EU-Datenschutz Grundverordnung (EU-DSGVO)

Ein neues Kürzel beschäftigt die Wirtschaft europaweit und auch in Übersee: DSGVO. Insbesondere auch deshalb, da mit der Bezeichnung zusammen auch stets eine Deadline genannt wird, die manche fast als Damokles-Schwert empfinden, nämlich das Datum des „Inkrafttretens“ am 25. Mai 2018. Doch worum genau geht es bei der DSGVO, wo liegen die Herausforderungen, wo die Chancen? Um das zu erfassen, soll zunächst einmal genau umrissen werden, was die DSGVO eigentlich ist.

 

Was ist die EU-Datenschutzgrundverordnung?

Die EU-DSGVO – also die Datenschutzgrundverordnung der Europäischen Union – ist ein Rechtskonstrukt, das in fast 100 Artikeln einheitliche, rechtlich bindende Regelungen rund um Datenschutzaspekte schafft, die inhaltlich zunächst einmal für alle Staaten des Rechtsraums der Europäischen Union gelten.

Die DSGVO ist in 11 verschiedene Kapitel unterteilt, die neben allgemeinen Bestimmungen und Grundsätzen vor allem Rechte (von sog. Betroffenen) und Pflichten (von sog. Verantwortlichen und Auftragsverarbeitern) darlegen sowie die beteiligten öffentlichen Institutionen definieren und deren Zusammenwirken beschreiben. Daneben legen sie den Rahmen möglicher Sanktionen fest und befassen sich mit Sonderthemen wie Datenübertragung in Drittländer oder die Verarbeitung besonders schützenswerter Daten.

 

Ab wann gilt die EU-DSGVO?

Bezüglich des Geltungszeitraum herrscht ein kleiner Irrglaube: Die DSGVO tritt nicht erst 2018 inkraft, sie ist bereits am 25. April 2016 nach Verabschiedung durch den Europäischen Rat und das EU-Parlament inkraft getreten. Da es sich um eine Verordnung und keine Richtlinie handelt, ist sie bei Inkrafttreten sofort in allen Mitgliedsstaaten ohne eine zuvorige Umsetzung in nationales Recht gültig. Die besondere Bedeutung der Deadline des 25. Mai 2018 entsteht dadurch, dass bis zu diesem Zeitpunkt eine Übergangsphase herrscht, in der die (noch sehr unterschiedlichen) nationalen Regelungen zum Datenschutz – in Deutschland also primär das BDSG – angewendet werden dürfen (diese Option wurde erwartungsgemäß auch von allen Mitgliedsstaaten gezogen). Zum Ende dieses Übergangs verlieren diese nationalen Regelwerke aber dann ihre Gültigkeit und die DSGVO gilt in allen Mitgliedsstaaten gleichermaßen.

 

Welche Branchen/Unternehmen sind betroffen?

Der Anwendungsbereich wird räumlich und sachlich in den ersten Artikeln der DSGVO definiert. Dabei sind zwei Prinzipien angewendet worden, die die große Reichweite der Regelungen abstecken: Es geht allgemein um die Verarbeitung personenbezogener Daten von natürlichen Personen aus dem EU-Rechtsraum, und es werden nur minimale Ausnahmen dieser Wirkweise bzgl. der verarbeitenden Stellen ausgeführt (bspw. EU-Organe, Strafverfolgungsinstitutionen, rein private & familiäre Nutzung).

In der Konsequenz heißt dies, dass grundsätzlich alle in der EU tätigen Branchen und Unternehmen sowie nationale Behörden (mit den zuvor genannten wenigen Ausnahmen) diesem Regelungswerk unterliegen, sobald sie personenbezogene Daten von natürlichen Personen, die sich in der EU befinden, verarbeiten – unabhängig davon, ob die verarbeitende Stelle aus der EU kommt oder ob die (technische) Verarbeitung an sich in der EU stattfindet. Damit sind also z.B. auch Nicht-EU-Unternehmen betroffen, sofern sie in irgendeiner Form in der EU tätig sind und entsprechende Daten verarbeiten. Aus diesem Grund ist die DSGVO auch für Unternehmen aus den USA und dem asiatischen Raum als hochrelevant anzusehen.

 

Ziele der DSGVO

Die Ziele der DSGVO drehen sich vor allem um die Wahrung des Grundrechts auf informationelle Selbstbestimmung, das in der EU-Grundrechte-Charta verankert ist. Der weitestmögliche Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten steht somit im operativen Fokus der Verordnung.

Zu beachten ist aber auch, dass es daneben auch zu den Zielen der DSGVO gehört, den freien Verkehr personenbezogener Daten in der EU ebenfalls zu schützen: Er darf nicht durch übertriebene Schutzregeln für die Verarbeitung eingeschränkt oder gar verboten werden. Dieser Aspekt wird oft falsch interpretiert, wenn von Datenübertragungen die Rede ist, denn die teils strengen Einschränkungen für die Datenweitergabe beziehen sich primär auf Empfänger ausserhalb der EU.

