EU-Datenschutz-Grundverordnung – was Unternehmen beachten sollten

Die EU-Datenschutz-Grundordnung wurde vom Europäischen Parlament verabschiedet. Damit besteht für Unternehmen durchaus Handlungsbedarf.

Nach langjährigen Verhandlungen und intensiver Lobbyarbeit wird die EU-Datenschutz-Grundverordnung nun im Jahre 2018 in Kraft treten. Das Datenschutzrecht in der EU gestaltet sich bislang als Flickenteppich, bestehend aus 28 verschiedenen nationalen Gesetzen.

Für Unternehmen wie für Betroffene ändert sich die Rechtslage an der Staatsgrenze, was mit der Ubiquität von Daten im digitalen Zeitalter kaum vereinbar ist.

Gemein haben die verschiedenen Rechtsordnungen allerdings, dass sie auf der EU-Grundrechtecharta sowie der EU-Datenschutzrichtlinie aus dem Jahre 1995 basieren. Letztere enthält Grundsätze, welche von den Mitgliedstaaten in nationales Recht gegossen werden mussten.

Bei der Ausgestaltung des nationalen Rechts waren die Staaten indes frei, was zu nicht unerheblichen Abweichungen untereinander führte.

Einheitliches Datenschutzniveau

Die neue Datenschutz-Grundverordnung (Ratgeber Datenschutz: Worauf Unternehmen und Mitarbeiter achten müssen) verringert diese Probleme, denn sie gilt in allen Mitgliedstaaten der EU unmittelbar. Einer gesetzgeberischen Umsetzung in nationales Recht bedarf es allerdings trotzdem noch in einigen wesentlichen Bereichen, wie etwa dem Arbeitnehmerdatenschutz. Nur insoweit wird es also auch künftig bei unterschiedlichen, nationalen Regelungen bleiben. Im Übrigen werden die nationalen Regelungen in weiten Teilen ersetzt, wie etwa das deutsche Bundesdatenschutzgesetz.

Wo die Verordnung unmittelbare Geltung für Unternehmen entfaltet, soll das anvisierte Ziel der EU erreicht werden, gleiche Wettbewerbsbedingungen auf der Basis hoher Datenschutzstandards zu schaffen. Der bisher gerne gewählten Möglichkeit, den Sitz eines Unternehmens in jenen EU-Staat mit dem niedrigsten Datenschutzniveau zu verlegen, wird damit ein Riegel vorgeschoben – der Sitz spielt schlicht keine Rolle mehr.

Wie auch schon die EU-Datenschutzrichtlinie und das deutsche Bundesdatenschutzgesetz, gilt auch die neue Datenschutz-Grundverordnung nicht für die Verarbeitung jedweder Art von Daten, Voraussetzung ist vielmehr ein Personenbezug. Dieser liegt vor, wenn mittels der Daten eine Person identifiziert wird (beispielsweise durch den Namen) oder identifiziert werden kann – dies etwa anhand einer Handynummer oder von Browsermerkmalen. Andere Daten, wie etwa Wetterdaten, weisen keinen Bezug zu einer natürlichen Person auf und fallen damit nicht in den Anwendungsbereich datenschutzrechtlicher Vorschriften. Für sie können aber andere Regelungen gelten, wie etwa Urheberrechts- beziehungsweise Leistungsschutzgesetze oder das Wettbewerbsrecht.

Grundlegend für die Verarbeitung personenbezogener Daten sind die folgenden Datenschutzprinzipien: Rechtmäßigkeit, Fairness, Transparenz, Zweckbindung (siehe auch Die Bedeutung der Zweckbindung), Datenminimierung, Richtigkeit, Speicherminimierung, Integrität, Vertraulichkeit, Verantwortlichkeit. Hieran sind alle Datenverarbeitungsprozesse zu messen.

Auf welcher Grundlage Daten künftig verarbeitet werden dürfen

Die Erlaubnistatbestände der neuen Verordnung, die beschreiben, unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen, wurden vollständig neu gefasst und inhaltlich in wenigen, aber besonders wichtigen Punkten geändert:

Wie auch bisher ist eine Datenverarbeitung durch Unternehmen möglich, wenn diese hieran berechtigte Interessen haben und die Interessen der Betroffenen nicht überwiegen. Im Gegensatz zur aktuellen Rechtslage wurden die Anforderungen an das berechtigte Interesse abgesenkt, was dazu führt, dass Unternehmen auch ohne Einwilligung des Betroffenen in mehr Fällen Daten verarbeiten dürfen (wenn der Betroffene nicht widerspricht), beispielsweise bei der Bekämpfung von Betrug, zum Zweck der Daten- und IT-Sicherheit oder zu Werbezwecken.

Derlei berechtigte, die Datenverarbeitung legitimierende Interessen sollen künftig auch beim Datentransfer innerhalb eines Konzerns vorliegen, wenn dies mit internen Verwaltungszwecken begründet werden kann. Dieses so genannte Konzernprivileg gab es bislang nicht. Ein willkürliches Verschieben von Daten innerhalb des Konzerns ist aber weiterhin nicht möglich.

Neben den berechtigten Interessen kann eine Datenverarbeitung auch auf eine ausdrückliche und freiwillig abgegebene Einwilligungserklärung des Betroffenen gestützt werden. An die Freiwilligkeit einer Einwilligung werden fortan allerdings höhere Anforderungen gestellt. Eine Einwilligung soll beispielsweise nicht mehr freiwillig sein, wenn ein Ungleichgewicht zwischen den Parteien besteht. Interessant wird die Frage, wie hoch die Hürden für ein derartiges Ungleichgewicht sein werden.

