Datenschutz-Grundverordnung: Die Uhr tickt – wo Unternehmen handeln müssen
Nie zuvor brachte der Datenschutz so viele Herausforderungen mit sich. Besonders die zunehmende Internationalisierung im alltäglichen Geschäftsgebaren macht es erforderlich, sich mit den Datenschutzbestimmungen einzelner Länder intensiv zu beschäftigen. Hinzu kommt der technische Fortschritt, der vor allem beim Umgang mit Daten im Online-Umfeld viele Tücken mit sich bringt.
Die EU Kommission hat deshalb eine Harmonisierung des Datenschutzes beschlossen und mit der Datenschutz-Grundverordnung (EU DSGVO) ein zentrales Rahmenwerk geschaffen. Als Richtlinie bildet sie die Grundlage der Datenschutzreform, um die Datenschutzbestimmungen innerhalb der Mitgliedstaaten neu zu regeln.
In Deutschland mussten sich Unternehmen bislang nach dem Bundesdatenschutzgesetz (BDSG) richten. Künftig werden sie der Datenschutz-Grundverordnung jedoch Vorrang einräumen müssen. Die Verordnung wurde bereits vom EU Parlament verabschiedet, weshalb dringender Handlungsbedarf besteht. Bereits am 25. Mai 2018 wird die EU DSGVO laut Beschluss des EU Parlaments in Kraft treten. Auf Unternehmen kommen damit viele Neuerungen zu, etliche Prozesse müssen überprüft und angepasst werden.
Das Spektrum der Änderungen im Datenschutzrecht, die mit der EU DSGVO einhergehen, ist breit gefächert. Wir haben die wesentlichen Datenschutzthemen der Synopse zusammengefasst. Auf dieser Seite erläutern wir im Detail, welche Neuerungen und Änderungen zu berücksichtigen sind, damit Unternehmen auch in Zukunft ein angemessenes Datenschutzniveau erreichen. Hierbei berücksichtigen wir auch die Öffnungsklauseln. Diese gestatten es den EU-Mitgliedstaaten, die EU DSGVO um eigene nationale Regeln zu erweitern. So gilt z.B. für deutsche Unternehmen weiterhin die Pflicht, bei Erfüllung bestimmter Voraussetzungen einen Datenschutzbeauftragten bestellen zu müssen.
Inhaltsverzeichnis
- Weiterverarbeitung
- Bestellung des Datenschutzbeauftragten
- Vorgaben zur Website-Compliance
- Internationale Datenübermittlung
- Zertifizierungen
- Haftung und Recht auf Schadensersatz
- Haftungserstreckung auf ausländische Unternehmen
- Bußgelder und Sanktionen
- Transparenz- und Informationspflichten
- Werbliche Ansprache und Direktmarketing
- Recht auf Löschung („Vergessenwerden“)
- Recht auf Datenübertragbarkeit
- Verantwortung des für die Verarbeitung Verantwortlichen
- Datenschutzfreundliche Voreinstellungen
- Auftragsverarbeitung und gemeinsame Verantwortliche
- Benachrichtigungspflichten bei Datenschutzverletzungen
- Sicherheit der Verarbeitung
- Datenschutz-Folgenabschätzung
- Rechtmäßigkeit der Verarbeitung und Einwilligung von Kindern
1. Weiterverarbeitung
Für Erhebung und Verarbeitung personenbezogener Daten gilt der Grundsatz der Zweckbindung. Daten dürfen ausschließlich für einen Zweck erhoben werden, der im Vorfeld festgelegt wurde. Anschließend erfolgt die sogenannte Erstverarbeitung.
Oft möchten Unternehmen die gewonnenen Daten für weitere Zwecke nutzen. Doch aufgrund der Zweckbindung ist eine Weiterverarbeitung nicht gestattet. Es gibt jedoch eine Ausnahme, nämlich die Erweiterung des Zwecks. Zulässig ist sie jedoch nur, wenn sie mit dem ursprünglichen Zweck vereinbar ist. Vor jeder Weiterverarbeitung ist daher zu prüfen, ob eine Zweckerweiterung möglich und zulässig ist.
2. Bestellung des Datenschutzbeauftragten
Nach dem Inkrafttreten der Datenschutz-Grundverordnung wird erstmalig eine europaweite Pflicht für Unternehmen bestehen, einen Datenschutzbeauftragten zu bestellen. Allerdings werden neue Voraussetzungen gelten, die zur Verpflichtung führen:
- Sie besteht, wenn die Verarbeitung personenbezogener Daten als Kerntätigkeit einzustufen ist – jedoch nur, wenn Umfang oder Zweck eine umfangreiche, regelmäßige und systemische Überwachung erfordern.
Ebenso besteht die Verpflichtung zur Bestellung, sofern besondere Kategorien von Daten in der Verarbeitung betroffen sind und auch hier eine Kerntätigkeit vorliegt. - Jedes Unternehmen unterliegt der Verpflichtung, eigenständig zu prüfen, zu dokumentieren und nachzuweisen, ob die Erfordernis besteht, einen Datenschutzbeauftragten zu bestellen.
