DWF logo
DWF logo

              Datenschutz-Grundverordnung (DS-GVO)

              Das Legal Update gibt einen Kurzüberblick über ausgewählte Änderungen im Datenschutzrecht durch die DS-GVO

              Date: 22/02/2018

              Ein Kurzüberblick über ausgewählte Änderungen im Datenschutzrecht durch die DS-GVO

              Der Frühling 2018 wird heiß. Diese Einschätzung stammt nicht von einem Meteorologen mit seherischen Fähigkeiten, sondern von Experten aus dem Bereich des Datenschutzes und sie beziehen sich auch nicht auf das – hoffentlich gute – Wetter im Mai, sondern auf den Stichtag 25. Mai 2018. Ab diesem Tag wird die mittlerweile allseits bekannte Europäische Datenschutzgrundverordnung (kurz: „DS-GVO“) das Bundesdatenschutzgesetz (kurz: „BDSG“) endgültig ablösen. Ziel dieser Verordnung ist es, das Schutzniveau der Daten natürlicher Personen in der ganzen EU auf ein einheitliches Level zu heben. Damit das funktioniert, gilt die DS-GVO als EU-Verordnung unmittelbar – also direkt und ohne weitere Umsetzung durch den/die nationalen Gesetzgeber – selbstredend in der gesamten Europäischen Union. Unternehmen sollten sich frühzeitig um eine Anpassung der Vorgaben bemühen, um den scharfen Sanktionsmöglichkeiten der Aufsichtsbehörden aus dem Weg zu gehen. Nachfolgend haben wir Ihnen einige ausgewählte Änderungen und Problemfelder in einem kurzen Überblick zusammengestellt.

              Haftung und Sanktionen

              Die DS-GVO wird den Datenschutz-Aufsichtsbehörden in Zukunft die Möglichkeit geben, Bußgelder in empfindlichen Höhen zu verhängen. Das BDSG ließ Bußgelder bis zu einer Höhe von EUR 300.000 zu. Die DS-GVO hingegen gibt den Aufsichtsbehörden das nötige Werkzeug an die Hand, um bei Verstößen Strafzahlungen in einer Höhe von bis zu EUR 20.000.000 zu verhängen. Alternativ zu diesem Betrag kann die Behörde auch ein Bußgeld in Höhe von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens, gemessen an dem vorherigen Geschäftsjahr verhängen, je nachdem welcher Betrag höher ist.  Aus dieser Änderung lässt sich der Stellenwert der Daten und des Datenschutzes im 21. Jahrhundert sowie die Ernsthaftigkeit der Umsetzung der DSGVO ablesen.

              Sachlicher und räumlicher Anwendungsbereich

              Die DS-GVO verfolgt das Ziel, die Daten von natürlichen Personen zu schützen und vor ungewollter oder unrechtmäßiger Verarbeitung zu bewahren. Das Begriffspaar „personenbezogene Daten“ bleibt auch unter der DS-GVO so weitreichend, wie bereits aus dem deutschen BDSG bekannt. Kurz gesagt unterfallen alle Information dem Schutz der DS-GVO, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Daten über juristische Personen fallen demnach weiterhin nicht in diesen Schutzbereich.

              Die Regelungen der DS-GVO hat jedes Unternehmen (auch: „Verantwortlicher“) zu beachten, das Daten in einer Niederlassung innerhalb der EU verarbeitet sowie jedes Unternehmen, das zwar über keine Niederlassung in der Union verfügt, jedoch Waren und Dienstleistungen in der EU anbietet oder personenbezogene Daten von natürlichen Personen, die sich im Gebiet der EU befinden, verarbeitet. Das bereits bekannte Sitzlandprinzip wird durch die DS-GVO also auch um das sog. Marktortprinzip erweitert, sodass die Regelungen der DS-GVO ebenfalls bei der Datenverarbeitung durch außereuropäische Anbieter eingreifen.

              Rechenschafts- und Dokumentationspflichten, Folgenabschätzung

              Der Verantwortliche ist dazu verpflichtet die Grundsätze der Datenverarbeitung nach der 
              DS-GVO einzuhalten. Dazu zählen insbesondere die bereits nach dem BDSG bekannten Grundsätze der Rechtmäßigkeit, Transparenz und Zweckbindung der Datenverarbeitung. Neu ist hingegen, dass den Verantwortlichen hinsichtlich der Einhaltung dieser Grundsätze eine Rechenschaftspflicht („Accountability“, Art. 5 Abs. 2 DS-GVO) trifft, er also die Einhaltung dieser Grundsätze nachweisen können muss. Kann er dies nicht, drohen Sanktionen nach dem oben dargelegten Maßstab. 

