Newsletter Datenschutzrecht 01/2017
29.09.2017 | Datenschutzrecht
Das Thema:
Neues Datenschutzrecht – die Datenschutz-Grundverordnung
Neues Datenschutzrecht gilt ab 25.05.2018
- Hohe Bußgeldrisiken beim Verstoß gegen die Grundsätze des Datenschutzrecht
- Erweiterte Nachweis- / Dokumentationspflichten für Unternehmen
- Einführung eines Datenschutz-Managementsystems
- Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen
- Das Recht auf „Vergessenwerden“.
- Neues Datenschutzrecht gilt ab 25.05.2018
- Hohe Bußgeldrisiken beim Verstoß gegen die Grundsätze des Datenschutzrecht
- Erweiterte Nachweis- / Dokumentationspflichten für Unternehmen
- Einführung eines Datenschutz-Managementsystems
- Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen
- Das Recht auf „Vergessenwerden“.
Am 14. April 2016 verabschiedete das Europäische Parlament die Europäische Datenschutz-Grundverordnung (DSGVO). Sie trat am 25.05.2016 in Kraft, gilt aber erst nach einer zweijährigen Übergangsfrist ab dem 25.05.2018. Ab 2018 gelten daher einige neue gesetzliche Regelungen im Datenschutzrecht. Da neben neuen Pflichten für Unternehmen vor allem Sanktionen, wie Bußgelder von 2% bis 4% des Jahresumsatzes drohen, möchten wir Sie bereits jetzt auf das neue Recht aufmerksam machen und Ihnen einen Überblick über die wesentlichen Veränderungen der DSGVO gegenüber der bisherigen deutschen Rechtslage nach dem Bundesdatenschutzgesetz (BDSG) geben.
I. Datenschutz-Grundverordnung
Die DSGVO löst die EG-Datenschutzrichtlinie 95/46 und das Bundesdatenschutzgesetz ab und ersetzt diese. Sie wirkt unmittelbar und direkt, d. h. Unternehmen müssen sowohl den Text der Grundverordnung als auch das Nachfolgegesetz zum Bundesdatenschutzgesetz, das BDSG (neu) als Rechtsgrundlagen für den Datenschutz beachten und anwenden.
Die DSGVO bringt für Unternehmen erhebliche Risiken und Mehraufwand mit sich. Sie müssen umfassende neue Strukturen und Prozesse (sog. technische und organisatorische Maßnahmen) schaffen, um den Vorgaben der DSGVO zu entsprechen. Den zusätzlichen Anforderungen stehen erhebliche Bußgelder und sonstige Haftungsrisiken gegenüber. Hier sind die Verschärfungen gegenüber dem bisherigen Recht besonders gravierend.
- Ziele und Grundsätze
Die Ziele der DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Rechte auf Schutz personenbezogener Daten und der freie Verkehr personenbezogener Daten. Diese Ziele sollen durch die festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden:
Rechtmäßigkeit der Verarbeitung, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.
Nur bei Beachtung dieser Grundsätze ist die Verarbeitung personenbezogener Daten natürlicher Personen zulässig und zieht keine Geldbuße nach sich.
- Erweiterte Dokumentations- und Nachweispflichten
Die DSGVO sieht für verantwortliche Unternehmen und Auftragsverarbeiter deutlich erweiterte Nachweispflichten vor.
Der für die Verarbeitung Verantwortliche muss nachweisen können, dass er personenbezogene Daten in Übereinstimmung mit der DSGVO verarbeitet. Auftragsverarbeiter müssen dem für die Verarbeitung verantwortlichen Unternehmen alle erforderlichen Informationen zur Verfügung stellen, damit das Unternehmen nachweisen kann, dass es seine mit der DSGVO geregelten Pflichten erfüllt.
Das bedeutet im Umkehrschluss, dass Unternehmen künftig in Streitfällen beweisen können müssen, dass sie die Anforderungen der DSGVO umsetzen. In gerichtlichen Auseinandersetzungen dürfte die Regelung dazu führen, dass Unternehmen die Beweislast für die Umsetzung der Verordnung tragen. Dies betrifft zum einen Auseinandersetzungen über datenschutzrechtliche Fragen, etwa auf Beschwerden von betroffenen Personen hin oder bei der Abwehr von Schadensersatzforderungen. Zum anderen könnte es künftig in Gerichtsverfahren um die Frage gehen, ob eine Partei die von ihr vorgebrachten Beweismittel auch datenschutzkonform erhoben hat. Dies dürfte die bereits jetzt erkennbare Tendenz deutscher Gerichte erhöhen, bei möglichen Datenschutzverstößen Beweisverwertungsverbote anzunehmen.