Bestellung des Datenschutzbeauftragten in Deutschland
Bei Prüfung der Erforderlichkeit zur Bestellung eines Datenschutzbeauftragten sollten Unternehmen den Einfluss der Öffnungsklauseln berücksichtigen. Die EU DSGVO räumt den EU-Mitgliedstaaten die Möglichkeit ein, ergänzende nationale Regelungen in Bezug auf die Bestellung eines Datenschutzbeauftragten zu treffen.
Deutschland hat sich diesbezüglich bereits positioniert und möchte das bestehende System zukünftig in seinen Regelungen aufrecht halten. Somit ist es sehr wahrscheinlich, dass die bestehenden Regelungen zur Bestellung aus dem § 4 f Abs. 1 BDSG auch in Zukunft für deutsche Unternehmen gelten werden.
Sollte sich herausstellen, dass keine Verpflichtung besteht, ist zu überlegen, ob die Bestellung des Datenschutzbeauftragten freiwillig erfolgt. Grund für diese Empfehlung sind die enormen Änderungen im Datenschutzrecht, die mit der EU DSGVO einhergehen. Immerhin wurde das Spektrum an Aufgaben – insbesondere in den Bereichen Prüfung, Überwachung und Informationspflichten – stark erweitert. Viele dieser Aufgaben fallen selbst dann an, wenn keine Datenschutzbeauftragter zu bestellen ist. Gerade dann stellt sich die Frage, wer sie übernehmen soll.
In der Verordnung wurde außerdem festgelegt, welche Rechte und Pflichten mit dem Amt des Datenschutzbeauftragten einhergehen. In diesem Zusammenhang ist eine grundlegende Erweiterung festzustellen. Eine künftige Zusatzaufgabe wird es beispielsweise sein, die Einhaltung der EU DSGVO innerhalb der Organisation zu überwachen. Dasselbe gilt für eine Überwachung von Unternehmensstrategie sowie der Zuweisung von Zuständigkeiten. Mit den ergänzenden Überwachungspflichten werden die Verantwortung und somit auch die Haftung des Datenschutzbeauftragten signifikant erweitert. Mitarbeiter, die bereits das Amt des Datenschutzbeauftragten innehaben, müssen für sich klären, ob sie diese Verantwortung tragen möchten.
Wir übernehmen für Sie, auf Wunsch, die Stellung eines Datenschutzbeauftragten.
3. Vorgaben zur Website-Compliance
Schon heute besteht die Verpflichtung, Besucher der eigenen Website über die Erhebung und Verarbeitung personenbezogener Daten zu informieren. Die EU DSGVO weitet die Pflichten des Seitenbetreibers aus.
Abkehr vom Telemediengesetz
Die rechtliche Grundlage, die Seitenbetreiber bislang berücksichtigen müssen, ist das Telemediengesetz (TMG). Die EU DSGVO wird das TMG jedoch ablösen und damit einige Vereinfachungen mit sich bringen und mehr Rechtssicherheit schaffen. Die genauen Verpflichtungen sind aus der gesamten EU DSGVO abzuleiten, wie z.B. die Bereitstellung von Informationen, die mit der Informationspflicht einhergehen. Ebenso schreibt die Verordnung eine hohe Transparenz sowie das Verwenden einfacher Sprache vor.
Datenschutzerklärung
Die Notwendigkeit datenschutzkonformer Erklärungen beleibt bestehen, um Seitenbesucher angemessen belehren zu können. Als typische Bereiche, die hiervon betroffen sind, gelten Social Media, Web-Analyse und der Einsatz von Werbemitteln.
Grund hierfür ist unter anderem die Tatsache, dass die Rechtsprechung der vergangenen Jahre viele spezifische Urteile mit sich gebracht hat. Für deren Ursachen kann die EU DSGVO nicht immer eine Grundlage schaffen. Problem ist vor allem der technische Fortschritt, dem der Gesetzgeber nacheilt.
Im Allgemeinen gilt, dass die Datenschutzerklärungen vereinfacht werden und in Zukunft eher kürzer als länger ausfallen.
Recht auf Vergessenwerden
Das Recht auf Vergessenwerden ist ein wesentlicher Bestandteil der EU Datenschutz-Grundverordnung. Damit verbundenen Vorschriften, die für eine Website von Relevanz sind, ist Folge zu leisten. Hierzu zählt auch die Verpflichtung, den Betroffenen zu unterstützen. Sollten beispielsweise Daten an Dritte weitergeleitet worden sein und der Betroffene eine Löschung fordern, ist die Löschanweisung weiterzuleiten.
4. Internationale Datenübermittlung
Die Übermittlung personenbezogener Daten an Unternehmen in Drittländern oder internationale Organisationen ist nur zulässig, sofern die Gesetzgebung des jeweiligen Landes ein angemessenes Datenschutzniveau gewährleistet. Mit der EU DSGVO ändert sich an diesem grundlegenden Prinzip nichts. Wie bisher wird von der EU Kommission festgelegt, welche Drittländer die Voraussetzungen erfüllen.
Sollte das Datenschutzniveau nicht angemessen sein, setzt die internationale Datenübermittlung absichernde Maßnahmen heraus. Auch hier ist es gestattet, sich weiterhin an den etablierten Instrumenten zu bedienen, indem beispielsweise die Übermittlung auf der Grundlage von Binding Corporate Rules oder Standardvertragsklauseln erfolgt.