Unter 16-Jährige dürfen grundsätzlich nur noch mit Einverständnis der Erziehungsberechtigten eine datenschutzrechtlich relevante Einwilligung abgeben. Die Verordnung lässt aber eine Öffnung für die Mitgliedstaaten zu, wonach diese die Altersgrenze auf bis zu 13 Jahre absenken dürfen. Dieser Spielraum führt aber auch dazu, dass sich Serviceanbieter im Internet, wie etwa Facebook, nicht auf einheitliche Standards festlegen können.

Weitere wichtige Neuerungen

Mit Inkrafttreten der Datenschutz-Grundverordnung werden das Bundesdatenschutzgesetz sowie andere nationale Datenschutzgesetze in weiten Teilen obsolet. Dies bedeutet allerdings nicht, dass ein vollständiger Paradigmenwechsel eingeläutet wird. Die eben zitierten Prinzipien finden sich größtenteils auch schon im bislang geltenden Recht wieder. Im Detail werden die neuen Regelungen aber komplexer und enthalten Änderungen, die für Unternehmen (zumindest zu Beginn) zu einem erhöhten Aufwand führen werden – bis hin zur Neustrukturierung ihrer Datenverarbeitungsprozesse (siehe auch EU-Datenschutz: Cloud-Sicherheit und die GDPR – erste Schritte für die Compliance).

Dabei lässt sich aber nicht sagen, dass die neuen Regelungen grundsätzlich strenger sind. In manchen Bereichen profitiert die Wirtschaft sogar von abgesenkten Standards. Für Unternehmen relevant werden insbesondere folgende Neuerungen:

  • EU-Datenschutzrecht findet künftig auch Anwendung, wenn ein Unternehmen keinen Sitz in der EU hat, aber EU-Daten verarbeitet.
  • Wegen der angestrebten europaweiten Harmonisierung soll künftig nur noch die Datenschutzbehörde am Hauptsitz eines Unternehmens für dieses zuständig sein – und nicht mehr eine Behörde in jedem Land der EU – sogenannte One-Stop-Shop. Dies führt zu einem immensen Bürokratieabbau.
  • Technische und organisatorische Maßnahmen zum Schutz der Daten müssen implementiert werden und dem Stand der Technik entsprechen.
  • Dienste müssen datensparsam gestaltet und mit den datenschutzfreundlichsten Voreinstellungen angeboten werden (privacy by design and by default).
  • Unternehmen treffen umfangreichere Meldepflichten gegenüber Behörden und Betroffenen bei Verletzung des Datenschutzes.
  • Ein Datenschutzbeauftragter ist fortan immer dann zu bestellen, wenn die Kerntätigkeit eines Unternehmens in der Datenverarbeitung liegt.
  • Betroffene können gegen Unternehmen ein Recht auf Vergessen geltend machen, woraufhin ihre Daten zu löschen sind. Ferner sollen sie das Recht eingeräumt bekommen, bei einem Anbieterwechsel ihre Daten in einem allgemein nutzbaren Format kostenfrei mitnehmen zu können (Datenportabilität), siehe auch EU-Datenschutz: Betroffenenrechte nach EU-DSGVO rechtzeitig umsetzen.
  • Eine Datenübertragung in Drittstaaten wird fortan nach ähnlichen Grundsätzen möglich sein wie in der Vergangenheit. Die Lehren aus der Safe-Harbor-Entscheidung des EuGH haben jedoch zu strafferen Voraussetzungen geführt bei der Frage, ob im Drittland ein angemessenes Datenschutzniveau herrscht. Dies wird bei den Verhandlungen über ein neues Safe-Harbor-Abkommen beachtet werden müssen.
  • Datenverarbeitungen müssen dokumentiert werden.
  • In Einzelfällen muss eine Datenschutz-Folgenabschätzung (privacy impact assessment) vor der Implementierung von Datenverarbeitungsprozessen durchgeführt werden.

Wer personenbezogene Daten unrechtmäßig verarbeitet oder unrechtmäßig im eigenen Namen verarbeiten lässt (beispielsweise durch einen Dienstleister), hat hierfür voll einzustehen. Die neue Verordnung sieht harte Sanktionen vor: Behörden können Bußgelder in Höhe von vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder bis zu 20 Millionen Euro verhängen. Kleinere Unternehmen haben bei geringen Datenschutzverstößen verhältnismäßig geringere Sanktionen zu befürchten.

Fazit

Sowohl die EU als auch der Bundestag haben in letzter Zeit eine Reihe von Vorschriften erlassen, um digitale Sachverhalte zu regeln. Besondere Schwerpunkte lagen dabei auf der IT-Sicherheit und dem Datenschutz. Unternehmen ist zu raten, diese Bereiche ernst zu nehmen und Handlungspflichten zu identifizieren. Treibende Kraft sollten dabei nicht nur drohende Bußgelder oder Schadensersatzansprüche sein, sondern auch und insbesondere der Schutz der Kunden und Mitarbeiter sowie das äußere Erscheinungsbild eines jeden Unternehmens.

Über die Autoren:
Dr. Reemt Matthiesen und Dr. Markus Kaulartz sind Rechtsanwälte in der Wirtschaftskanzlei CMS Hasche Sigle und spezialisiert auf das Datenschutzrecht sowie das Recht der IT-Sicherheit.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close