Handlungsbedarf für Unternehmen und Behörden: Das neue Datenschutzrecht 2018

Das Datenschutzrecht wurde EU-weit reformiert. Zum 25. Mai 2018 werden die Neuregelungen verbindlich.

1. Welche neuen Regelungen gelten ab dem 25. Mai 2018?

  • Datenschutz-Grundverordnung

    Kern des neuen Datenschutzrechts ist die Datenschutz-Grundverordnung der EU (DS-GVO). Ziel der DS-GVO ist u. a. eine Vereinheitlichung der Datenschutzstandards innerhalb der EU, deshalb ist sie in jedem Mitgliedstaat der EU direkt anwendbar. Die DS-GVO enthält in einigen Teilen Öffnungsklauseln, die es den einzelnen Ländern ermöglichen, bestimmte Bereiche des Datenschutzes selbst auszugestalten.

  • Bundesdatenschutzgesetz

    Entsprechend wird das deutsche Bundesdatenschutzgesetz (BDSG) aktualisiert und gilt ergänzend zur DS-GVO. Deutschland hat von dem durch die DS-GVO vermittelten Gestaltungsspielraum z. B. in den Bereichen Datenschutzbeauftragter und Ordnungswidrigkeiten durch die Neufassung des BDSG Gebrauch gemacht.

  • ePrivacy-Verordnung

    Für den Bereich des Internets und der damit verbundenen Bereitstellung und Nutzung elektronischer Kommunikationsdienste tritt die ePrivacy-Verordnung (ePrivacy-VO) hinzu. Sie betrifft insbesondere Webseitenbetreiber und enthält Regelungen zu Cookies und Direktwerbung.

2. Für wen gilt das neue Recht?

Das Datenschutzrecht gilt grundsätzlich für Jedermann. Während es für diejenigen, die ihre persönlichen Daten bereitstellen, die sog. Betroffenen, umfangreiche Schutz- und Informationsrechte gewährt, werden datenverarbeitende Unternehmen und Behörden, die sog. Verantwortlichen, in die Pflicht genommen.

Unternehmen und Behörden sollten ihre Prozesse mit Bezug zu personenbezogenen Daten daraufhin überprüfen, ob sie mit dem neuen Datenschutzrecht vereinbar sind.

Besonders zu beachten ist auch der erweiterte territoriale Anwendungsbereich der DS-GVO. Dieser endet nun nicht mehr an den geographischen Außengrenzen der EU. Vielmehr werden auch Datenverarbeitungsvorgänge von Unternehmen erfasst, die ihren Geschäftssitz außerhalb der EU in sog. Drittstaaten haben, deren Tätigkeiten aber darauf abzielen, Personen innerhalb der EU Waren oder Dienstleistungen anzubieten oder deren Verhalten zu beobachten.

3. Wo besteht Handlungsbedarf?

Wenngleich Deutschland in Sachen Datenschutz bereits bisher hohe rechtliche Standards hatte, ergibt sich durch die Reform Handlungsbedarf.

Auszugsweise seien einige Themenbereiche aufgeführt, denen durch das neue Recht besondere Aufmerksamkeit geschenkt werden sollte.

  • Erweiterte Informationspflichten

    Interessenten und Kunden, deren personenbezogene Daten erhoben und verarbeitet werden sollen, sind vorab in einer präzisen, verständlichen und leicht zugänglichen Form sowie in einer klaren und einfachen Sprache umfangreich über die Datenverarbeitung zu informieren. Neben zahlreichen weiteren und abhängig von der konkreten Situation zu beachtenden Punkten ist über die Kontaktdaten des Datenschutzbeauftragten, bei der Übermittlung von Daten über deren Empfänger bzw. den Empfängerkreis, die eventuelle Absicht, Daten in ein Drittland zu übermitteln, das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, die Frage, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsschluss erforderlich ist, sowie, falls die Daten nicht direkt beim Betroffenen erhoben werden, über die Quelle der Daten zu informieren.

    Geboten ist in diesem Zusammenhang auch eine Aktualisierung der Datenschutzerklärungen, insbesondere im Onlinebereich.

    Weitere Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen ergeben sich bei einer Verletzung des Schutzes personenbezogener Daten, z. B. wenn ein Dritter sich ohne Berechtigung Zugang zu einer Datenbank verschaffen konnte.

