Die wesentlichen Neuerungen der Datenschutzgrundverordnung (DSGVO):
Noch gut 10 Monate, spätestens dann müssen alle Unternehmen in Europa auf die Datenschutzgrundverordnung (DSGVO) vorbereitet sein. In seinem Gastbeitrag stellt Wolf-Werner Alebrand vor, was die neue Datenschutzgrundverordnung regelt und worauf Unternehmen künftig achten müssen.
Gastbeitrag von Wolf-Werner Alebrand
Es bleiben noch knapp zehn Monate: Ab dem 25. Mai 2018 gilt als EU-weit verbindliche Regelung die Datenschutzgrundverordnung (DSGVO) und ein neues Bundesdatenschutzgesetz (BDSGneu) in Deutschland. Beide regeln die Erhebung und Nutzung personenbezogener Daten. Das sind alle Daten, die direkt oder indirekt auf eine Person schließen lassen, neben Namen und Adressen auch z.B. die IP-Adresse bei der Internetnutzung. Die Neuerungen gelten nicht nur für alle Unternehmen und öffentliche Institutionen, die in der EU ihren Sitz haben. Sie gilt auch für außereuropäische Unternehmen, die in der EU am Markt tätig sind (sogennates „Marktortprinzip“). Neben bekannten Prinzipien wie Datensparsamkeit, Transparenz, Rechtmäßigkeit und Zweckbindung enthält die Verordnung auch neue Pflichten, etwa hinsichtlich der Dokumentation der Verarbeitungsverfahren und Information der betroffenen Personen (Betroffene). Sie gewährleistet deren Einhaltung durch die drastische Erhöhung des Strafrahmens: Bis zu vier Prozent des weltweiten Konzern-Jahresumsatzes können diese Bußgelder ausmachen. Das ist erheblich mehr als nach dem bisherigen Bußgeldkatalog, der Strafen bis zu max. 300 Tsd. EUR vorsah.
Was regelt die DSGVO?
Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) sowie der freie Verkehr, also Übertragung personenbezogener Daten (Art. 1 Abs. 3 DSGVO).
Wie regelt die DSGVO?
Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.
Dokumentationspflicht
Besonders die umfassenden Dokumentationspflichten sind wichtig. Sie ergeben sich aus dem Grundsatz der Verantwortlichkeit („Accountability“). Dem Verantwortungsprinzip räumt die DSGVO durch damit verbundene Rechenschaftspflichten eine herausragende Stellung ein. Das Prinzip der „Accountability“ hat zur Folge, dass Unternehmen die Einhaltung der DSGVO dokumentieren und jederzeit nachweisen können müssen. Dazu müssen „technische und organisatorische Maßnahmen“ (Art. 24 Abs. 1 DSGVO) getroffen werden, die die Einhaltung des Datenschutzes garantieren. Zudem müssen interne Prozesse überwacht und geprüft werden, um die ständige Einhaltung der Schutzstandards nachweisen zu können.
Die 10 wesentlichen Neuerungen der DSGVO:
- Erstmals harmonisierter Datenschutz EU-weit
Künftig gelten in allen EU-Staaten die gleichen Standards in Sachen Datenschutz, datenschutzrechtliche „Rückzugsräume“ innerhalb Europas wird es damit nicht mehr geben. Allerdings gibt es nationale Öffnungsklauseln. - Verbotsgesetz mit Erlaubnisvorbehalt
Grundsätzlich ist die Verarbeitung abhängig vom genehmigten Zweck – es ist z:B. keine Ausspähung vom Kundenverhalten (sog. „Profiling“) ohne deren explizite Einwilligung erlaubt. Die EU-DSGVO wird als Verbotsgesetz mit Erlaubnisvorbehalt ausgestaltet. Das bedeutet, dass der Umgang mit personenbezogenen Daten grundsätzlich untersagt ist, es sei denn die Verordnung, eine andere gesetzliche Vorschrift oder eine Einwilligung des Betroffenen erlauben dies. Diese Auswirkung werden wir in Deutschland nicht besonders spüren, da das BDSG bereits identisch verfuhr. - Informierte eindeutige Einwilligung
Welchen Inhalt eine korrekte Einwilligung haben soll und wie eingewilligt werden muss, ist höchst umstritten und Gegenstand ständiger Diskussion. Auch ob es eine vermutete Einwilligung geben kann und wenn nicht, welche Voraussetzungen von der rechtswirksamen Einwilligung erfüllt werden müssen. In Artikel 4 wird bestimmt, dass nur eine informierte und unmissverständlich abgegebene Einwilligung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung wirksam ist. Darüber hinaus muss, wenn die Verarbeitung auf einer Einwilligung beruht, der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu der Verarbeitung ihrer personenbezogenen Daten erteilt hat. - Europaweite Pflicht zur Bestellung eines Datenschutzbeauftragten
Die EU-DSGVO sieht europaweit grundsätzlich eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten vor, jedenfalls wenn das Geschäftsmodell im Kern auf der Verarbeitung personenbezogener Daten beruht. Damit wird das Zwei-Säulen-Modell des Datenschutzes europaweit umgesetzt. Wonach die Erstkontrolle von Datenverarbeitungsprozessen im Unternehmen vom Datenschutzbeauftragten vorgenommen wird, um so die Einhaltung der gesetzlichen Anforderungen ohne behördlichen Aufwand sicherzustellen. Die Datenschutzbeauftragten müssen sich allerdings auf einen härteren Haftungsmaßstab einstellen. - Konzernprivileg