Ein indirektes Ziel, das durch den Status als (allgemein und umgehend geltende) Grundverordnung gefördert wird, ist die Harmonisierung der Datenschutzregelungen in den diversen Mitgliedsstaaten, sowohl bzgl. des gewünschten Datenschutzniveaus als auch hinsichtlich der Befugnisse der Behörden sowie der aussprechbaren Sanktionen. Diese Harmonisierung wiederum soll insgesamt die Vertrauensbasis in den EU-Wirtschaftsraum festigen.

 

Die Inhalte/Änderungen der EU-Datenschutzgrundverordnung

Im Vergleich zum hierzulande bestehenden BDSG ist keine vollständige Änderung der Rechtslage im Datenschutz zu erwarten, da sich die DSGVO stark an den Prinzipien der hiesigen Regelungen orientiert. Dennoch sind einige Themen anders gelagert, weiter gefasst und vor allem stärker sanktioniert.

Zu nennen sind zum einen die ganz explizit benannten Rechte der Betroffenen, also der natürlichen Personen, deren Daten potenziell verarbeitet werden. Neben bereits bestehenden und in Teilen leicht angepassten Rechten auf einen transparenten Erhebungs- und Einwilligungsprozess oder Auskunft auf Anfrage hin ist das „Recht auf Vergessenwerden“ sicher ein Thema das größere Auswirkungen haben wird, sowohl auf die Sensibilisierung der Bürger als auch auf die Prozesse bei den Unternehmen um dies effektiv umzusetzen.

Des weiteren werden auch die Pflichten für Unternehmen noch klarer gefasst und teilweise nachhaltig ausgeweitet: Mit der DSGVO wird bspw. nun auch der Auftragsverarbeiter stärker in die Pflicht genommen und dem Verantwortlichen in mehreren Bereichen quasi gleichgestellt (bspw. Pflicht zur Bestellung eines Datenschutzbeauftragten).

Mit die größte Aufmerksamkeit haben sicherlich die deutlich angestiegenen Maximal-Beträge der aussprechbaren Strafen für Verstöße erfahren, da diese mit der klaren Zielsetzung der Wirksamkeit und der Abschreckung ausgelegt werden sollen. Konkrete Werte von „bis zu 20 Mio. EUR“ und „bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“ machen die Gefahr deutlich erfassbarer als bisher.

 

Pflichten für Unternehmen

Ein genauerer Blick auf die – zum Teil erweiterten – Pflichten für Unternehmen zeigt auf, worauf die Verantwortlichen in der Geschäftsleitung bei der Vorbereitung und Umsetzung ihrer Datenschutzaktivitäten ihr Augenmerk legen sollten. Hier ein Auszug der relevantesten Regelungen:

Technischen und organisatorischen Rahmen schaffen

Unternehmen müssen ihre Wertschöpfungsprozesse analysieren und durch geeignete Tools und Systeme sicherstellen, dass sie die Verarbeitung personenbezogener Daten rechtskonform durchführen und dies auch jederzeit nachweisen können. Das Gesetz spricht hier zwar auch von einer „Verhältnismäßigkeit“, konkretisiert diese aber natürlich nicht. Die technischen und organisatorischen Maßnahmen umfassen dabei bspw. auch datenschutzfreundliche Voreinstellungen (generell Opt-in statt Opt-out, keine Vorbefüllung nicht relevanter Felder etc.), weitestgehende Pseudonymisierung oder automatisch gesteuerte Löschprozeduren.

Gemeinsame Verantwortung, Vertreter-Verantwortung

Bei einer arbeitsteilig geplanten Verantwortung muss die Aufteilung im Vorfeld klar geregelt sein, „weiße Flecken“ sind unbedingt zu vermeiden. Nicht in er EU ansässige aber hier tätige Unternehmen müssen zwingend einen Vertreter benennen, der die Verantwortlichenrolle gegenüber den Behörden ausüben kann.

Auftragsverarbeiter vertraglich einbinden

Sobald bestimmte Verarbeitungsprozesse vom Verantwortlichen an einen Externen ausgelagert werden, wird dieser zum Auftragsverarbeiter. Dieser hat – genauso wie ein Verantwortlicher – aktiv dafür Sorge zu tragen, dass im Rahmen dieser Auftragsverarbeitung alle nötigen Maßnahmen getroffen werden um den Schutz der verarbeiteten personenbezogenen Daten sicherzustellen. Beide Seiten sind verpflichtet, einen ausreichend regelungsstarken Vertrag zu diesem Auftragsverhältnis abzuschließen.

Verarbeitungsverzeichnis führen

Wie schon beim BDSG sind Unternehmen verpflichtet, die Verarbeitungsprozesse und die dabei beteiligten Systeme nachvollziehbar und aktuell zu dokumentieren und neue, potenziell problematische Verfahren im Vorfeld auf ihre Datenschutzkonformität zu prüfen. Die Ausnahmen bzgl. der in der DSGVO benannten Größenerleichterung für Unternehmen unter 250 Mitarbeitern sind dabei zu prüfen und bei Interpretationsspielräumen lieber streng auszulegen.