Bislang brachten diese Instrumente den großen Nachteil mit sich, dass sie als Notlösungen entwickelt wurden und Organisationen sich ganz auf die Kompetenz ihrer Berater verlassen mussten. Dennoch bestand immer noch das Restrisiko, dass Gerichte ggf. eine andere Meinung vertreten und die getroffenen Maßnahmen als unzureichend bewerten. Die neue Verordnung vereinfacht den Prozess, indem sie konkrete Instrumente aufführt, die als Grundlage für eine sichere Datenübermittlung heranzuziehen sind.
5. Zertifizierungen
Zur Gewährleistung, dass Unternehmen ein angemessenes Datenschutzniveau geschaffen haben, werden Zertifizierungen stark an Bedeutung gewinnen. Dieses Vorhaben erinnert an den Bereich des Qualitätsmanagements, wo heute ISO-Zertifizierungen üblich sind. Sie belegen sowohl gegenüber Kunden als auch Geschäftspartnern, dass bestimmte Qualitätsstandards eingehalten werden.
So soll es auch im Datenschutz geschehen. Im Fokus der Zertifizierung stehen die eigentlichen Prozesse rund um die Verarbeitung, einschließlich dem Schutz der Daten. Sofern ein Unternehmen die Zertifizierung erfolgreich durchläuft, kann es sich mit einem Datenschutzsiegel schmücken. Das Siegel belegt, dass alle datenschutzrelevanten Prozesse den Anforderungen der EU DSGVO sowie – je nach Zertifizierung – ergänzenden nationalen Anforderungen gerecht werden.
Welche Zertifizierungen es aufgrund der Richtlinie geben wird und wie diese im Detail aussehen, bleibt vorerst abzuwarten. Das behördliche Datenschutzsiegel für IT-Produkte gemäß dem Landesdatenschutzgesetz Schleswig-Holsteins könnte ein gutes Vorbild abgeben. Doch unabhängig davon steht bereits fest, dass es für Unternehmen wichtig ist, eine umfassende und lückenlose Dokumentation (Risikoprüfungen, Prozessbeschreibungen etc.) zu schaffen, um damit die Grundlage für spätere Datenschutzzertifizierungen zu schaffen.
6. Haftung und Recht auf Schadensersatz
Fehler, die sich während der Datenverarbeitung ereignen, können den Betroffenen großen Schaden zufügen. Künftig wird es die EU DSGVO den Betroffenen erleichtern, Haftungsansprüche gegenüber Unternehmen geltend zu machen.
Prinzipiell hatten Betroffene dieses Recht schon immer. Bislang konnten Haftungsansprüche geltend und erfolgreich durchgesetzt werden, solange Fehler in der Datenverarbeitung auftraten oder die eigentliche Verarbeitung unzulässig war und dem Betroffenen außerdem ein materieller Schaden entstand.
In Zukunft wird das Spektrum erweitert, d.h. Betroffene können Haftungsansprüche ebenso geltend machen, wenn sie moralische Schäden erlitten haben. Zugleich sind nicht nur Fehler in der Verarbeitung als kritisch zu erachten. Außerdem wird hinterfragt, ob die Datenverarbeitung so erfolgt ist, wie es für den Betroffenen zu erwarten war. Für Unternehmen bedeutet dies, dass sie aufgrund der neuen Vorschriften künftig einem deutlich höheren Haftungsrisiko ausgesetzt sind und ihre Prozesse deshalb umso kritischer betrachten müssen.
7. Haftungserstreckung auf ausländische Unternehmen
Viele Unternehmen fühlen sich beim Thema Datenschutz gegenüber Mitbewerbern benachteiligt, die keinen Sitz / keine Filiale innerhalb der EU unterhalten. Solche Anbieter hatten bislang leichtes Spiel, was sich mit der EU DSGVO jedoch ändert. Die Haftungserstreckung für ausländische Unternehmen wurde erweitert, d.h. auch sie müssen damit rechnen, dass bei einem unzureichenden Datenschutzniveau Haftungsansprüche gegen sie geltend gemacht werden. Voraussetzung ist, dass personenbezogene Daten erhoben oder verarbeitet werden und die Kommunikation mit Nutzern in einer Sprache erfolgt, die Amtssprache in einem EU-Mitgliedstaat ist.
Diese Information ist besonders für diejenigen wichtig, die für solche Unternehmen in Drittländern tätig sind und dort den Datenschutz verantworten. Dann ist es entscheidend, die Datenschutzanforderungen der EU DSGVO vollständig zu berücksichtigen, um nicht in die Haftungsfalle zu tappen.
8. Bußgelder und Sanktionen
Bislang werden Verstöße gegen den Datenschutz in Abhängigkeit von ihrer Art mit Bußgeldern von bis zu 50.000 oder gar 300.000 Euro geahndet.Das Kernproblem hierbei ist, dass einige Organisationen dieses Risiko billigend in Kauf nehmen und teilweise bewusst gegen das Datenschutzrecht verstoßen.
