Vor allem Unternehmer, aber auch Privatpersonen sollten sich jetzt intensiv mit der neuen EU-DSGVO auseinander setzen. Denn diese tritt am 25. Mai diesen Jahres in Kraft und bringt einige Änderungen zum bisher gültigen BDSG (Bundesdatenschutzgesetz) mit sich. Unternehmer, die diese Änderungen nicht oder erst verspätet umsetzen, müssen mit hohen Bußgeldern rechnen.

Ein einheitliches Datenschutzrecht in der EU

Die neue DSGVO soll den Datenschutz innerhalb der EU vereinheitlichen

Sowohl das BDSG als auch die EU-Datenschutzrichtlinie werden am 25. Mai 2018 durch die neue DSGVO der Europäischen Union ersetzt. Um diese DSGVO zu konkretisieren, wird außerdem ein deutsches Ergänzungsgesetz (DSAnpUG – Datenschutz-Anpassungs- und –Umsetzungsgesetz) wirksam. Des Weiteren gilt ab diesem Datum für Internet- und Telemedien eine e-Privacy-Verordnung.

Alle diese Artikel haben zum Ziel, das Datenschutzrecht innerhalb der Europäischen Union zu vereinheitlichen. Betroffene, also diejenigen, deren Daten verarbeitet werden, sollen somit bessere Kontrollmöglichkeiten und Rechte bekommen.

Im Großen und Ganzen bleiben die bisherigen Elemente des BDSG zwar erhalten, dennoch müssen die Änderungen gewissenhaft beachtet werden, will man als Unternehmer nicht riskieren, ein saftiges Bußgeld entrichten zu müssen.

Allgemeine Informationen

Was ändert sich im Wesentlichen?

Die Rechte der Betroffenen (also der Nutzer) werden gestärkt. Sie haben mit der neuen Verordnung einfacher Zugang zu ihren personenbezogenen Daten. Außerdem haben sie ein Recht auf Information, wofür ihre Daten verwendet werden. Auch das Recht auf Löschung der Daten wird mit der Verordnung eingeräumt und geregelt.

Den Unternehmen werden zeitgleich einige neue Pflichten auferlegt. So wird es eine Pflicht geben, datenschutzfreundliche Voreinstellungen bei elektronischen Geräten oder auch Anwendungen vorzunehmen. Des Weiteren sind Unternehmen verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn besondere Risiken für die gesammelten Daten bestehen.

Die DSGVO gilt außerdem für Unternehmen, die ihren Hauptsitz zwar nicht in der EU haben, deren Leistungen und Angebote jedoch auch an EU-Bürger gehen. Somit sind auch Unternehmen wie Google und Facebook betroffen, deren Sitz in den USA ist.

Das bereits erwähnte saftige Bußgeld kann bis zu 4 % des Jahresumsatzes betragen. Der Bußgeldrahmen für Verstöße wurde also erheblich erhöht.

Wann darf man Daten verarbeiten?

Für die DV muss eine ausdrückliche gesetzliche Erlaubnis vorliegen

Hier ändert sich im Vergleich zum bisherigen BDSG kaum etwas. So gilt weiterhin, dass eine ausdrückliche gesetzliche Erlaubnis vorliegen muss, um Daten zu verarbeiten. Diese Erlaubnis ist gegeben, wenn

• Der Betroffene seine Einwilligung gegeben hat
• Die Verarbeitung zur Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung notwendig ist
• Zur Wahrung der Interessen des Verantwortlichen die Verarbeitung erforderlich ist

Geändert hat sich lediglich, dass der Betroffene informiert werden muss, wenn seine Daten später zu anderen Zwecken genutzt werden. Dies ist wiederum nur erlaubt, wenn diese anderen Zwecke mit den ursprünglichen Zwecken kompatibel sind. Eine Nutzung zu statistischen Zwecken zählt ausdrücklich dazu.

Welche Daten darf man nicht verarbeiten?

Wie auch schon im BDSG gibt es auch in der neuen DSGVO bei den Daten besondere Kategorien, die ein Unternehmen erst mal nicht verarbeiten darf. Hierzu zählen Daten, die beispielsweise die rassische oder ethnische Herkunft einer natürlichen Person beschreiben, die politische Meinungen oder religiöse Überzeugungen erläutern oder aus denen Informationen über den Gesundheitszustand oder das Sexualleben hervorgehen. Auch biometrische Daten, wie etwa der Fingerabdruck oder die Stimmerkennung fallen darunter.

