[Abbrechen]
Ein Beitrag von mib Mitglied DatenschutzExperte.de
Ein Überblick: Vom BDSG zur EU-DSGVO – was bleibt, was ändert sich?
Der 25. Mai 2018 markiert eine Schnittstelle im deutschen Datenschutzrecht, denn an diesem Tag löst die EU-Datenschutzgrundverordnung (EU-DSGVO) das Bundesdatenschutzgesetz (BDSG) ab.
Ziel der DSGVO ist es, den Datenschutz in der Europäischen Union zu vereinfachen und zu vereinheitlichen und damit gleiche Standards für alle Mitgliedsstaaten zu schaffen. Die Änderungen sind zum Teil erheblich und haben nicht nur Auswirkungen auf die europäischen Bürger, deren Daten gesammelt und verarbeitet werden, sondern auch auf Unternehmen und öffentliche Stellen, die mit Datenverarbeitung beschäftigt sind.
- Grundprinzipien des Datenschutzrechts bleiben erhalten
- Bedeutung des Datenschutzes nimmt weiter zu
- Bußgelder werden erhöht
Grundprinzipien des Datenschutzrechts gelten nach wie vor
Zu den wichtigsten Grundprinzipien des Datenschutzrechts, wenn es um die Erhebung, Speicherung und Verarbeitung personenbezogener Daten geht, zählen etwa Zweckbindung, Datensparsamkeit, Datensicherheit und Erlaubnisvorbehalt. Diese Prinzipien waren schon im BDSG verankert und auch in der EU-DSGVO bleiben sie erhalten. Abgesehen davon sieht die DSGVO jedoch in einigen Punkten deutliche Änderungen bei den Grundprinzipien vor:
- Datenrichtigkeit
Der Grundsatz der Datenrichtigkeit war bereits Teil des BDSG. Wurde er hier jedoch lediglich dadurch umgesetzt, dass Betroffene von ihren Berichtigungs- und Löschungsansprüchen Gebrauch machen konnten, findet sich in der EU-DSGVO nun die ausdrückliche Pflicht für Unternehmen, Betroffenendaten auf einem aktuellen und damit korrekten Stand zu halten.
- Direkterhebung
Neu ist, dass die EU-DSGVO Unternehmen von der Pflicht der Direkterhebung befreit. Daten müssen nicht länger grundsätzlich beim Betroffenen erhoben werden – sofern die vorgesehenen Informationspflichten nach Art. 14 DSGVO eingehalten werden.
- Treu und Glaube
Das Transparenzgebot, das auch im BDSG enthalten war, wird nun durch den Auffangtatbestand von Treu und Glaube ergänzt. In Fällen, wo sich in der DSGVO keine oder nur sehr allgemeine Festlegungen finden, haben Gerichte und Behörden die Möglichkeit, auf den Grundsatz von Treu und Glaube zurückzugreifen, welcher zahlreiche Fallgruppen umfasst (z. B. widersprüchliches Verhalten, Rechtsmissbrauch u. Ä.).
- Kleines Konzernprivileg
Bei gesellschaftsrechtlich verbundenen Unternehmen wird in der Regel jede Gesellschaft als externe Stelle angesehen. Dadurch bedarf es einer gesonderten Rechtfertigung, wenn zum Beispiel die Personaldatenverarbeitung im Konzern gebündelt werden soll. Ein Konzernprivileg würde eine solche Rechtfertigung überflüssig machen.
In der EU-DSGVO findet sich ein „kleines“ Konzernprivileg, das den konzern-internen Datentransfer vereinfachen kann, sofern ein einheitliches Datenschutzniveau und wirksame Maßnahmen zur IT-Sicherheit konzernweit festgelegt und etabliert sind. Dennoch müssen die Unternehmen aber immer noch jedes Verfahren einzeln auf Rechtmäßigkeit prüfen und mit den Interessen von Betroffenen abwägen. Eine Übermittlung in Drittstaaten (z. B. USA) ist nach wie vor ausgenommen.
- Joint Controllers
Die neue Regelung der Joint Controllers (Art. 26 DSGVO) greift in Fällen, in welchen es zwei verantwortliche Stellen für dieselbe Datenverarbeitung gibt. Waren damit im BDSG keine datenschutzrechtlichen Pflichten verbunden, müssen Unternehmen in solchen Fällen nun eine „kleine Vereinbarung zur Auftragsdatenverarbeitung“ treffen. Welche Regelungen diese Vereinbarung enthalten muss, ist ebenfalls in der EU-DSGVO festgelegt.
Betroffenenrechte
Abgesehen von diesen Änderungen der datenschutzrechtlichen Grundprinzipien, wurden auch die Betroffenenrechte in der EU-DSGVO einer Modernisierung unterzogen.