Der für Unternehmen interessanteste neue Begriff, der in Artikel 4 definiert wird, ist die sogenannte Unternehmensgruppe. Darunter versteht man eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Desweiteren konstituiert sie in Artikel 43 eine Art Konzernprivileg. Danach können gruppeninterne Datenweitergaben zwischen verbundenen Unternehmen unter erleichterten Voraussetzungen erfolgen. Voraussetzung ist allerdings, dass ein angemessenes Datenschutzniveau gewährleistet ist. Dieses kann durch gruppeninterne vertragliche Regelungen oder eine verbindliche Konzernrichtlinie, sog. „Codes of Conduct“ geschehen, deren Mindestinhalt vorgeschrieben wird. - One-Stop Shop Prinzip
Bürger und Bürgerinnen können sich bei Beschwerden immer an die Datenschutzbehörde ihres Mitgliedstaates wenden, ganz egal in welchem Mitgliedstaat der Datenmissbrauch passiert ist. Gleiches gilt für Unternehmen, diese müssen nur noch mit der Datenschutzbehörde des Mitgliedstaates zusammenarbeiten, in dem sich der Hauptsitz des Unternehmens befindet. - Kohärenzverfahren
Die Tätigkeit der Datenschutz-Aufsichtsbehörden in den einzelnen Mitgliedsstaaten soll harmonisiert werden. Mit dem Europäischen Datenschutzausschuss wird eine einheitliche Stelle geschaffen, die unter anderem die Befugnis zur Auslegung des europäischen Datenschutzrechts hat. Insbesondere in Fällen von europaweiter Bedeutung kann der Ausschuss sogar bindende Entscheidungen treffen. Damit dürfte eine unterschiedliche Auslegung und Anwendung des Gesetzes durch die Landesdatenschutzbehörden beendet sein. - Recht auf „Vergessenwerden“
Wer möchte, dass persönliche Daten gelöscht werden, muss dieses Recht gegenüber Google, Facebook und Co. auch durchsetzen können. Bislang war dies nur sehr schwierig möglich, wie das Google-Spanien-Urteil des EUGH vom Mai 2014 zeigte. Die EU-DSGVO stellt nun klar, wann Verbraucher sich auf das „Recht auf „Vergessenwerden“ berufen können und wie Unternehmen dem nachkommen müssen. Grundsätzlich werden Unternehmen persönliche Daten von Verbrauchern nicht nur dann löschen müssen, wenn die Betroffenen dies wünschen, sondern auch wenn es keine legitimen Gründe für eine weitere Speicherung der Daten gibt. Dies stellt eine erhebliche Herausforderung und Überarbeitungsbedarf für die ERP Systeme, z.B. SAP etc. dar.
- Besseres Verständnis für „personenbezogene Daten“
Die EU-DSGVO findet wie bisher Anwendung auf Daten einer bestimmten oder bestimmbaren Person. Desweiteren wird festgelegt, dass die Person bestimmbar ist, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen bestimmt werden kann. Der gegenwärtige Ansatz für sensible Daten wird beibehalten. Dieser wird aber auf genetische Daten und biometrische Daten ausgeweitet. Insgesamt ist der Begriff der personenbezogenen Daten durch die neuen Definitionen besser handhabbar und vor allem auch auf moderne Verarbeitungsprozesse angepasst. - Höhere Bußgelder
Für Unternehmen mag dieser Punkt sicher kein Vorteil sein, nichtsdestotrotz ist dieser Punkt für den Datenschutz eine willkommene Verbesserung. Mit dem Hinaufsetzen der Sanktion im Extremfall bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens wird deutlich, dass der Datenschutz eine wichtige Rolle spielt. Die Bürgerinnen und Bürger der Europäischen Union können sicher sein, dass Unternehmen in einem völlig anderen Umfang dem Datenschutz Rechnung tragen, als dieses bislang der Fall war.
Mit dem neu geschaffenen europäische Datenschutzrecht ändert sich nicht alles – aber doch vieles. Für Unternehmen entstehen eine ganze Reihe von neuen Pflichten. Herauszuheben ist hier vor allem die Pflicht zur Schaffung eines Datenschutzmanagements, die viele betroffene Mittelstandsunternehmen oder Selbstständige vor erhebliche Herausforderungen stellen wird. Wichtig ist, dass Unternehmen schnell eine Bestandsaufnahme über alle Verarbeitungsprozesse machen und als Verarbeitungsverzeichnis dokumentieren. Aus dem Verarbeitungsverzeichnis lässt sich der weitere Handlungsbedarf, z. B. im Rahmen der Risikofolgenabschätzung ableiten. Die Zeit drängt. Unternehmen sollten die Bestandsaufnahme bis Spätsommer 2017 abschließen, um über den Jahreswechsel den Anpassungsbedarf im Unternehmen, in Betriebsvereinbarungen, Verträgen und Policies zu ermitteln.
Zum Autor: Wolf–Werner Alebrand berät und unterstützt Unternehmen bei Fragen des betrieblichen Risikomanagements, und ist als Spezialist für Compliance-Kultur und Datenschutzmanagement tätig.