Zusammenarbeit mit den Behörden

Grundsätzlich sind Unternehmen zur aktiven Zusammenarbeit mit den Behörden verpflichtet. Dies manifestiert sich u.a. durch eine proaktive Meldepflicht von Verstößen innerhalb von 72 Stunden, die vorgeschriebene Datenschutz-Folgenabschätzung bei bestimmten Fällen sowie die Pflicht zur vorherigen Konsultation in potenziellen Risikofällen oder in der Einhaltung der von den Behörden festgelegten Verhaltensregeln für eine ordnungsgemäße Anwendung der Verordnung.

Datenschutzbeauftragter

Viele Unternehmen brauchen einen, nur wenige haben bereits einen benannt oder bestellt: In der DSGVO sind die Erfordernis und die Aufgaben eines Datenschutzbeauftragten klar geregelt. Im Rahmen seiner Unterrichtungs- und Kontrollfunktion ist er der „Sparringspartner“ für die verantwortliche Geschäftsleitung. Zugleich ist er die zentrale Anlaufstelle für externe Interessenten wie bspw. Betroffene oder Behörden. Zwar legt die DSGVO eine zunächst stark erleichternd erscheinende Grenze von 250 Mitarbeitern fest, diese kann – und wird – allerdings über eine Öffnungsklausel durch nationale Regelungen gesenkt werden.

Erweiterung bzw. Konkretisierung zum Datenschutz

Die DSGVO ist als Grundlagen-Regelung zu verstehen, die nicht jede spezielle Verarbeitungssituation vollständig darstellen und klar regeln kann. Aus diesem Grund gehört es auch zu den Pflichten von Unternehmen, interpretationsbedürftige und besondere Datenschutzaktivitäten in sog. internen Datenschutzvorschriften weiter zu konkretisieren und damit möglichst eindeutig und unstrittig zu definieren. Diese Vorschriften müssen rechtlich bindend sein und ihren Wirkungskreis klar darlegen.

 

Sonderregelung: DSGVO für Deutschland

Die DSGVO löst am 25. Mai 2018 bestehende Datenschutzgesetze in den Mitgliedsländern ab, somit auch das BDSG in Deutschland. Zwar liegt das Schutzniveau durch die DSGVO auf einem durchaus ähnlichen Level wie beim heutigen BDSG, einige Konkretisierungen und vor allem striktere Auslegungen sind aus Sicht der hiesigen Gesetzgeber aber dennoch nötig, um keine Verwässerung zuzulassen oder bestimmten hiesigen Besonderheiten ausreichend Rechnung tragen zu können. Aus diesem Grund tritt zeitgleich mit der DSGVO ein sog. BDSG(neu) inkraft, das die Regelungen der EU-Verordnung aufnimmt, in Teilen konkretisiert und bestimmte Themen strikter festlegt. Die offizielle Bezeichnung des im April 2017 beschlossenen Gesetzes lautet „Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG)“.

Neben der bereits erwähnten Nutzung der Öffnungsklausel bei der Größenerleichterung für die Bestellung eines Datenschutzbeauftragten wird durch das BDSG(neu) bspw. ein Schmerzensgeldanspruch für Verbraucher und Arbeitnehmer eingeführt. Anders als nach der DSGVO kann nunmehr eine betroffene Person auch wegen eines Schadens der kein Vermögensschaden ist, eine angemessene Entschädigung in Geld verlangen.

Zwar gibt es bzgl. der Rechtmäßigkeit des BDSG(neu) wegen mancher Abweichungen von der DSGVO bereits erste Stimmen, die nach einer Reform des Ergänzungsgesetzes rufen, Unternehmen sollten jedoch bis auf weiteres von einer umfassenden Gültigkeit ausgehen und das BDSG(neu) als gleichberechtigte Richtschnur neben der DSGVO ansehen.

 

DSM-Online ist in seinen Prüfungen und Ableitungen für Ihre tägliche Arbeit mit dem Datenschutz bereits vollumfänglich auf die EU-DSGVO und das BDSG(neu) ausgerichtet, so dass Sie mit DSM-Online bereits heute bestens auf die künftigen Datenschutz-Anforderungen vorbereitet sind. Und sollte sich in der nächsten Zeit schon wieder etwas an den gerade erst getroffenen Regelungen ändern, erfahren Sie als DSM-Online-Nutzer es als Erster – inklusive einer eindeutigen Handlungsempfehlung!

 

Weitere umfangreiche Tipps im kostenlosen eBook

Weitere Informationen und Tipps zur EU-DSGVO erhalten Sie im kostenlosen eBook (PDF) „EU-DSGVO – Änderungen für Verbraucher und Unternehmen“ des Berufsverbandes der Rechtsjournalisten e.V.

Zum Download >>>