Die vom EU Parlament beschlossene Verordnung sieht deshalb drastischere Sanktionen vor. Sie sollen einen abschreckenden Charakter haben, damit Organisationen den Datenschutz in jedem Fall ernst nehmen. Deshalb wurden die Bußgelder angehoben, sodass sie je nach Art des Datenschutzverstoßes mit bis zu 10 Mio. bzw. sogar 20 Mio. Euro geahndet werden können. Handelt es sich beim Unternehmen um eine Organisation, ist sogar eine Koppelung an den Jahresumsatz möglich. In solch einem Fall kann sich ein Bußgeld je nach Art des Verstoßes auf bis zu 2 Prozent oder gar 4 Prozent des jährlichen Umsatzes im vorangegangenen Geschäftsjahr belaufen. Es ist zu betonen, dass nicht der Gewinn, sondern tatsächlich der Jahresumsatz die Bemessungsgrundlage des Bußgeldes bildet.
Zu den Bußgeldern, die an den Umsatz gekoppelt sind, ist eine wichtige Anmerkung zu machen. Die EU Definition des Begriffs „Unternehmen“ gestattet es der zuständigen Aufsichtsbehörde, die gesamte wirtschaftliche Einheit zu betrachten. Sollte ein Datenschutzverstoß von einem Tochterunternehmen begangen werden, ist es dennoch gestattet, den gesamten weltweiten Konzernumsatz heranzuziehen.
Des Weiteren ist zu beachten, dass die Angelegenheit mit Zahlung des Bußgeldes nicht automatisch als erledigt zu betrachten ist. Die zuständige Aufsichtsbehörde kann die Anordnung erteilen, den Datenschutzverstoß zu beenden. Für das Unternehmen geht damit die Pflicht einher, die betroffenen Prozesse in der Datenverarbeitung anzupassen. Sollte dies nicht geschehen, kann die Verarbeitung personenbezogener Daten vollständig untersagt werden.
9. Transparenz- und Informationspflichten
Die Erhebung und Verarbeitung personenbezogener Daten ist an eine Informationspflicht gekoppelt. Sie soll gegenüber dem Betroffenen für Transparenz sorgen. Dem Betroffen ist deutlich zu vermitteln, welche Daten bei welcher Gelegenheit erhoben und verarbeitet werden.
Informationspflichten bei Direkterhebung
Mit der EU DSGVO gehen Neuerungen einher, die über die Informationspflichten des BDSG hinausreichen. Folgende Änderungen sind zu berücksichtigen:
Es genügt nicht mehr, nur den Namen der verantwortlichen Stelle preiszugeben. Ergänzend sind Kontaktdaten der Person anzugeben, die für die Verarbeitung verantwortlich ist. Sollte es einen Stellvertreter geben, sind dessen Kontaktdaten – ebenso wie die des Datenschutzbeauftragten – anzugeben.
Das berechtigte Interesse an der Erhebung und die Rechtsgrundlagen sowie Angaben zu Verarbeitungszwecken, die zur Erhebung der Daten berechtigen, sind zukünftig anzugeben.
Im Falle der Übermittlung von personenbezogener Daten, muss den Betroffenen der eindeutige Empfänger mitgeteilt werden. Sofern eine klare Beschreibung des Empfängers nicht möglich ist, sind Informationen über die Kategorie des Empfängers auszuweisen.
Sollten die Daten an Organisationen in Drittländern oder internationale Organisationen übermittelt werden, ist dies ebenfalls mitzuteilen. Wichtig hierbei: Selbst wenn die Daten nur bei einem solchen Drittanbieter gespeichert werden, ist dies anzugeben.
Das Unternehmen unterliegt der Verpflichtung, dem Betroffenen mitzuteilen, welche besonderen Bedingungen nach Art. 44 ff. die Grundlage der Übermittlung bilden. Ebenso muss aus der Mitteilung hervorzugehen, welche Maßnahmen ein angemessenes Datenschutzniveau beim Empfänger gewährleisten. Der Betroffene muss außerdem die Möglichkeit haben, Einsicht in die getroffenen Maßnahmen zu nehmen.
Damit ein ausreichendes Maß an Transparenz gewährleistet ist, sind den Betroffenen folgende Punkte ebenfalls mitzuteilen:
- Dauer der Speicherung. Sollte dies nicht möglich sein, sind die Kriterien zu nennen, die über die Dauer entscheiden.
- Der Betroffene ist über seine Rechte zu informieren, nämlich Auskunfts-, Berechtigungs-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Übertragbarkeit der Daten.
- Für den Betroffenen muss ersichtlich sein, an welche Aufsichtsbehörde er sich für eine Beschwerde wenden kann. Ergänzend ist anzugeben, welche vertraglichen Verpflichtungen bestehen, die Daten bereitzustellen. Außerdem wie die Folgen lauten, wenn die Bereitstellung nicht erfolgt.
- Werden Entscheidungen automatisiert getroffen (einschließlich Profiling), gilt es dem Betroffenen aussagekräftige Daten dahingehend zur Verfügung zu stellen, welche Logik verwendet wird, was deren Tragweite ist und welche angestrebten Auswirkungen der Verarbeitung bestehen.
Informationspflichten bei Dritterhebung
Sollte die Erhebung der Daten durch Dritte erfolgen, bestehen weitere Informationspflichten:
- Es sind die einzelnen Kategorien der personenbezogenen Daten zu nennen. Diese Pflicht besteht selbst dann, wenn die betroffene Person von einer Übermittlung fest ausgehen konnte.
