Die Datenschutzgrundverordnung kommt und führt zu weitreichenden Änderungen im Datenschutz. Betroffene Unternehmen sollten sich daher frühzeitig mit den Neuerungen und deren Implementierung auseinandersetzen.
„Gut Ding will Weile haben“
Nach fast vierjähriger Verhandlung wurde Ende 2015 die zum Beginn des Jahres 2018 wirksam werdende EU–Datenschutzgrundverordnung (DSGVO) veröffentlicht. Damit wird sie die bereits seit 1995 geltende EU-Datenschutzrichtlinie mit dem Ziel ablösen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen stärker zu schützen.
Diese finale Fassung ist das Ergebnis langer Verhandlungen von Europäischer Kommission, Europäischem Rat und dem Europäischen Parlament und soll im Frühjahr dieses Jahres noch formal verabschiedet werden.
Bereits im Jahr 2012 wurde die Reformierung des europäischen Datenschutzes durch einen ersten Entwurf der EU-Kommission eingeleitet. Es folgten Jahre zäher Auseinandersetzungen und Bemühungen die über 4000 Änderungsanträge abzuarbeiten, bis man sich schließlich im Juni 2015 auf eine allgemeine Ausrichtung einigen konnte.
Nachdem die bisher geltende EU-Datenschutzrichtlinie als Richtlinie keine unmittelbare Geltung in den jeweiligen EU-Mitgliedsstaaten hatte, sondern durch nationale Gesetzte umgesetzt werden musste, ist die neu gewählte Form der EU-Verordnung, als Instrument der Rechtsvereinheitlichung, für alle EU-Mitgliedsstaaten bindend und löst mit Wirksamwerden voraussichtlich das BDSG ab.
Das in Kraft treten der DSGVO wird weitreichende Veränderungen in der Umsetzung des Datenschutzes innerhalb der EU haben. So sollen insbesondere datenschutzrechtliche „Rückzugsräume“ in Ländern mit niedrigerem Datenschutzniveau verhindert, der Verwaltungsaufwand verringert und den Unternehmen einheitliche Maßstäbe für die Einhaltung des Datenschutzes an die Hand gegeben werden. Dabei wird die Verordnung nicht nur für in der EU ansässige Unternehmen gelten, sondern vielmehr auch für Unternehmen mit Sitz außerhalb der EU, welche personenbezogene Daten von in der EU lebenden Personen erheben und verarbeiten, und die Unternehmenstätigkeit einen EU-Bezug aufweist. Dies dürfte auch für Auftragsdatenverarbeiter zutreffen, die Daten von EU-Bürgern verarbeiten und deren Auftraggeber ihren Sitz in der EU haben.
Die wesentlichen Änderungen
Die Neuerungen die durch in Kraft treten der Verordnung wirksam werden sind sowohl für Betroffene als auch für Unternehmen weitreichend.
Die Rechte der Betroffenen, also Personen deren Daten verarbeitet werden, werden insoweit gestärkt, als dass diese mehr Kontrolle über ihre Daten erhalten durch:
- die Erforderlichkeit einer ausdrücklichen Einwilligung zur Verarbeitung ihrer Daten
- das Recht auf Berichtigung, Löschung sowie das Vergessen werden
- den einfacheren Zugang zu ihren Daten
- die Sicherung der Übertragbarkeit der Daten von einem Anbieter auf den Anderen
- das Widerspruchsrecht des Betroffenen zur Verwendung der Daten zur „Profilerstellung“
Auch für Unternehmen, die mit personenbezogenen Daten arbeiten, ergeben sich dadurch tiefgreifende Änderungen:
- Unternehmen müssen in größerem Umfang als bisher Auskunft über die durch sie gespeicherten Daten geben
- das Angebot der Unternehmen soll möglichst datensparsam konzipiert werden und es sollen nur Daten erhoben werden die zur Erbringung des Dienstes benötigt werden
- das Unternehmen ist verpflichtet, geeignete Sicherheitsmaßnahmen zu treffen die dem Risiko der Datenverarbeitungsvorgänge entsprechen
- die Unternehmen treffen zukünftig weitergehende Meldepflichten bei Datenschutzverstößen
- bei „riskanten Datenverarbeitungsvorgängen“ trifft das Unternehmen die Pflicht, einen Datenschutzbeauftragten zu benennen
- durch eine Öffnungsklausel bleiben den Mitgliedstaaten rechtliche Spielräume hinsichtlich der Einsetzung eines Datenschutzbeauftragten, wodurch die bisherige deutsche Praxis in diesem Bereich weitestgehend beibehalten werden kann
Hohe Bußgelder und Schadenersatz
Bei Verstößen durch die datenverarbeitenden Unternehmen drohen in Zukunft Bußgelder von bis zu 4 Prozent des Jahresumsatzes des Unternehmens. Dies kann für große Unternehmen schnell zu empfindlichen Strafen in Millionenhöhe führen.
Schließlich wird weiterhin an der Pflicht der Mitgliedstaaten festgehalten, eine unabhängige Aufsichtsbehörde auf nationaler Ebene einzurichten. Bei diesen Aufsichtsbehörden sollen Betroffene künftig, neben der Option den ordentlichen Rechtsweg zu beschreiten, die Möglichkeit erhalten, Beschwerde über etwaige Verstöße einzulegen. Zudem enthält die DSGVO explizite Haftungs- und Schadensersatzregelungen im Hinblick auf Datenschutzverstöße durch datenverarbeitende Unternehmen.
Es ist daher für solche Unternehmen ratsam, sich möglichst frühzeitig mit den Umsetzungen der neuen Anforderungen der DSGVO auseinanderzusetzten und die zweijährige Übergangszeit zu nutzen um im Zeitpunkt des Wirksamwerdens gewappnet zu sein und Strafen wegen Verzögerung bei der Umsetzung zu entgehen. Es sollten in dieser Zeit die Prozesse im Unternehmen überprüft und nach Lösungen im Hinblick auf die datenschutzrechtlichen Änderungen gesucht werden.
Dieser Artikel wird der Beginn einer ganzen Reihe von Einzelbeiträgen sein, die in naher Zukunft auf die wesentlichen Neuerungen durch die DSGVO detailliert eingehen werden. Dabei sollen Lösungsansätze und Umsetzungshinweise in den für Unternehmen relevanten Themengebieten gegeben werden, wie z. B.
- Anforderungen an die Einwilligung und Umsetzung des Löschungsanspruches
- Verarbeitung besonderer personenbezogener Daten
- Outsourcing und Datenschutzmanagement
- Auditierung und Zertifizierung
- Datenübermittlung ins EU-Ausland
- Datenverarbeitung im Internet
- Datenschutzbeauftragte im Unternehmen und die Umsetzung im Hinblick auf nationale Gesetzgebungen