Betroffene haben damit das Recht auf
- Auskunft
- proaktive Benachrichtigungen
- Vergessenwerden (Löschung von Daten)
- Berichtigung von personenbezogenen Daten
- Datenübertragbarkeit
- Widerspruch
EU-DSGVO stärkt den europäischen Datenschutz
Durch neue Regelungen und Anforderungen an Unternehmen verfolgt die EU-DSGVO das Ziel, den europäischen Datenschutz zu stärken. Damit betont sie auch dessen hohe Bedeutung, sowohl auf technischer als auch auf organisatorischer Ebene.
Was ist neu?
- Einheitliche Rechtsanwendung
Die DSGVO revolutioniert den Datenschutz auf EU-Ebene und strebt eine einheitliche Rechtsanwendung sowie vereinfachte Verfahren in der gesamten Europäischen Union an.
- Marktortprinzip
Gleichzeitig erstreckt sich die Gültigkeit der EU-DSGVO auch auf außereuropäische Unternehmen, wenn diese auf dem europäischen Markt tätig sind.
- One-Stop-Shop-Mechanismus
Um die Zuständigkeit für datenschutzrechtliche Angelegenheiten in Unternehmen mit Niederlassungen in mehreren EU-Ländern bzw. mit grenzüberschreitender Datenverarbeitung zu vereinfachen, soll der DSGVO zufolge nur noch die Aufsichtsbehörde am Hauptsitz des Unternehmens diese Aufgabe übernehmen. Beschwerden von Betroffenen werden aber weiterhin von der Datenschutzaufsichtsbehörde am jeweiligen Wohnsitz entgegengenommen.
- Auftragsdatenverarbeitung
Im Rahmen einer Auftragsdatenverarbeitung ist der Auftragnehmer zu bestimmten technisch-organisatorischen Maßnahmen verpflichtet. Neu ist, dass die Einhaltung dieser Verpflichtung nun auch nachgewiesen werden kann, etwa durch einen Code of Conduct (CoC) nach Art. 40 DSGVO oder durch eine Zertifizierung nach Art. 42 DSGVO.
- Bestellung des Datenschutzbeauftragten
Durch die EU-DSGVO ist die Bestellung eines betrieblichen Datenschutzbeauftragten erstmals europaweite Pflicht. Bindend ist sie dann, wenn die Kerntätigkeit eines Unternehmens in der Verarbeitung von Daten besteht.
- Privacy by Default
Gemäß Art. 25 DSGVO ist der für die Datenverarbeitung Verantwortliche dazu verpflichtet, dass per Voreinstellung nur jene personenbezogenen Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck nötig sind. Dafür sind vom Verantwortlichen entsprechend geeignete technische und organisatorische Maßnahmen zu treffen, was mit neuen Anforderungen an die Produktentwicklung und deren Implementierung einhergeht.
- Datenschutzverletzungen melden
In der DSGVO steht festgeschrieben, dass Datenschutzverletzungen unverzüglich, d. h. innerhalb von 72 Stunden, gemeldet werden müssen. Zusätzlich dazu muss auch die betroffene Person benachrichtigt werden, wenn die Verletzung ein hohes Risiko für ihre persönlichen Freiheiten und Rechte nach sich zieht.
- Datenschutz-Folgeabschätzung
Ist in Anbetracht der Art der Verarbeitung personenbezogener Daten davon auszugehen, dass sie voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen bedeutet, muss der für die Datenverarbeitung Verantwortliche schon vorab eine Einschätzung über mögliche Folgen abgeben.
Erhöhung der Bußgelder
Die Nichteinhaltung der datenschutzrechtlichen Vorschriften birgt für Unternehmen erhebliche wirtschaftliche und juristische Risiken. Einige Vorschriften sehen dabei sogar eine persönliche Haftung der verantwortlichen Personen, z. B. des Geschäftsführers, vor.
Wurden Bußgeldverfahren auf Grundlage des BDSG bisher nach Ermessen durchgeführt und je nach Schwere des Verstoßes mit Summen von bis zu 50.000 € für formale Verstöße und bis zu 300.000 € für materielle Verstöße belegt, steigen die Bußgelder, die auf Grundlage der DSGVO verhängt werden können, drastisch an:
Im Falle eines datenschutzrechtlichen Verstoßes gegen Betroffenenrechte sind damit nun Bußgelder in Höhe von bis zu 4 % des globalen Unternehmensjahresumsatzes oder alternativ bis zu 20 Millionen Euro möglich (angesetzt wird der höhere Betrag).
Wurde ein allgemeiner Compliance-Verstoß begangen, liegen die Strafen zwar niedriger, mit einem Bußgeld in Höhe von bis zu 2 % des globalen Unternehmensjahresumsatzes oder bis zu 10 Millionen Euro jedoch immer noch deutlich über den Grenzen des BDSG. Auch hier wird der jeweils höhere Betrag als Strafe verhängt.