Die Verarbeitung ist nur dann zulässig, wenn ein Ausnahmetatbestand erfüllt ist. Das heißt, entweder muss die betroffene Person einwilligen oder die Verarbeitung ist aus rechtlichen, bzw. gesetzlichen Gründen notwendig. Dies kann dann der Fall sein, wenn Rechte oder Ansprüche geltend gemacht oder abgewehrt werden müssen.

Die Rechte der Nutzer

Das Recht auf Information

Ein Unternehmen muss folgende Informationen an den Nutzer weitergeben:

• Kontaktdaten des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten
• Die Rechtsgrundlage, sowie der Zweck der Datenverarbeitung
• Erläuterung des berechtigten Interesses
• Empfänger der Daten
• Informationen zur Datenübermittlung an andere Länder
• Dauer der Speicherung
• Belehrung über die Rechte der Betroffenen
• Gesetzliche oder vertragliche Grundlage für die Bereitstellung der Daten
• das Bestehen einer Einzelfallentscheidung

Die Rechte der Nutzer wurden gestärkt

Erhebt ein Unternehmen Daten bei einem Betroffenen, so muss dieser unmittelbar bei der Erhebung entsprechend informiert werden. Diese Information muss schriftlich (auch elektronisch) erfolgen. Die Sprache ist so zu wählen, dass alle Informationen genau und leicht verständlich beim Nutzer ankommen.

Ausnahmen dieser Pflicht entstehen dann, wenn der Betroffene diese bereits erhalten hat oder die Informationserteilung mit einem unverhältnismäßigen Aufwand verbunden wäre. Sollte dies der Fall sein, so muss jedoch eine öffentliche Bekanntmachung getätigt werden.

Auskunftsrecht

Wie auch schon im BDSG verankert, haben Betroffene auch durch die DSGVO ein umfangreiches Auskunftsrecht. Also Neuerung kommt jedoch das Recht hinzu, die Auskunft in elektronischer Form einzufordern und Kopien der Daten verlangen zu können.

Der Betroffene kann erfragen, woher die Daten stammen und wohin sie übermittelt werden. Außerdem hat er ein Recht zu erfahren, wofür seine Daten verwendet und wie lange sie gespeichert werden.

Von diesem Recht kann jedoch nur der Betroffene selbst Gebrauch machen. Ein Vertreter darf dies nur, wenn eine gerichtliche Vollmacht vorliegt.

Recht auf die Übertragbarkeit der Daten

Um einem Nutzer beispielsweise einen Anbieterwechsel zu vereinfachen, hat er das Recht, seine Daten auf einen anderen Anbieter zu übertragen (Datenportabilität). Die Daten müssen dann in einem Format übermittelt werden, das von Maschinen lesbar und gut strukturiert ist. Allerdings betrifft dies nur die Daten, die der Betroffene selbst dem Unternehmen zur Verfügung gestellt hat.

Recht auf die Löschung der Daten

Auch das Recht auf Löschung der eigenen Daten wurde ausgebaut

Unter gewissen Voraussetzungen dürfen Betroffene die Löschung ihrer Daten fordern. Diese sind:

• Die Notwendigkeit der Speicherung ist nicht mehr gegeben
• Die Einwilligung zur Datenverarbeitung wurde vom Betroffenen widerrufen
• Die Daten wurden unrechtmäßig verarbeitet
• Es besteht eine Rechtspflicht zum Löschen der Daten

Keine Anwendung findet das Recht, wenn:

• Die Informationsfreiheit überwiegt
• Durch die Speicherung der Daten eine rechtliche Verpflichtung erfüllt wird
• Das öffentliche Interesse bzgl. der Gesundheit überwiegt
• Historische oder wissenschaftliche Zwecke überwiegen
• Durch die Speicherung die Ausübung oder auch Verteidigung von Rechtsansprüchen gewährleistet wird

Im Gegensatz zu den unklaren Bestimmungen des BDSG, ist die Umsetzung der Löschpflicht in der neuen DSGVO detailliert festgesetzt. Des Weiteren verfügt der Nutzer auch über ein Recht auf Berichtigung seiner Daten.

Was bedeutet das für Unternehmen?

Organisatorischer und technischer Datenschutz

Um die Datensicherheit und den Datenschutz gewährleisten zu können, müssen Unternehmen geeignete technische sowie organisatorische Maßnahmen treffen. Generell sollten nur so viele Daten erhoben werden, wie wirklich notwendig sind, also die dem Zweck dienen. Diese Daten müssen dann schnellstmöglich pseudonymisiert werden.

