Lansol GmbH

Gastbeitrag: DSGVO – Alles zur neuen EU-Datenschutz-Grundverordnung

Das Thema Datenschutz ist derzeit prominenter denn je. Eine wichtige Änderung auf diesem Gebiet steht nun kurz bevor: Ab dem 25. Mai 2018 wird die neue Datenschutz-Grundverordnung (DSGVO) das Datenschutzrecht innerhalb der EU einheitlich regeln und damit die bisherigen Richtlinien ersetzen. Da diese Änderung fast alle Branchen und Unternehmen unmittelbar betreffen wird, sollte nicht auf eine umfassende Aufklärung über dieses Thema verzichtet werden. Im Folgenden erfahren Sie Wissenswertes rund um die neue europäische Datenschutz-Grundverordnung. Ein Gastbeitrag von Rechtsanwalt Peter Kaumanns.

Die Datenschutz-Grundverordnung (DSGVO)

Die neue europäische Datenschutz-Grundverordnung (DSGVO), englisch General Data Protection Regulation (GDPR), ist bereits am 24. Mai 2016 in Kraft getreten. Die Vorschrift regelt das Datenschutzrecht, also den Umgang des Verantwortlichen mit personenbezogenen Daten, einheitlich europaweit. Sie gilt ab dem 25. Mai 2018 unmittelbar in der gesamten Europäischen Union (EU) und wird die bisherige allgemeine Datenschutz-Richtlinie 95/46/EG sowie nationales Datenschutzrecht ersetzen. Die Einhaltung der DSGVO ist dann durch die EU- und nationalen Datenschutzaufsichtsbehörden sowie die Gerichte überprüfbar.

Die bisher einschlägigen Regelungen des derzeit geltenden Bundesdatenschutzgesetzes (BDSG-alt) werden durch die DSGVO ersetzt. Das BDSG-alt tritt gleichzeitig außer Kraft. An einigen Stellen sieht die DSGVO Öffnungsklauseln zu, welche Spielräume für nationale Regelungen geben. Der deutsche Gesetzgeber hat hiervon Gebrauch gemacht und im Bundesdatenschutzgesetz 2018 (BDSG (neu) 2018) z.B. Vorschriften zur Videoüberwachung und zur Bestellung eines betrieblichen Datenschutzbeauftragter national geregelt.

Grundsätzliches zur neuen DSGVO

Ziel der neuen DSGVO ist es, ein einheitliches Datenschutzrecht innerhalb der EU zu schaffen. Dadurch soll dem sog. Betroffenen mehr Kontrolle über seine Daten ermöglicht werden. Dies wird durch eine Vielzahl von Grundsätzen, Vorgaben und vor allem Umsetzungs- und Kontrollpflichten in der DSGVO versucht umzusetzen.

Die Verarbeitung von personenbezogenen Daten steht unter Erlaubnisvorbehalt, d.h. jegliche Verarbeitung von personenbezogenen Daten ist generell verboten, wenn es die DSGVO oder ein anderes Gesetz nicht explizit erlaubt. Die Verarbeitung personenbezogener Daten muss nach den Grundsätzen Datensparsamkeit, Datenvermeidung und Erforderlichkeit der Zweckbindung erfolgen. Unternehmen müssen auf Verlangen den Aufsichtsbehörden nachweisen, dass durch sie organisatorische, wie auch technischen, Maßnahmen (TOM) getroffen worden sind, um dem Datenschutz und seinen Prinzipien einzuhalten. Maßnahmen, Arbeitsabläufe sowie deren Beschreibung sind zu dokumentieren, um diese auf Anfragen von Behörden belegen zu können.

Zur Vermeidung einer ausufernden Verwendung von Daten (Stichwort Big Data) ist deren Verwendung auf einen konkreten einzuschränken. Gegenüber den sog. Betroffenen gelten bei Datenerhebung erweiterte Informations- und Auskunftspflichten. Dem Betroffenen steht ggf. ein Recht auf Datenübertragbarkeit zu, um seine Daten von einem Unternehmen zum anderen „mitzunehmen“. Unter bestimmten Voraussetzungen steht Betroffen nun erstmals per Gesetz ein „Recht auf Vergessenwerden“, also ein Recht auf Löschung der eigenen Daten, zu. Vor allem erfolgt allerdings eine massive Anhebung des Strafrahmens bei Verstößen gegen die DSGVO auf 20 Millionen bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes.

DSGVO – Auswirkungen für Unternehmen

Die DSGVO gilt ausnahmslos für alle Unternehmen und Branchen. Erfasst werden alle Unternehmen mit Sitz in der EU, die eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten. Nur wenige Ausnahmen gibt es für den öffentlich-rechtlichen Bereich, z.B. die Strafjustiz oder bei ausschließlich persönlichen oder familiären Tätigkeiten einer natürlichen Person. Unternehmen müssen umfassende neue Strukturen und Prozesse schaffen, um die Anforderungen der DSGVO zu erfüllen. Wie bisher ist zu prüfen, ob ein Unternehmen eines Datenschutzbeauftragten bestellen muss. Im Gegensatz zu den bisherigen Regelungen wurde die Pflicht zum Führen eines Verarbeitungsverzeichnisses, eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden, erweitert. Neu ist dabei z.B., dass auch Auftragsdatenverarbeiter ein Verarbeitungsverzeichnis führen müssen.