- Das berechtigte Interesse, das eine Verarbeitung der Daten begründet, ist darzulegen.
- Es sind die Quellen anzugeben, aus denen die personenbezogenen Daten stammen. Falls dies nicht im Detail möglich ist, weil beispielsweise mehrere Quellen existieren, empfiehlt sich eine allgemeine Unterrichtung.
Einschränkung der Informationspflicht
Das BDSG bietet einen größeren Spielraum, um von den Informationspflichten abzusehen. Der bisherige Spielraum wird durch die EU DSGVO erheblich eingeschränkt. Es gibt nur noch folgende drei Ausnahmefälle:
- Es ist unmöglich, die jeweilige Information zur Verfügung zu stellen oder der damit verbundene Aufwand ist unverhältnismäßig groß.
- Die EU oder Mitgliedstaaten haben Rechtsvorschriften geschaffen, die Erlangung oder Weitergabe der Daten unmissverständlich regeln.
- Es besteht die Verpflichtung zur Geheimhaltung, die im Recht der EU oder Mitgliedstaaten begründet ist.
Bereitstellung der Information: Form und zeitliche Spielräume
Die EU DSGVO besagt, dass die Bereitstellung der Informationen schriftlich zu erfolgen hat. Sie kann auf elektronischem Wege erfolgen, z.B. im öffentlichen Bereich einer Website.
Die Informationspflicht ist außerdem an Zeitpunkte gekoppelt. Findet eine direkte Erhebung statt, besteht die Informationspflicht unmittelbar, d.h. bereits zum selben Zeitpunkt. Liegt hingegen eine Dritterhebung vor, gilt eine Frist von maximal einem Monat. Sollten die Daten zur Kommunikation mit dem Betroffenen genutzt werden, muss der Informationspflicht spätestens nachgekommen werden, sobald die erste Kontaktaufnahme erfolgt.
10. Werbliche Ansprache und Direktmarketing
Entscheidend beim Werben ist die vorherige Interessenabwägung. Unternehmen müssen im Vorfeld bewerten, wie es um die eigenen als auch die Interessen des Betroffenen steht und ob ihm daher eine Werbemaßnahme zugemutet werden kann. Zugleich geht mit der EU DSGVO eine Dokumentationspflicht einher – und zwar für jede einzelne Werbemaßnahme einschließlich der Interessenabwägung.
Für die einzelnen Werbekanäle gelten individuelle Auflagen:
- Postalische Werbung: Die Einwilligung des Betroffenen ist erforderlich. Eine Ausnahme liegt vor, wenn die Werbung auf Basis von Listendaten (z.B. Name und Anschrift) erfolgt. Der Betroffene muss erkennen können, wer der Verantwortliche für die Werbung ist. Sollten die personenbezogenen Daten von einer dritten Quelle stammen, ist diese zu nennen.
- E-Mail: Eine Einwilligung muss grundsätzlich vorliegen. Zur eigenen Absicherung empfiehlt sich weiterhin das Double-Opt-in Verfahren.
- Telefon: Die EU sieht einen hohen Schutzbedarf des Angerufenen, weshalb eine Einwilligung ebenfalls erforderlich ist – zumindest bei der Ansprache von Verbrauchern. Im B2B Umfeld entscheidet die Interessenabwägung.
Außerdem wird mit der EU Datenschutz-Grundverordnung ein umfassendes Widerspruchsrecht eingeführt. Art. 21 sichert dem Betroffenen zu, jederzeit widersprechen zu können – und zwar unabhängig von der Form der Werbung. Sollte er beispielsweise E-Mail Werbung erhalten, kann er dennoch telefonisch widersprechen. Ein Widerspruch hat ein Verarbeitungsverbot der personenbezogenen Daten zur Folge.
11. Recht auf Löschung („Vergessenwerden“)
Mit der EU DSGVO stärkt die EU Kommission die Rechte des Betroffenen, eine Löschung seiner Daten durchzusetzen – insbesondere solcher, die im Internet veröffentlicht wurden. Dies macht es erforderlich, die eigenen Prozesse so auszurichten, dass die Möglichkeit besteht, einer Löschungsaufforderung nachzugehen und damit die Daten zu löschen. Sollten hierbei andere Unternehmen involviert sein, besteht außerdem die Verpflichtung, diese ebenfalls über die Löschungsaufforderung zu informieren.
Gleichzeitig macht sich der von der Kommission verstärkte Schutz von Kindern und Jugendlichen bemerkbar. Sollte ein Betroffener das Lebensalter von 16 Jahren noch nicht vollendet haben, ist Vorsicht angebracht. Entscheidend ist die Fähigkeit, solche Datensätze sicher zu erkennen, um im Ernstfall – wenn spezielle Regelungen wegen des Alters greifen – umgehend handeln zu können.
Die bereits im BDSG verankerte Verpflichtung, Daten mit Personenbezug zu löschen, sobald keine Verwendung mehr besteht, gilt weiterhin. Eine weiterführende Bearbeitung ist nur gestattet, wenn eine Rechtsgrundlage besteht, die den jeweiligen Prozess rechtfertigt.
