfaltigkeit des europäischen Datenschutzrechts soll nach dem Willen der EU durch den Erlass der EU-Datenschutzgrundverordnung (DS-GVO) jetzt gebrochen werden.

Im Gegensatz zu einer Richtlinie sind europäische Verordnungen direkt anwendbares Recht und ersetzen somit die nationalen (Datenschutz-) Gesetze, soweit keine Öffnungsklauseln für den nationalen Gesetzgeber vorgesehen sind.

Mit dieser Zielsetzung haben das EU-Parlament, der Rat und die Kommission im Rahmen eines Trilogs eine vorläufige Einigung getroffen, die am 15.12.2015 bekannt gemacht wurde. Die EU Datenschutzgrundverordnung (DS-GVO) ist am 25.05.2016 in Kraft getreten. Ihre Wirkungen wird sie nach Ablauf des 2-jährigen Umsetzungszeitraumes ab Ende Mai 2018 entfalten. Die nationalen Gesetzgeber haben somit nun 2 Jahre Zeit, die Regelungen in nationales Recht umzusetzen und von vorhandenen Öffnungsklauseln Gebrauch zu machen

Im Folgenden werden die wichtigsten Änderungen und Kerninhalte dargestellt:

I. Stärkung der Rechte der Betroffenen

Ein erstes Anliegen der EU war es, die Rechte der von der Datenverarbeitung Betroffenen zu stärken.

1.Verbandsklage

Dies wird in der DS-GVO durch das Recht zur Verbandsklage verankert. Ein Betroffener kann eine gemeinnützige Vereinigung beauftragen, seine Rechte gegenüber Gerichten und Behörden geltend zu machen. Insbesondere gilt dies auch für Schadensersatzansprüche, Auskunftsansprüche und Löschansprüche. Weder die bisherige Richtlinie noch das BDSG beinhalten bisher ein solches Verbandsklagerecht. Zwar hat der deutsche Gesetzgeber erst zu Beginn des Jahres 2016 den Verbraucherschutzverbänden ein eigenes Klagerecht im Rahmen der Novellierung des UKlaG eingeräumt, allerdings geht das zukünftig durch die DS-GVO eingeräumte Recht weit darüber hinaus. So können mittels der DS-GVO insbesondere auch Schadensersatzansprüche, Löschansprüche und Auskunftsansprüche durch die Verbraucherverbände eingeklagt werden.

Mittelbar wird dies die Unternehmen zur Einhaltung ihrer datenschutzrechtlichen Verpflichtungen anhalten, da verstärkt mit Verbandsklagen zu rechnen ist.

2. Erhöhte Anforderungen an datenschutzrechtliche Einwilligungen

Außerdem werden erhöhte Anforderungen an eine für die Datenverarbeitung erforderliche Einwilligung gestellt. Zwar forderte § 4a I BDSG für das Vorliegen einer wirksamen Einwilligung ebenfalls eine freie Entscheidung des Betroffenen über die Verarbeitung seiner Daten, eine informierte Entscheidung und die Schriftform, allerdings werden die Anforderungen durch die DS-GVO verschärft. Nach der DS-GVO muss eine Einwilligungserklärung freiwillig, spezifisch, informiert und eindeutig sein. Nach der DS-GVO reicht weder Stillschweigen noch Inaktivität um die Voraussetzungen für eine Einwilligung zu erfüllen.

Insbesondere an das Merkmal der Freiwilligkeit sind strenge Anforderungen gestellt. Gemäß Art. 7 IV DS-GVO ist bspw. bei der Annahme der Freiwilligkeit insbesondere zu berücksichtigen, ob die Vertragserfüllung von einer Einwilligung abhängig gemacht wird, obwohl für die Erfüllung des Vertrages keine Datenverarbeitung erforderlich ist.
Praxistipp: Es ist zu erwarten, dass bereits vorhandene Einwilligungserklärungen an die neue Rechtslage angepasst werden müssen. Auch wird es zunehmend wichtiger sein, Einwilligungen gesondert einzuholen und nicht in die Vertragstexte einzubauen, wie dies z.B. häufig bei Arbeitsverträgen der Fall ist.

3. „Right to be forgotten“ – Anspruch auf Datenlöschung

Durch die DS-GVO wird ein Anspruch auf Datenlöschung gewährt, wenn bestimmte Voraussetzungen gemäß Art 17 DS-GVO vorliegen. Insbesondere besteht ein derartiger Anspruch, wenn der Zweck der Datenspeicherung weggefallen ist oder die Speicherung unzulässiger war. § 35 BDSG beinhaltete bereits auf nationaler Ebene einen Anspruch auf Löschung von gespeicherten Daten, so dass das „Right to be forgotten“ oder „das Recht vergessen zu werden“ in Deutschland kein Novum darstellt. Allerdings sieht die DS-GVO neben der Pflicht zur Datenlöschung eine weitere, auch für Deutschland, neue Verpflichtung vor: Ein Anbieter der personenbezogene Daten öffentlich macht wie bspw. Facebook, muss Dritte über das Löschungsverlangen informieren.