- Bestellung eines Datenschutzbeauftragten
Die Bestellung eines Datenschutzbeauftragten ist für deutsche Unternehmen dagegen nichts Neues, jedoch haben sich unter der DSGVO die Voraussetzungen der Benennung gegenüber dem BDSG geändert. Für Unternehmen ist nach der DSGVO ein Datenschutzbeauftragter zu benennen, wenn:
- die Kerntätigkeit der Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonders sensibler besonderer Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Problematisch ist insbesondere der unbestimmte Begriff der „Kerntätigkeit“. Der Gesetzgeber erläutert dazu, dass sich im privaten Sektor die Kerntätigkeit eines Unternehmens auf seine Haupttätigkeit und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht.
Sofern es bei der Benennungspflicht nach der DSGVO bliebe, müssten nur wenige deutsche Unternehmen einen Datenschutzbeauftragten benennen. Neben der Bestellung des Datenschutzbeauftragten nach der DSGVO hat der deutsche Gesetzgeber allerdings die Möglichkeit, eigene Regelungen zu treffen, nach denen ein solcher zu benennen ist. Von dieser Möglichkeit hat der deutsche Gesetzgeber Gebrauch gemacht. Dieser orientiert sich allerdings an den bisherigen Voraussetzungen für die Bestellpflicht nach dem BDSG.
- Erweiterte Haftung für Unternehmen und für Auftragsverarbeiter
Mit der erweiterten Dokumentations- und Nachweispflicht steigen auch die Risiken für verantwortliche Unternehmen im Hinblick auf die zivilrechtliche Haftung wegen Datenschutzverstößen. Nunmehr sind materielle und immaterielle Schäden (Schmerzensgeldansprüche) zu erstatten, die auf Verstößen gegen die Verordnung beruhen. Die ausdrückliche Nennung immaterieller Schäden dürfte in der Praxis zu einer erheblichen Veränderung gegenüber der bisherigen Rechtslage führen. Denn in der Vergangenheit waren deutsche Gerichte eher zurückhaltend damit, betroffenen Personen wegen Datenschutzverstößen nennenswerte Schmerzensgeldzahlungen zuzusprechen. Eine weitere Neuerung ist die ausdrückliche Erweiterung der Haftung auch auf Auftragsverarbeiter, auf die eine nicht unerhebliche zivilrechtliche Haftung zukommt .
Vor dem Hintergrund der erweiterten Haftung wird es für verantwortliche Unternehmen und Auftragsverarbeiter umso wichtiger, Datenschutzmaßnahmen umfassend zu dokumentieren. Nur durch eine ausführliche und lückenlose Dokumentation können sich Unternehmen trotz der massiv erweiterten Beweislast effektiv gegen Schadensersatzforderungen und mögliche Anordnungen oder Bußgelder von Datenschutzbehörden verteidigen.
- Transparenz gegenüber Betroffenen
Unternehmen müssen künftig betroffene Personen deutlich umfassender als bislang und in einer nachvollziehbaren Weise darüber informieren, ob und wie sie deren Daten verarbeiten. Der Transparenzgrundsatz zählt zu den wesentlichen Prinzipien der DSGVO. Unternehmen müssen betroffene Personen von der Verarbeitung ihrer personenbezogenen Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ unterrichten. Dabei sieht die DSGVO umfangreiche Unterrichtungsrechte betroffener Personen und Auskunftspflichten Verantwortlicher vor. Das Unternehmen muss den betroffenen Personen, von welchen es personenbezogene Daten erhebt, beispielsweise Folgendes mitteilen:
Kontaktdaten des Verantwortlichen und seines Datenschutzbeauftragten, Zwecke der Datenverarbeitung, gegebenenfalls berechtigte Interessen des Verantwortlichen oder eines Dritten an der Datenverarbeitung, Empfänger oder Kategorien von Empfängern personenbezogener Daten, Übermittlung von Daten in ein Drittland, Speicherdauer, Bestehen von Auskunftsrechten und Rechten auf Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit und Beschwerderechte bei Aufsichtsbehörden.