              Jedes datenverarbeitende Unternehmen wird durch die DS-GVO dazu verpflichtet, ein Verzeichnis über die Verarbeitung personenbezogener Daten (Verarbeitungsverzeichnis, Art. 30 DS-GVO) zu führen. Mit einem ordentlich geführten und umfassenden Verarbeitungsverzeichnis kann zudem bereits ein Großteil der oben benannten Rechenschaftspflicht erfüllt werden. Zwar suggeriert Art. 30 Abs. 5 S. 1 DS-GVO, dass diese Pflicht nur für Unternehmen mit mehr als 250 Mitarbeitern gelte. Allerdings wird diese Ausnahme zugunsten kleinerer Unternehmen nur in den wenigsten Fällen tatsächlich greifen, denn auch Unternehmen mit weniger als 250 Mitarbeitern müssen ein Verarbeitungsverzeichnis führen, wenn sie nicht nur gelegentlich, sondern planmäßig personenbezogene Daten verarbeiten. Eine solche planmäßige Datenverarbeitung dürfte bereits bei regelmäßigem Kontakt mit Kunden oder Lieferanten, sowie im Rahmen der Verwaltung von Mitarbeitern unumgänglich sein. Diese Pflicht gilt ab Mai 2018 explizit auch für Unternehmen, die als Auftragsverarbeiter tätig sind.

              Besteht bei einer Datenverarbeitung voraussichtlich ein hohes Risiko für die personenbezogenen Daten, hat der Verantwortliche vor der Verarbeitung eine Abschätzung der Folgen der Verarbeitung („Folgenabschätzung“) für den Schutz der personenbezogenen Daten durchzuführen und das Ergebnis zu dokumentieren.

              Bei typischerweise risikogeneigten Verarbeitungstätigkeiten ist eine Folgenabschätzung in jedem Fall durchzuführen. Typischerweise risikogeneigt sind etwa automatisierte Verarbeitungen und Profilbildungsmaßnahmen mit rechtlichen Folgen für den Betroffenen oder aber die umfangreiche Verarbeitung personenbezogener Daten besonderer Art, dazu gehören z.B. Daten über den Gesundheitszustand oder die ethnische Herkunft.

              Eigene Verantwortlichkeit und Datenübermittlung

              Die Datenübermittlung innerhalb der EU unterliegt grundsätzlich den Vorgaben der DS-GVO. Insofern bringt die neue Verordnung, jedenfalls was den europäischen Binnenbereich angeht, eine Erleichterung. 

              Eine Übermittlung personenbezogener Daten in Drittstaaten, wie z.B. den USA, erfordert weitere Maßnahme zur Rechtfertigung. So hat ein Unternehmen, das Daten aus der EU in die USA übermitteln will etwa sicherzustellen, dass der Vertragspartner in den USA nach dem Privacy-Shield zertifiziert ist. Alternativ kann der Verantwortliche mit seinem Drittlands-Vertragspartner auch die EU - Standarddatenschutzklauseln verwenden, um den Vertragspartner dazu zu verpflichten, das Datenschutzniveau der DS-GVO bei der Datenverarbeitung zu erreichen.

              Auch die Etablierung von verbindlichen internen Datenschutzvorschriften - sog. Binding Corporate Rules, auch BCR genannt - innerhalb eines Konzerns wird nach der DS-GVO vereinfacht. Solche internen Vorschriften sind künftig aufgrund des durch die DS-GVO eingeführten Koheränzverfahrens in allen Mitgliedsstaaten wirksam und gültig, sofern ein Mitgliedsstaat diese vom Unternehmen selbst auferlegten Regelungen zertifiziert hat.

              Auch das bereits aus dem BDSG bekannte Konstrukt der Auftragsdatenverarbeitung, welches i.d.R. bei der Verarbeitung der Daten durch ein externes Unternehmen – etwa im Bereich von Cloud-Services – zur Anwendung kommt, erfährt durch die DS-GVO Neuerungen. Verträge die bislang zur Vereinbarung einer Auftragsdatenverarbeitung verwendet wurden, sollten an die neue Verordnung angepasst werden. Von größerer Bedeutung ist die Änderung, dass künftig nicht mehr nur der Auftraggeber im Außenverhältnis für eine Datenpanne haftet, sondern fortan ebenfalls der Auftragsverarbeiter in die Verantwortung gerät.