Abschätzen der Datenschutzfolgen

Neue und unbekannte Technologien gelten als riskant

Birgt ein Datenverarbeitungsverfahren ein besonders hohes Risiko für die Freiheiten und Rechte eines Betroffenen, so muss das Unternehmen eine Datenschutzfolgenabschätzung durchführen. Wird beispielsweise eine neue Technologie verwendet, so gilt dies als besonders riskant.

In diesem Fall müssen drei Stufen durchlaufen werden:

1. Zunächst muss geprüft werden, ob ein erhöhtes Risiko für den Betroffenen besteht. Dies ist meist der Fall, wenn neue automatisierte Technologien zu Erfassung und Verarbeitung der Daten genutzt werden.
2. Ist ein hohes Risiko vorhanden, muss eine Bewertung der vorgesehenen Sicherheitsvorkehrungen und Abhilfemaßnahmen durchgeführt werden. Des Weitern muss nachgewiesen werden, dass die DSGVO auch eingehalten wird.
3. Lautet das Ergebnis der Bewertung, dass ein hohes Risiko besteht, so muss die Aufsichtsbehörde informiert werden, die innerhalb von 8 Wochen eine Empfehlung abgeben kann.

Die ganze Abschätzung muss schriftlich dokumentiert werden.

Datenpannen melden

Sollte es zu Pannen in der DV kommen, so ist dies der Aufsichtsbehörde (in Deutschland dem Bundesbeauftragten für Datenschutz) innerhalb von drei Tagen mitzuteilen. Folgende Punkte müssen dabei übermittelt werden:

• Eine Beschreibung des Vorfalls unter Angabe der Kategorie der Daten, der Anzahl der Betroffenen und der Nennung der betroffenen Datensätze
• Die Kontaktdaten des Datenschutzbeauftragten
• Die Folgen der Panne müssen beschrieben werden
• Die vorgeschlagenen und ergriffenen Gegenmaßnahmen müssen ebenfalls beschrieben werden

Außerdem muss auch die betroffene Person selbst über den Vorfall informiert werden, außer die Information bedeutet einen unverhältnismäßig hohen Aufwand oder die Gefahr besteht durch verschiedene Maßnahmen nicht (mehr).

Datenschutzbeauftragter

Der DSB überwacht die Einhaltung der DSGVO

Unter gewissen Umständen muss ein Unternehmen einen betrieblichen Datenschutzbeauftragten (DSB) ernennen. Dazu gehören u.a. die Verarbeitung von Daten, die als besonders riskant gelten (z.B. medizinische Daten) oder wenn mindestens 10 Personen hauptsächlich mit der DV betraut sind. Der Datenschutzbeauftragte muss also solcher qualifiziert sein. Er darf sowohl ein interner Mitarbeiter sein, also auch eine von extern beauftragte Person.

Der Datenschutzbeauftragte hat dann folgende Aufgaben:

• Kontaktperson der Aufsichtsbehörde
• Zusammenarbeit mit eben dieser
• Überwachung der Einhaltung der im DSGVO geregelten Punkte
• Beratung zum Thema Datenschutzfolgenabschätzung und Überwachung

Er muss diese Tätigkeit nicht unbedingt als Haupttätigkeit ausüben. Ein Interessenkonflikt zwischen seiner anderen Tätigkeit und der Tätigkeit als DSB darf jedoch nicht bestehen.

Fazit zur DSGVO

Durch die neue DSGVO werden die altbekannten Pflichten für Unternehmen erweitert und die Anforderungen, die die betriebliche, rechtliche und die technisch-organisatorische Seite des Datenschutzes betrifft erhöht.

Insbesondere die verschiedenen Informationspflichten, sowie die Verpflichtung eine Datenschutzfolgenabschätzung bei erhöhten Risiko durchzuführen, sind neu. Auch die Gründe für den Einsatz eines Datenschutzbeauftragten sind erweitert worden.

Der Aufwand, um die neue Verordnung rechtskonform umzusetzen, ist vergleichsweise hoch. Und auch die Frist bis Mai 2018 ist recht kurz. Dennoch sollte die Umsetzung – nicht zuletzt wegen der drohenden hohen Bußgelder – nach bestem Wissen und Gewissen erfolgen.