Verlangt eine betroffene Person darüber Auskunft, ob und welche personenbezogenen Daten ein Unternehmen von ihr verarbeitet, muss ihr das Unternehmen durch den Verantwortlichen unter anderem eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung stellen. Um diese Anforderung überhaupt erfüllen zu können, sollten Unternehmen die erforderlichen Schritte und Anpassungen bestehender IT-Strukturen vornehmen, um solche Kopien zeitnah erstellen und der betroffenen Person zur Verfügung stellen zu können.
- Hohe Bußgelder
Mit der DSGVO müssen Unternehmen aber vor allem mit höheren Bußgeldern bei Verstößen rechnen, als bisher. Bei Verstößen gegen die DSGVO müssen Unternehmen nunmehr mit Bußgeldern zwischen 2% und 4% des Jahresumsatzes des vergangenen Geschäftsjahres rechnen.
Bußgelder mit bis zu 4% des Jahresumsatzes kommen beispielsweise bei Verstößen gegen die Grundsätze für die Verarbeitung personenbezogener Daten, einschließlich der Bedingungen für die Einwilligung, und bei Verstößen gegen die Rechte der betroffenen Personen (Auskunftsrechte, Recht auf Löschung), in Betracht. Verstöße gegen die Datensicherheit oder gegen die Benennung des Datenschutzbeauftragten sollen mit Bußgeldern von bis zu 2% des Jahresumsatzes geahndet werden.
Aufgrund der umsatzbezogenen Berechnung kommen im Ergebnis für Unternehmen deutlich höhere Bußgelder in Betracht. Damit verschärft sich der Bußgeldrahmen gegenüber dem bisherigen Recht drastisch. Bislang sah das BDSG Bußgelder in Höhe von maximal € 300.000,00 vor. Die Aufsichtsbehörden sollen nunmehr sicherstellen, dass die Geldbußen für Verstöße gegen die Verordnung „wirksam, verhältnismäßig und abschreckend“ sind.
Ferner ist zu beachten, dass die DSGVO einen Katalog von Kriterien zur Bußgeldbemessung enthält. Beispielsweise wird eine Zusammenarbeit mit der Aufsichtsbehörde, um mögliche nachteilige Auswirkungen von Verstößen abzumindern, als strafmildernd bewertet. An diesen Vorgaben zur Bußgeldbemessung sollten sich Unternehmen orientieren, um Strukturen und Prozesse zu schaffen, die sicherstellen, dass sie bei Fehlern möglichst geringen Risiken ausgesetzt sind.
Auch an Verstößen gegen die DSGVO beteiligte natürliche Personen müssen mit Geldbußen von bis zu 20 Mio. Euro rechnen.
Zum jetzigen Zeitpunkt ist es indes schwer abzuschätzen, ob die Behörden den im Einzelfall theoretisch möglichen Bußgeldrahmen auch vollumfänglich ausschöpfen werden. Dies scheint jedoch eher weniger wahrscheinlich. Die Sanktionen müssen „wirksam, verhältnismäßig und abschreckend“ sein und in jedem Einzelfall entsprechend der Unternehmensgröße und der Schwere des Verstoßes verhängt werden.
Ferner können Unternehmen durch die präventive Umsetzung angemessener Datenschutz- und Datensicherheitsmaßnahmen das Risiko drohender hoher Bußgelder verringern.
- Zweckänderungen und Vereinbarkeit
Grundsätzlich entscheidet bei der Erhebung von Daten der mit dieser verfolgte Zweck über die mögliche Zulässigkeit der weiteren Verarbeitung (Zweckbindungsgrundsatz). Wenn personenbezogene Daten für einen anderen Zweck verarbeitet werden sollen als den, für den sie erhoben wurden, spricht man von einer Zweckänderung. Mit der DSGVO soll künftig die Verarbeitung personenbezogener Daten für einen anderen Zweck als den, zu dem sie erhoben wurden möglich sein, wenn die betroffene Person in eine solche Zweckänderung eingewilligt hat oder wenn eine Rechtsvorschrift dies erlaubt.