              Dem deutschen Datenschutzrecht bislang unbekannt war das Konstrukt der gemeinsamen Verantwortlichkeit hinsichtlich der Verarbeitung personenbezogener Daten. Diese Möglichkeit der Verantwortungsteilung führt die DS-GVO nunmehr ein (sog. „Joint-Controllership“). Zwar kann durch das Joint-Controllership keine Datenübermittlung zwischen zwei Unternehmen gerechtfertigt werden, jedoch gibt es den Unternehmen und ihren Partnern die Möglichkeit, eine an das Geschäftsmodel angepasste Verantwortlichkeit hinsichtlich der zu verarbeitenden Daten in einem Vertrag zu vereinbaren.

              Betroffenenrechte und Informationspflichten

              Die Rechte der Betroffenen werden durch die DS-GVO gestärkt. Eine Erweiterung des Rechtes der Löschung auf das Recht auf Vergessenwerden führt dazu, dass der Verantwortliche auf Wunsch des Betroffenen nicht nur dessen Daten in seinem System zu löschen hat. Sofern er die Daten öffentlich gemacht oder weitergegeben hat, trifft ihn zudem die Pflicht, angemessene Maßnahmen zu ergreifen, um weitere für die Datenverarbeitung verantwortliche über den Löschungswunsch zu informieren. Mit dieser Pflicht geht unter Umständen ein erhöhter Aufwand einher. 

              Neu ist ebenfalls das Recht auf Datenportabilität. Dieses Recht gewährt dem Betroffenen die Möglichkeit, ihn betreffende personenbezogene Daten die einem Unternehmen bereitgestellt wurden herauszuverlangen, wobei ihm diese Daten in einem gängigen und maschinenlesbaren Format bereitgestellt werden müssen. 
              Aus den Betroffenenrechten ergeben sich spiegelbildlich auch neue Pflichten für die Verantwortlichen. Diese Pflichten verlangen unter Umständen die Implementierung neuer Prozesse im Unternehmen, welche es ermöglichen, die rechtlichen Ansprüche des Betroffenen zu erfüllen. Wird einer Aufforderung des Betroffenen nicht entsprochen, hat dieser die Möglichkeit sich bei der Aufsichtsbehörde zu beschweren. Diese wiederrum kann dann ein Bußgeld festsetzen. Darüber hinaus ist es einem Betroffenen fortan möglich, selbst Schadensersatz von dem Unternehmen – etwa wegen nicht vorgenommener oder verzögerter Datenherausgabe – zu verlangen.

              Auch verpflichtet die DS-GVO den Unternehmer zu weitergehenden Informationspflichten gegenüber den Betroffenen, als dies bislang der Fall war. Diese Änderung wirkt sich vor Allem in dem Bereich der Online Datenschutzerklärung z.B. für Webseiten aus. So sind ab Mai 2018 verpflichtend u.a. die Kontaktdaten des Datenschutzbeauftragten, die Rechtsgrundlage der Datenverarbeitung sowie die voraussichtliche Dauer der Datenspeicherung anzugeben. Im Hinblick auf den Online-Bereich des Datenschutzes wird die ebenfalls für Mai 2018 angekündigte „E-Privacy Verordnung“ der EU mit Spannung erwartet. Aus dieser EU-Verordnung werden sich wichtige Pflichten für den Betrieb von u.a. Webseiten und anderen Telemedien ergeben.

              Datenschutz im Beschäftigungskontext

              Ein Unternehmen hat hinsichtlich der Daten seiner Arbeitnehmer – z.B. hinsichtlich der Themen GPS-Tracking oder Videoüberwachung – die allgemeingültigen Vorgaben der DS-GVO, insb. die Informations- und Betroffenenrechte der Arbeitnehmer zu beachten.

              Betriebsvereinbarungen mit den Arbeitnehmern sollten auf Ihre Wirksamkeit nach dem Maßstab der DS-GVO überprüft werden. So müssen solche Vereinbarungen dem Transparenzgebot des Art. 88 Abs. 2 DS-GVO entsprechen und für den Angestellten klar zu erkennen geben, welche ihn betreffenden personenbezogenen Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden sollen. 