Bisherige Verträge zur Auftragsdatenverarbeitung, nunmehr nur noch Auftragsverarbeitung genannt, müssen auf Konformität zur DSGVO geprüft und ggf. angepasst werden. Es gelten zukünftig genau vorgeschrieben Melde- und Informationspflichten bei Datenpannen. Soweit das Risiko für persönliche Rechte und Freiheiten der Betroffenen wahrscheinlich ist, muss gegenüber der Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden der Verletzung eine schriftliche Meldung unter Angabe weiterer Informationen erfolgen. Ggf. müssen auch die Betroffenen selbst informiert werden, sofern dies nicht durch z.B. einen unverhältnismäßigen Aufwand entfällt.

Birgt ein Datenverarbeitungsverfahren voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen ist eine sogenannte Datenschutzfolgenabschätzung nach definierten Kriterien durchzuführen. Bisherige von Kunden nach altem Recht erteilte Einwilligungen, z.B. im Rahmen eines Newsletter-Versands, werden durch die DSGVO nicht generell unwirksam. Für Datenverarbeitungen nach Inkrafttreten der DSGV muss aber überprüft werden, ob die alten Einwilligungen die Anforderungen der DSGVO bereits erfüllt haben oderüberarbeitet und ggf. neu eingeholt werden müssen.

Die grundsätzliche Pflicht, eine Datenschutzerklärung vorzuhalten, ändert sich ebenfalls durch die DSGVO nicht. Eine umfangreiche Auflistung der anzugebenden Informationen findet sich dazu insbesondere in Art. 12 DSGVO ff., unter anderem in Art. 13 und Art. 14 DSGVO. Neu ist dabei z.B., dass nicht nur Zwecke, sondern auch die Rechtsgrundlagen einer personenbezogenen Datenverarbeitung genannt werden müssen. Beim Einsatz von Cookies muss in der Datenschutzerklärung ein berechtigtes Interesse dargelegt werden. Auch die Darstellung der Rechte der Betroffenen, wird deutlich länger ausfallen, als dies bisher der Fall war.

Fazit und abschließende Bemerkungen

Fakt ist, dass die Geltung der DSGVO ab dem 25. Mai 2018 nicht mehr aufzuhalten ist und kein Unternehmer diese einfach ignorieren kann. Unternehmen, denen die Wichtigkeit des Themas DSGVO daher bislang nicht bewusst war, sollten sich daher dringend beraten lassen und im Rahmen einer Soll-Ist-Analyse ermitteln, welche Maßnahmen für die Einhaltung der Regeln der DSGVO kurz- und langfristig durchgeführt werden müssen.

Rechtsanwalt Peter Kaumanns, geboren 1976, studierte Rechtswissenschaften und Germanistik an der Rheinischen-Friedrich-Wilhelms-Universität Bonn sowie der Paris-Lodron-Universität Salzburg. Nach seiner Zulassung zum Rechtsanwalt arbeitete er zunächst in der Anwaltssozietät Prof. Dr. Tondorf, Böhm & Leber in Düsseldorf. Er betreute die Dezernate IT- und Arbeitsrecht. Seit 2012 ist er bei Terhaag & Partner Rechtsanwälte. Im Jahr 2009 absolvierte er den Masterstudiengang Informationsrecht (LL.M.) an der Heinrich-Heine-Universität Düsseldorf. Rechtsanwalt Kaumanns ist Fachanwalt für IT-Recht, außerdem berät er schwerpunktmäßig im Bereich Arbeitsrecht. Er ist zudem zertifizierter Datenschutzbeauftragter (TüV Rheinland). Seit 2013 ist Peter Kaumanns Lehrbeauftragter der Hochschule Düsseldorf.

Gastbeitrag: DSGVO – Alles zur neuen EU-Datenschutz-Grundverordnung
5 (100%) 2 votes

Das könnte Sie auch interessieren

05.04.2018

Webseiten ohne HTTPS werden bald als „unsicher“ markiert

Die Sicherheit in der IT ist in den letzten Jahren zu einem wesentlichen Thema geworden, Weiterlesen

14.06.2018

10 einfache Tipps für eine erfolgreiche Website

Heutzutage ist das Internet überflutet mit Webseiten, die natürlich alle möglichst viel Traffic erzeugen wollen. Weiterlesen

25.01.2018

10 Tipps für mehr Durchblick im E-Mail-Postfach

Die Anzahl der geschäftlichen und privaten E-Mails nimmt stetig zu. Kein Wunder, dass man immer Weiterlesen