12. Recht auf Datenübertragbarkeit
Der Betroffene wird künftig das Recht haben, seinen „Datensatz“, der alle erfassten personenbezogenen Daten enthält, mitzunehmen. Die Folge ist eine Übergabeverpflichtung, d.h. Organisationen müssen bei entsprechender Aufforderung der Herausgabe oder Weiterleitung der Daten nachkommen.
Dreh- und Angelpunkt dieses Themas sind IT-Prozesse. Ein konkreter Standard für ein Datenformat wurde noch nicht definiert und vielleicht wird es ihn auch nie geben. Für Organisationen ist es entscheidend, die eigentlichen Daten abrufen, in ein Datenformat exportieren und dem Empfänger zustellen zu können.
13. Verantwortung des für die Verarbeitung Verantwortlichen
Die Verarbeitung der Daten hat in Übereinstimmung mit der EU DSGVO zu erfolgen. In diesem Zusammenhang muss der für die Verarbeitung Verantwortliche zwei wesentliche Aspekte berücksichtigen.
Da wäre zunächst die Ermittlung von Risiken, die mit der Verarbeitung einhergehen und zu Verstößen gegen die EU DSGVO führen können. Der Verantwortliche muss die Risiken bewerten, um daraufhin abzuwägen, ob die einzelnen Prozesse vertretbar und somit anwendbar sind. Konkret ist festzulegen, wie hoch die Eintrittswahrscheinlichkeit bemessen ist und welche Schwere mit dem einzelnen Risiko einhergeht.
Beim zweiten Aspekt handelt es sich um die zugehörige Dokumentation. Die gesamte Risikoanalyse ist schriftlich festzuhalten.
14. Datenschutzfreundliche Voreinstellungen
Organisationen werden durch die neue Verordnung dazu verpflichtet, ihre Prozesse so zu gestalten, dass sie als datenschutzfreundlich gelten. Gemeint ist, dass ausschließlich Daten erhoben und verarbeitet werden, die für den jeweiligen Zweck tatsächlich erforderlich sind.
Für Unternehmen ist es wichtig zu wissen, dass sich die von der Kommission geschaffenen Vorgabe keineswegs nur auf die eigentliche Erhebung bezieht. Sie gilt außerdem für alle folgenden Prozesse der Verarbeitung. Darüber hinaus ist die Zugänglichkeit der Daten zu berücksichtigen. Zugang dürfen ausschließlich Personen haben, die ein berechtigtes Interesse haben. Ebenso sehen die datenschutzfreundlichen Voreinstellungen eine angemessen definierte Frist für die Dauer der Speicherung vor.
15. Auftragsverarbeitung und gemeinsame Verantwortliche
Mit der EU DSGVO kommt die Auftragsverarbeitung, die der deutschen Auftragsdatenverarbeitung sehr ähnlich ist. Dennoch bringt sie einige Neuerungen mit sich, die Unternehmen unbedingt berücksichtigen müssen.
Unter anderem bleibt es dabei, dass ein Vertrag die Grundlage der Auftragsverarbeitung bildet. Allerdings ist es nicht mehr erforderlich, ihn ausschließlich auf schriftliche Art festzuhalten. Die neue Verordnung gestattet zudem den Abschluss elektronischer Verträge. Zugleich gehen mit ihr strenge Dokumentationspflichten einher, insbesondere für den Auftragsverarbeiter. Er ist dazu verpflichtet, ein Verzeichnis seiner Verarbeitungstätigkeiten zu führen. Ebenso unterliegt er der Verpflichtung, Datenpannen zu melden.
Eine neue Variante der Auftragsverarbeitung bildet die gleichberechtigte Zusammenarbeit zwischen zwei Stellen (die verschiedenen Organisationen angehören) der sogenannte „Joint Control“. Im Bundesdatenschutzgesetz gab es solch eine Rechtsfigur bislang nicht, sie wird mit Art. 26 EU DSGVO eingeführt.
Aufgrund der Gleichberechtigung beider Stellen kann Joint Control ein geeignetes Instrument zur Rechtfertigung des Datenaustauschs in Konzernen sein. Voraussetzung dafür ist eine Vereinbarung, in der gemeinsame Zwecke und Mittel festgelegt sind. Auf dieser Basis sind die Stellen dazu berechtigt, die betroffenen Daten untereinander auszutauschen und zu verarbeiten. Im Dokument muss außerdem festgehalten sein, wie die Aufgaben beider Stellen verteilt sind, wie die Rechte der Betroffenen gewahrt bleiben, wie die Informationspflichten erfüllt werden, wie der Kontakt für Betroffene lautet sowie welche Funktionen und Beziehungen zum Betroffenen bestehen. Die wesentlichen Inhalte der Vereinbarung sind auch dem Betroffenen zugänglich zu machen.
Eine weitere Neuerung im Feld der Auftragsverarbeitung, die mit der EU DSGVO einhergeht, ist die verschärfte Haftung. Sollten Betroffene aufgrund eines Datenschutzverstoßes einen Schaden erlitten haben, können diese ihre Ansprüche leichter geltend machen. Im Gegensatz zum Bundesdatenschutzgesetz haftet der für die Verarbeitung Verantwortliche nicht mehr alleine – nach der EU DSGVO können künftig sowohl er als auch der Auftragsverarbeiter haftbar gemacht werden. Ein Ausscheiden des für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter aus der Haftung ist möglich, sofern die jeweilige Stelle nachweisen kann, dass die Verantwortung nicht bei ihr liegt.