              Auch die Verpflichtung auf das Datengeheimnis, wie sie bislang nach § 5 BDSG vorzunehmen war, muss für die Zukunft angepasst werden. Die 
              DS-GVO enthält keinen mit § 5 BDSG vergleichbaren Artikel. Dennoch ergibt sich die Verpflichtung der Arbeitgeber, ihre Arbeitnehmer über eine rechtskonforme Datenverarbeitung zu unterrichten, unmittelbar aus der DS-GVO. Die in den Arbeitsverträgen gerne verwendeten Klauseln samt Verweis auf § 5 BDSG bedürfen daher einer entsprechenden Anpassung.

              Meldepflichten bei einer Datenpanne

              Von besonderer Relevanz sind die in der DS-GVO festgeschriebenen Meldepflichten bei Datenpannen. Bislang bestand eine Meldepflicht nach § 42a BDSG nur in Fällen, in denen besondere Arten personenbezogener Daten (z.B. Daten über die Gesundheit einer Person) durch eine Datenpanne berührt waren und diese Panne eine Bedrohung für die Rechte oder schutzwürdigen Interessen der Betroffenen darstellte. Dann erst hatte der Verantwortliche die Pflicht, dies unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. 

              Diese Meldepflicht wird durch die DS-GVO deutlich verschärft. Nunmehr genügt es, wenn jede Art eines personenbezogenen Datums von einer Datenpanne betroffen ist. Dabei ist es irrelevant, ob die Datenpanne in Form eines rechtswidrigen Zugriffs vorliegt oder aber versehentlich, etwa durch eine unbeabsichtigte Löschung, erfolgte. Dann muss der Verantwortliche binnen 72 Std. nach Bekanntwerden dieser Panne eine Meldung an die zuständige Aufsichtsbehörde machen. Die Prognostizierung und Reaktionspflicht binnen 72 Stunden nach Bekanntwerden der Datenpanne machen ein Daten-Managementsystem erforderlich, das es ermöglicht, innerhalb dieser kurzen Frist eine belastbare Prognose unter Einbeziehung aller relevanten Umstände zu treffen und zu dokumentieren sowie ggfs. Informationen im erforderlichen Umfang an die Aufsichtsbehörde zu übermitteln.

              Eine Meldepflicht tritt nur dann nicht ein, wenn eine durch den Verantwortlichen zu stellende Prognose ergibt, dass die Verletzung einer Datenschutzvorrichtung voraussichtlich kein Risiko für die geschützten Daten bedeutet. Das Risiko einer unzutreffenden Prognose sowie die entsprechende Beweislast treffen den Verantwortlichen und sind bußgeldbewehrt.

              To Do’s

              Was ist also nun zu tun? Die Verwandtschaft der DS-GVO zur Europäischen Datenschutzrichtlinie 95/46/EG merkt man der DS-GVO an. Da das bislang geltende deutsche Datenschutzrecht auf besagter Datenschutzrichtlinie beruht, wird die Umstellung auf das neue europäische Datenschutzrecht in der Bundesrepublik weniger aufregend als in anderen Mitgliedsstaaten. Dennoch bringt 
              die DS-GVO Änderungen und neue Vorgaben mit sich, die den Prozess der Datenverarbeitung in nahezu jedem deutschen Unternehmen beeinflussen wird und in den allermeisten Fällen auch deutliche Änderungen verlangt. Unternehmen sollten frühzeitig den Anpassungsbedarf analysieren und notwendige Anpassungen der eigenen Datenverarbeitungsprozesse an die DS-GVO vornehmen. Für eine vollständige Imple-mentierung der neuen rechtlichen Vorgaben empfehlen wir die folgenden Schritte:

              Analyse der Datenverarbeitung im Unternehmen 
              Abgleich der Datenverarbeitungsprozesse mit den rechtlichen Vorgaben der DS-GVO („GAP-Analyse“ und Risikobewertung)
              Umsetzung der rechtlichen Vorgaben/Implementierung neuer Prozesse 
              Überwachung der Datenverarbeitung 

              Kontaktieren Sie uns

              Sprechen Sie uns gerne an, wenn Sie Fragen zur Datenschutz-Grundverordnung haben. Unsere Experten helfen Ihnen gerne bei der Umsetzung der neuen rechtlichen Vorgaben zum Datenschutz in Ihrem Unternehmen.

              Sollten Sie Fragen zu dem Legal Update haben, können Sie sich gerne jederzeit an Klaus Brisch wenden.

              Related people

              Klaus Brisch, LL.M. (USA)

              • Partner // Global Head of Technology // Fachanwalt für Informationstechnologierecht