Zukünftig empfiehlt es sich, betroffene Personen im Vorfeld über mögliche Zweckänderungen und in Frage kommende neue Zwecke von Datenverarbeitungen hinzuweisen.
- Koppelungsverbot bei Einwilligungen
Die Einwilligung nach der DSGVO soll durch eine eindeutige Handlung erfolgen, mit der ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist. Um sicherzustellen, dass die Einwilligung ohne Zwang erfolgt, sollte diese keine rechtlichen Angriffspunkte liefern, wenn zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen ein klares Ungleichgewicht besteht. Verantwortliche dürfen die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, nicht mehr davon abhängig machen, dass die betroffene Person in Datenverarbeitungen einwilligt, die für die Erfüllung dieses Vertrags nicht erforderlich sind.
- Datensicherheit – neues Bußgeldrisiko
Eine weitere für die Praxis wesentliche Änderung ist das Bußgeldrisiko bei unzureichender Datensicherheit. Bislang waren Verstöße gegen die Vorgaben zu technischen und organisatorischen Maßnahmen nicht bußgeldbewehrt. Dies ändert sich mit der DSGVO grundlegend, denn sie enthält – wenn auch vage – Vorgaben zu konkret erforderlichen Maßnahmen zur Gewährleistung der Datensicherheit. Bis es von Seiten der Datenschutzbehörden klare Vorgaben hierzu gibt, sind Unternehmen gut beraten, sich insbesondere an den entsprechenden Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder anderen anerkannten Standards wie ISO 27001 zu orientieren.
- Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Unternehmen müssen ihre IT-Systeme grundsätzlich so ausgestalten, dass sie die Datenschutzgrundsätze wirksam umsetzen, insbesondere das Gebot der Datenminimierung. Unternehmen sollen demnach nur diejenigen Daten erheben, wie es zur Erfüllung des verfolgten Zwecks erforderlich ist. Zudem müssen IT-Systeme so „voreingestellt“ sein, dass sie grundsätzlich nur solche personenbezogene Daten verarbeiten, deren Verarbeitung für den jeweils verfolgten Zweck erforderlich sind.
Maßnahmen zur Umsetzung dieser Anforderungen liegen darin, dass Verantwortliche den Umfang personenbezogener Daten minimieren und die Daten so schnell wie möglich pseudonymisieren. Zukünftig ist das Recht auf Datenschutz bereits bei der Entwicklung und Ausgestaltung von IT-Produkten, Diensten oder Anwendungen zu berücksichtigen. Zudem ist bei Beschäftigtendaten an das Mitbestimmungsrecht des Betriebsrates zu denken.
- Datenschutz-Folgenabschätzung
Unternehmen haben zukünftig bei der Einführung neuer technischer Innovationen zu prüfen, ob eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der davon betroffenen Personen zur Folge hat (Datenschutz-Folgenabschätzung). Durch die Datenschutz-Folgenabschätzung sollen insbesondere Eintrittswahrscheinlichkeit und Schwere eines möglichen Risikos bewertet werden. Das Unternehmen soll auch Art, Umfang, Umstände, verfolgte Zwecke, Ursachen möglicher Risiken bewerten. Dabei sollen auch Maßnahmen, Garantien und Verfahren geprüft werden, mit denen bestehende Risiken eingedämmt werden und die sonstigen Vorgaben der Verordnung eingehalten werden können. Ferner ist der Datenschutzbeauftragte bei der Durchführung der Datenschutz-Folgenabschätzung heranzuziehen. Sofern die Datenschutz-Folgenabschätzung schließlich ergibt, dass die geplante Datenverarbeitung tatsächlich ein hohes Risiko zur Folge hätte, muss der Verantwortliche die zuständige Aufsichtsbehörde zu Rate ziehen, sofern er keine Maßnahmen zur Eindämmung des Risikos trifft.
Die Datenschutz-Folgenabschätzung ist ein wichtiges Mittel, um die bereits unter Ziffer 2 kurz erläuterten Dokumentationspflichten von Unternehmen zu erfüllen. Auch aus diesem Grund sollten Unternehmen zeitnah Strukturen und Prozesse schaffen, um die detaillierten Anforderungen zur Meldung von Datenschutzverletzungen spätestens bis zur Geltung der DSGVO, zu erfüllen.
- Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen
Die Verordnung sieht umfassendere Meldepflichten gegenüber der Aufsichtsbehörde sowie Benachrichtigungspflichten gegenüber betroffenen Personen vor, als es nach der bisherigen Regelung der Fall ist. Wesentliche Voraussetzung für eine mögliche Melde- bzw. Benachrichtigungspflicht ist eine Datenschutzverletzung. Eine „Verletzung des Schutzes personenbezogener Daten“ stellt eine „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob zufällig oder unrechtmäßig, oder zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“, dar. Diese Meldepflicht geht deutlich weiter als die bisherige. Grundsätzlich muss das verantwortliche Unternehmen der Aufsichtsbehörde jede Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden melden, nachdem dem Verantwortlichen die Verletzung bekannt wurde. Nur Ausnahmsweise besteht keine Pflicht zur Meldung bei der Aufsichtsbehörde.
- Löschen von Daten und das Recht auf „Vergessenwerden“
Die DSGVO sieht gegenüber dem BDSG umfassendere Löschpflichten vor. Danach muss der Verantwortliche personenbezogene Daten ohne unangemessene Verzögerung löschen, sofern einer der in der DSGVO genannten Gründe zutrifft. Einer der dort aufgeführten Gründe kann auch darin liegen, dass die betroffene Person Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegt. Im Falle eines solchen Widerspruchs muss der Verantwortliche diese Daten löschen, sofern keine vorrangigen berechtigten Gründe für die weitere Verarbeitung vorliegt. Wenn ein Verantwortlicher zu löschende personenbezogene Daten öffentlich gemacht hat, muss er andere Verantwortliche, die diese Daten verarbeiten, darüber informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu oder aller Kopien oder Replikationen von diesen personenbezogenen Daten verlangt hat. Hier ist die Erstellung eines Löschkonzepts ratsam.
II. Fazit – Was kommt auf Unternehmen zu?
Für die Unternehmen sind die umfassenden Informationspflichten und die Pflicht zur Datenschutz-Folgenabschätzung bei besonderen Risiken für die zu erhebenden Daten neu. Zudem wird durch die DSGVO neu eingeführt, dass auch der Auftragsverarbeiter ein „Verzeichnis der Verarbeitungstätigkeiten“ führen muss. Schließlich müssen Unternehmen auch den erweiterten Ansprüchen von Betroffenen gerecht werden. Unternehmen sind daher angehalten, die Zeit bis zur Geltung der Verordnung zu nutzen, um die internen Datenverarbeitungsprozesse auf Anpassungsbedarf zu überprüfen. Bei Neuanschaffungen von IT-Systemen sollten Sie darauf achten, dass diese, soweit zum jetzigen Zeitpunkt möglich, die neuen Datenschutzregelungen bereits berücksichtigen.
An vielen Stellen in der DSGVO stehen die geforderten Maßnahmen in direkter Abhängigkeit von den Risiken, die eine Datenverarbeitung für die persönlichen Rechte und Freiheiten betroffener Personen mit sich bringt.
Es liegt nunmehr an den Unternehmen, Strukturen und Prozesse einzuführen, die Datenschutzverletzungen möglichst vermeiden und sicherzustellen, dass die Beteiligten bei dennoch eingetretenen Verletzungen des Datenschutzes schnell und richtig reagieren können. Die auf Einwilligung beruhenden Datenverarbeitungsvorgänge sollten im Hinblick auf die neuen Anforderungen analysiert und geprüft werden, welche Datenverarbeitungen künftig gegebenenfalls auf die Wahrung berechtigter Interessen gestützt werden.
Im Ergebnis ist festzuhalten, dass sich an den Rechtsgrundlagen nicht viel ändert. Durch die Erweiterung der bereits bekannten Pflichten und der Erhöhung der rechtlichen, betrieblichen und technisch-organisatorischen Anforderungen an den Datenschutz, liegt die wahre Herausforderung für Unternehmen darin, ein geeignetes internes Datenschutzmanagementsystem zu schaffen.
Auch wenn Sie bisher noch keine Maßnahmen ergriffen haben, um den hohen Anforderungen der DSGVO gerecht zu werden, ist es noch nicht zu spät, mit den Umsetzungsmaßnahmen anzufangen.