16. Benachrichtigungspflichten bei Datenschutzverletzungen
Mit der Erfassung und Verarbeitung personenbezogener Daten geht das Risiko der Datenschutzverletzung einher, d.h. bei Fehlern können die Rechte des Betroffenen verletzt werden. Als mögliche Ursachen gelten z.B. Datenpannen oder Angriffe durch Hacker.
Mit der EU DSGVO schreibt die Kommission eine Benachrichtigungspflicht bei Datenschutzverletzungen vor. Sowohl der Betroffene selbst als auch die zuständige Aufsichtsbehörde selbst sind zu informieren. Den Betroffenen gilt es unmittelbar in Kenntnis zu setzen, die Aufsichtsbehörde innerhalb von 72 Stunden.
Dem Betroffenen ist mitzuteilen, welche Art von Verletzung vorliegt und an wen er sich wenden kann, um weitere Informationen zu erhalten. Hierfür sind die Kontaktdaten des Datenschutzbeauftragten sowie – falls es für interne Abläufe gewünscht wird – ggf. einer weiteren Person anzugeben. Ebenso muss aus der Mitteilung hervorgehen, welche Folgen die Datenschutzverletzung nach sich ziehen kann und welche Maßnahmen geplant sind, um den Schaden zu beheben oder zumindest einzugrenzen. Die gesamte Mitteilung ist in einfacher, d.h. verständlicher Sprache zu formulieren.
Die Herausforderung für Unternehmen besteht darin, gleich mehrere Prozesse zu installieren und miteinander zu verknüpfen. Dies ist eine Grundvoraussetzungen, um Datenschutzverletzungen zu erkennen und anschließend die richtigen Maßnahmen zu ergreifen.
17. Sicherheit der Verarbeitung
Das EU Parlament misst der Datensicherheit – insbesondere im Hinblick auf IT-Systeme – eine große Bedeutung zu. Unternehmen sind nach der Datenschutz-Grundverordnung dazu verpflichtet, sowohl technische als auch organisatorische Maßnahmen zu ergreifen, die sich nach dem Zweck der Verarbeitung als auch dem jeweiligen Stand der Technik richten und einen angemessenen Schutz der Daten gewährleisten.
Eine große Neuerung besteht darin, dass es bereits bei Planung und Umsetzung von Datenverarbeitungsverfahren erforderlich ist, eine Risikoprüfung vorzunehmen. Es sind die konkreten Risiken zu ermitteln und in ihrer Schwere zu bewerten. Die bisherige Vorabkontrolle nach BDSG wird durch die Datenschutz-Folgenabschätzung abgelöst. Auf Basis der Abschätzung ist festzulegen, welche technischen und organisatorischen Maßnahmen sich zum Schutz der Daten Systeme eignen. Aus der EU DSGVO gehen konkrete Maßnahmen hervor. Als geeignete Schutzmaßnahmen werden explizit das Arbeiten mit Pseudonymisierung oder Verschlüsselung aufgeführt.
Das BDSG schreibt Unternehmen vor, Schutzmaßnahmen anhand von Risiken abzuleiten, weshalb es diverse Kontrollmaßnahmen (z.B. Zutrittskontrollen) vorschreibt. In der EU Datenschutz-Grundverordnung werden hingegen Sicherheitsziele definiert: Belastbarkeit der Systeme und Dienste, Integrität, Verfügbarkeit sowie Vertraulichkeit.
Sofern technische Systeme eingesetzt werden, um die Sicherheit der Verarbeitung zu gewährleisten, so sind diese regelmäßig zu prüfen. Dies soll anhand von Penetrationstests geschehen, in deren Rahmen ermittelt wird, ob sich die ergriffenen Schutzmaßnahmen außer Kraft setzen oder umgehen lassen.
Zur Gewährleistung eines angemessenen Schutzniveaus sind die Grundsätze „Data Protection by Design“ und „Data Protection by Default“ zu berücksichtigen. Erster besagt, dass technische Maßnahmen (z.B. durch Pseudonymisierung) zu nutzen sind, um eine Datenvermeidung anzustreben. Data Protection by Default strebt wiederum Voreinstellungen bei den IT-Systemen an, die zur Verarbeitung nur solche Daten zulassen, die für den jeweiligen Zweck benötigt werden.
18. Datenschutz-Folgenabschätzung
Das BDSG kennt die Vorabkontrolle, in deren Rahmen überprüft wird, ob die Prozesse einer automatisierten Verarbeitung personenbezogener Daten, den datenschutzrechtlichen Anforderungen entsprechen. Die Datenschutz-Folgenabschätzung kann als weiterentwickelter Nachfolger betrachtet werden.
Die Datenschutz-Folgenabschätzung ist vom für die Datenverarbeitung Verantwortlichen vorzunehmen. Die Abschätzung gilt als verpflichtend, sobald abzusehen ist, dass Rechte und Freiheiten des Betroffenen durch die Verarbeitung einem Risiko ausgesetzt sind. Dies trifft ganz besonders dann zu, wenn neue Technologien angewandt werden.