4. strenge Zweckbindung der erhobenen Daten

Weiterhin unterliegen die bereits erhobenen Daten einer strengeren Zweckbindung. Die DS-GVO erschwert die bisherige Möglichkeit, einmal erhobene personenbezogene Daten später auch für einen anderen Zweck weiter verarbeiten zu können. Während bisher auf nationaler Ebene durch das BDSG eine Weiterverarbeitung möglich war, solange nur irgendeine Rechtsgrundlage für eine zulässige Verarbeitung einschlägig war, ist jetzt eine Weiterverarbeitung nur noch möglich, wenn der neue Zweck mit dem alten Zweck vereinbar ist. Ob eine derartige Vereinbarkeit vorliegt, ist anhand diverser Merkmale festzustellen, insbesondere dem Zweck, dem Gesamtkontext der Datenerhebung und dem damit verbundenen Konsequenzen für den Betroffenen.

II. vereinfachtes Verfahren – „one-stop-shop“-Prinzip

Ein weiteres Ziel der EU war es, das Verfahren zu vereinfachen und eine einheitliche Zuständigkeit der Aufsichtsbehörde bzgl. internationaler Unternehmen zu schaffen.
Die DS-GVO versucht mittels des sog. one-stop-shop Prinzip Rechtssicherheit bezüglich der Zuständigkeit der Aufsichtsbehörden zu schaffen.

Flankiert wird dieses Konzept durch den neu zu schaffenden europäischen Datenschutzausschuss, der als „übergeordnete Instanz“ im Streitfall zwischen mehreren zuständigen Aufsichtsbehörden eine bindende Entscheidung trifft. Für Unternehmen, deren Geschäft sich auf die nationale Ebene beschränkt, hat das One-Stop-Shop-Konzept geringe Bedeutung.

Das sog. one-stop-shop Prinzip sieht eine grundsätzliche, zentrale Zuständigkeit im Sinne einer federführenden Aufsichtsbehörde am Sitz der „Hauptniederlassung“, also am zentralen Verwaltungssitz des Unternehmens in der Union, vor.
Dieses one-stop-shop Konzept wird allerdings durch mehrere Ausnahmen durchbrochen.

Sollte zusätzlich zu der federführenden Behörde eine weitere Aufsichtsbehörde eines anderen Mitgliedsstaats betroffen sein, wie im Falle der Beschwerde durch einen Betroffenen, erfolgt eine Absprache zwischen den jeweiligen Behörden. Gelangen die Behörden dabei zu keiner Einigung, so entscheidet der Europäische Datenschutzausschuss bindend über den Sachverhalt.

Die vor genannten Verfahrensregelungen sind im Ergebnis insbesondere für Unternehmen mit Niederlassungen in mehreren Mitgliedsstaaten relevant. Aber selbst bei diesen kann sich durch die oben genannten Ausnahmen zusätzlich eine Zuständigkeit der jeweiligen nationalen Aufsichtsbehörde ergeben.

III. neue Pflichten für Unternehmen

Ein weiteres Merkmal der DS-GVO ist, dass den datenverarbeitenden Unternehmen umfangreichere Pflichten auferlegt werden.

1. verschärfte Meldepflicht bei Datenpannen

So verlangt Artikel 33 I DS-GVO eine Meldepflicht, wenn der Schutz personenbezogener Daten verletzt wurde. § 42 a BDSG beinhaltet bereits eine derartige Meldepflicht, beschränkte diese allerdings auf besonders sensible Datenarten und nur auf die Fälle, bei denen durch die Verletzung solcher sensibler Daten schwerwiegende Beeinträchtigungen für die Betroffenen drohen.

Durch die DS-GVO wird die Meldepflicht deutlich erweitert und verschärft.

Zum einem werden von der Meldepflicht alle personenbezogenen Daten umfasst, zum anderen wird eine konkrete zeitliche Vorgaben (Frist von 72 h) vorgeschrieben, innerhalb derer der Verstoß zu melden ist. Das BDSG sieht nur eine unverzügliche Meldung vor. Allerdings ist von der Meldung abzusehen, wenn die Verletzung keine hohen Risiken für die Rechte und Freiheiten des Betroffenen nach sich zieht. Diese Einschränkung ist wohl vergleichbar mit der bisherigen Regelung des § 42 a S.1 2.HS BDSG, der eine Meldepflicht nur dann statuiert, wenn schwerwiegende Beeinträchtigungen für die Betroffenen drohen.

Auswirkung für die Praxis:

In Zukunft besteht für die Unternehmen, wie bereits bisher, die Pflicht jede oben genannte Verletzung zu melden, da innerhalb 72 Stunden wohl keine abschließende Klärung der Folgen (Bestehen hohe Risiken für die Rechte und Freiheiten des Betroffenen?) möglich ist. Allerdings ist der konkrete Zeitraum für die Meldepflicht zu beachten. Da bisher ein unverzügliches Melden, also eine ohne schuldhaftes Verzögern vorzunehmende Meldepflicht wohl ebenfalls spätestens innerhalb von drei Tagen wahrzunehmen ist, werden sich daraus in der Praxis keine signifikanten Unterschiede ergeben.