  • Auftragsverarbeitung

    Bestehende Verträge mit Auftragsdatenverarbeitern, die auf § 11 BDSG zugeschnitten sind, genügen möglicherweise nicht den Mindestanforderungen, welche Art. 28 DS-GVO aufstellt. Das Haftungsrisiko von Auftragsverarbeitern erhöht sich. Eine Differenzierung zwischen Auftragsverarbeitung und Funktionsübertragung findet nicht mehr statt, sodass ein Beteiligter entweder Verantwortlicher oder Auftragsverarbeiter ist.

    Dafür gibt es die Möglichkeit einer sog. Joint Control, d. h. einer gemeinsamen Verantwortlichkeit mehrerer beteiligter Parteien für die Datenverarbeitung.
  • Privacy by design & by default

    Verantwortliche werden durch die Gebote „privacy by design“ und „privacy by default“ dazu verpflichtet, von vornherein, d. h. vor der Implementierung eines neuen Verarbeitungsprozesses, datenschutzfreundliche Systeme und Einstellungen zu verwenden. Ziel ist es, die Verantwortlichen dazu anzuhalten, bereits im Stadium der Konzeption neuer Datenverarbeitungsprozesse datenschutzrechtliche Überlegungen anzustellen. In dieser Hinsicht zu ergreifende Maßnahmen haben sich am Grundsatz der Datensparsamkeit und der Nutzung von Schutzmechanismen (z. B. Verschlüsselung, Pseudonymisierung) zu orientieren.

  • Datenschutzbeauftragter

    Die Pflicht zur Bestellung eines Datenschutzbeauftragten („DPO“ als Abkürzung für „Data Protection Officer“) besteht stets für staatliche Einrichtungen. Private Unternehmen haben u. a. einen DPO zu bestellen, wenn ihre Kerntätigkeit in einer umfangreichen, regelmäßigen und systematischen Überwachung von Betroffenen besteht, ständig mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder Datenverarbeitungen vorgenommen werden, die einer Datenschutzfolgenabschätzung gem. Art. 35 DS-GVO bedürfen. Beachten Sie, dass daneben noch weitere Konstellationen bestehen, in denen ein DPO zu bestellen ist. Im Zweifelsfall empfiehlt es sich, das konkrete Unternehmen insoweit überprüfen zu lassen.

  • Verarbeitungsverzeichnis

    Jeder Verantwortliche hat ein Verzeichnis über sämtliche Datenverarbeitungsprozesse in seinem Aufgabenbereich zu führen. Diese Pflicht besteht generell bei Unternehmen mit mehr als 250 Mitarbeitern, für kleinere Unternehmen in definierten Ausnahmefällen. Auch hier ist eine Einzelfallprüfung geboten. Aufgrund der internen Dokumentations- und Nachweispflicht („Accountability“) dahingehend, dass Datenverarbeitungen im Einklang mit der DS-GVO erfolgen, bietet sich die Führung eines Verarbeitungsverzeichnisses jedoch ohnehin an.

4. Wie werden Verstöße geahndet?

Verstöße gegen datenschutzrechtliche Vorschriften werden nach neuem Recht erheblich teurer. Zu erwähnen sind die beachtlichen Obergrenzen für Bußgelder in Höhe von EUR 20.000.000,00 oder 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Auch Verstöße gegen Informationspflichten können zukünftig mit einem Bußgeld geahndet werden.

Möglich sind weiterhin Beschwerden bei den zuständigen Aufsichtsbehörden. Diese können nach wie vor Verwarnungen und Verarbeitungsverbote aussprechen. Für Schadensersatzforderungen oder gegen Entscheidungen der Aufsichtsbehörde ist der Weg zu den Gerichten gegeben.

Nicht zuletzt aufgrund des erheblichen Bußgeldrahmens ist eine erhöhte Aktivität der Aufsichtsbehörden zu erwarten. Wie sich die Einzelheiten gestalten, wird die Praxis bald zeigen.

 

Bei Fragen in Sachen Datenschutz stehen wir Ihnen als kompetenter Partner zur Verfügung.

Ansprechpartner:

Dr. Karolin Nelles, LL.M., Rechtsanwältin, Hannover
Frank Becker, Rechtsanwalt, Hannover
Sarah C. Schlösser, Rechtsanwältin, Hannover
Rüdiger Erfurt, Rechtsanwalt, Osnabrück