Ein Risiko liegt vor, wenn mindestens eines der folgenden vier Kriterien erfüllt ist.
- Die Daten gelten als besonders schützenswert (z.B. biometrische Daten oder Daten von Minderjährigen).
- Es findet eine intensive Datenverarbeitung statt (z.B. in Form einer weit reichenden Datenverknüpfung).
- Die Verarbeitung unzulässig sein könnte
- Die Verarbeitung tiefgreifende Auswirkungen für den Betroffenen hat
Des Weiteren ist eine Datenschutz-Folgenabschätzung zwingend vorzunehmen, wenn die Verarbeitung mit einer umfassenden Bewertung persönlicher Aspekte in Verbindung steht und sie eine Entscheidung mit Rechtswirkung zur Folge haben kann. Dasselbe gilt für die Verarbeitung von Daten, die besonderen Kategorien personenbezogener Daten zuzuordnen sind oder im Zusammenhang mit Straftaten oder Verurteilungen stehen. Ebenso ist die Folgenabschätzung unverzichtbar, wenn eine systematische Überwachung öffentlicher Bereiche geplant ist.
Die Datenschutz-Folgenabschätzung ist grundsätzlich an eine umfassende Dokumentation gekoppelt. Es sind die Vorgänge der Verarbeitung ausführlich zu beschreiben und zugleich Zweck sowie das berechtigte Interesse daran darzulegen. Ergänzend sind Notwendigkeit und Verhältnismäßigkeit der Verarbeitung zu dokumentieren. Weiterer Bestandteil ist eine Beschreibung dessen, ob und ggf. wie die Rechte und Freiheiten des Betroffenen bedroht sind. Außerdem sind die geplanten Maßnahmen zu beschreiben, die letztlich einen angemessenen Schutz versprechen.
Sollten keine Schutzmaßnahmen geplant sein und zugleich das Ergebnis der zugehörigen Abschätzung lauten, dass ein hohes Risiko besteht, unterliegt der Verantwortliche einer Konsultationspflicht. Er hat sich an die zuständige Aufsichtsbehörde zu wenden und sich dort Rat zu holen. Sofern Schutzmaßnahmen geplant sind, besteht diese Verpflichtung hingegen nicht.
19. Rechtmäßigkeit der Verarbeitung und Einwilligung von Kindern
Erhebung und Verarbeitung personenbezogener Daten sind nur rechtmäßig, sofern dies zwingend erforderlich ist bzw. es der geschäftliche Prozess voraussetzt. Zudem müssen sich Erhebung und Verarbeitung auf die Daten beschränken, die im jeweiligen Prozess tatsächlich benötigt werden. Die Einwilligung des Betroffenen muss grundsätzlich vorliegen. Das BDSG schreibt das Einholen der Einwilligung bereits vor, doch die EU Datenschutz-Grundverordnung verschärft die Regeln.
Künftig wird eine lückenlose Dokumentation gefordert. Somit werden Prozesse vorausgesetzt, die eine Einwilligung nachweisen lassen.
Kinder und Jugendliche werden durch die neue Verordnung besser geschützt. Sofern ein Betroffener das 16. Lebensjahr noch nicht vollendet hat, ist es zwingend erforderlich, die ergänzende Einwilligung der Eltern einzuholen.
Der Betroffene muss seine Einwilligung jederzeit widerrufen können. Neu ist, dass dies auf demselben Weg möglich sein muss, auf dem er seine Einwilligung einst erteilt hat. Sollte z.B. ein Unternehmen aufgrund seiner Vertriebswege die Einwilligungen online und telefonisch einholen, muss der Widerruf auf beiden Kanälen möglich sein.
EU-DSGVO in der Zusammenfassung und Ausblick
Mit der vom EU Parlament beschlossenen Datenschutz-Grundverordnung kommen auf Unternehmen große Neuerungen zu. Zahlreiche neue Pflichten gehen mit der Verordnung einher, insbesondere in den Bereichen Dokumentation, Risikobewertung und Kontrolle. Viele Änderungen sind aus fachlicher Sicht als komplex zu bewerten und machen es daher nötig, tief in die rechtlichen Facetten des Datenschutzes einzutauchen.
In Anbetracht des erheblichen Umfangs dürfen Unternehmen keine Zeit verstreichen lassen. Um bis zum Stichtag (Inkrafttreten am 25. Mai 2018) ein angemessenes Datenschutzniveau gewährleisten zu können, gilt es jetzt zu handeln und die datenschutzrelevanten Prozesse anzupassen. Diese Maßnahmen sind auch deshalb entscheidend, weil mit der EU DSGVO größere Haftungsrahmen sowie höhere Bußgelder bei Datenschutzverstößen einhergehen. Je nach Art des Verstoßes können sich Bußgelder auf bis zu 10 Mio. Euro oder sogar 20 Mio. Euro belaufen. In Abhängigkeit von Größe und Rechtsform des Unternehmens dürfen Bußgelder sogar an den Jahresumsatz gekoppelt werden. In solchen Fällen drohen Geldstrafen, die bis zu zwei oder gar vier Prozent vom Jahresumsatz betragen. Zugleich ist absehbar, dass Aufsichtsbehörden die Datenverarbeitungsvorgänge gemäß Richtlinie viel kritischer prüfen werden.