2. Pflicht zur Bestellung eines Datenschutzbeauftragten

Die Pflicht zur Bestellung eines Datenschutzbeauftragten wird im Vergleich zur bisherigen Regelung des BDSG modifiziert. Es wird nicht mehr nur an die Anzahl der Beschäftigten angeknüpft, sondern zusätzlich an die Anzahl der Betroffenen, deren Daten im Unternehmen durchschnittlich verarbeitet werden.

Gerade dieser Punkt bleibt aber dem nationalen Gesetzgeber zur Regelung offen – es bleibt abzuwarten, ob der deutsche Gesetzgeber Änderungen vornehmen wird.

3. Erhöhte Anforderungen an Dokumentationen

Außerdem werden teilweise erhöhte Dokumentationspflichten an die Unternehmen gestellt. Zwar entsprechen die in der DS-GVO geregelten Dokumentationspflichten grundsätzlich den Pflichten des BDSG. Allerdings sieht die DS-GVO in einzelnen Bereichen höhere Anforderungen vor. So verlangt beispielsweise Artikel 28 DS-GVO die Dokumentation von Verarbeitungsvorgängen sowohl durch die Verantwortlichen für die Verarbeitung als auch deren Auftragsverarbeitern.

4. „Privacy by design and default“

Auch das bereits gültige Prinzip der Datenvermeidung und Datensparsamkeit, geregelt in § 3a BDSG, wird von einer bloßen Leitlinie zu einer mit Bußgeld bedrohten Verpflichtung der datenverarbeitenden Unternehmen zur Einhaltung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy by design and default“) erweitert, Art. 25 DS-GVO. Die datenverarbeitenden Unternehmen trifft die Pflicht geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — vorzunehmen, um die obengenannten Leitlinien wie z.B. die Datenminimierung wirksam umzusetzen. Außerdem sind von den Unternehmen geeignete Voreinstellungen zu treffen, dass insbesondere, einerseits grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden und andererseits die personenbezogenen Daten ohne Eingreifen des Betroffenen nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

IV. deutliche Erhöhung der Bußgelder

Flankiert werden die erhöhten Pflichten der Unternehmen durch eine Neufassung der Höhe der Bußgelder, die bei entsprechenden Verstößen gegen die datenschutzrechtlichen Pflichten der Unternehmen festgesetzt werden können. Betrug bislang die maximale Höhe derartiger Bußgelder 300.000 €, so können nach der DS-GVO Bußgelder in Höhe von bis zu 20 Millionen Euro anfallen oder im Falle von Konzernen Bußgelder in Höhe von bis zu 4 % des Jahresumsatzes festgesetzt werden.
Diese Verschärfung der Bußgelder wird sicherlich viele Unternehmen dazu bewegen, Datenschutz eine höhere Priorität einzuräumen.

V. Zertifizierungen

Auch hinsichtlich Datenschutzzertifikaten trifft die DS-GVO zumindest Rahmenregelungen in den Art. 42 f DS-GVO.
Gemäß Art. 42 I DS-GVO verpflichten sich Mitgliedstaaten, Aufsichtsbehörden, der europäischer Datenschutzausschuss und die Kommission die Ausarbeitung von Verhaltensregeln zur ordnungsgemäßen Anwendung der Verordnung zu fördern.
Die Schaffung solcher Verhaltensregelungen soll sich gemäß Art. 42 DS-GVO auch ausdrücklich auf Vorgaben zu technischen und organisatorischen Maßnahmen im Umgang mit personenbezogenen Daten beziehen. Insoweit schließt die Verordnung die bisher vorherrschende Lücke hinsichtlich der praktischen Umsetzung und kann somit dazu beitragen, die bei Unternehmen vorherrschende Unklarheit über die technischen Mindestanforderungen hinsichtlich der Datenverarbeitung zu beseitigen.  
Zudem sieht Art. 42 I DS-GVO vor, dass diese Datenschutzzertifikate in Kombination mit „geeigneten Garantien“, welche die entsprechende Durchsetzung sichern, als Gewährleistung für ein angemessenes Niveau bei einer außereuropäischen Stelle angesehen werden können.

FAZIT:

Zusammenfassend lässt sich sagen, dass die neue DS-GVO gerade kleinere und mittelständische Unternehmen vor größere Herausforderungen stellen wird, da in vielen Bereichen erhöhte Anforderungen gestellt werden und gerade die Aufgaben der Dokumentation in der Praxis häufig vernachlässigt werden. Insbesondere vor dem Hintergrund der drastischen Anhebung der Bußgeldhöhen und der Möglichkeit der Verbandsklage sind Unternehmen allerdings mehr gehalten, die gesetzlichen Regelungen einzuhalten.
Diese erhöhten Anforderungen werden zudem dazu führen, dass sich viele Unternehmen dem Thema Datenschutz-Compliance widmen müssen.