Katrin Staier, Rechtsanwältin
Denise Primus, Rechtsanwältin
Schlatter Rechtsanwälte Steuerberater PartG mbB, Heidelberg

 

Fast jeder spricht inzwischen davon und ab diesem Monat gilt sie: Die Datenschutz-Grundverordnung (DSGVO) bringt ab dem 25.05.2018 viele Neuerungen. Fast jeder weiß, dass durch die neue Gesetzeslage v. a. auf Unternehmen einiger Handlungsbedarf zukommt. Doch nicht nur Unternehmen, auch Vereine und Gemeinden sollten sich spätestens jetzt mit der Umsetzung des neuen Datenschutzrechts befassen. Was sind die Schwerpunkte? Wo liegt der größte Handlungsbedarf? Welche Risiken gibt es?

Gesetzesgrundlagen

Die wichtigste rechtliche Grundlage für den Datenschutz wird künftig die Datenschutzgrundverordnung (DSGVO) sein. Diese wird unmittelbar geltendes Recht und regelt den Bereich der Datenverarbeitung durch Private mit einem weitgehend harmonisierten Datenschutzrecht. Daneben findet insbesondere für öffentliche Stellen des Bundes und der Länder das neue Bundesdatenschutzgesetz Anwendung, soweit keine landesrechtlichen Datenschutzgesetze (Landesdatenschutzgesetze) eingreifen.

Gesetzliche Definitionen von einzelnen, zentralen Begriffen im Datenschutzrecht finden sich unmittelbar in der DSGVO. Danach gibt es künftig „personenbezogene Daten“, für die die Rechtmäßigkeit der Verarbeitung abschließend in Art. 6 der Datenschutzgrundverordnung geregelt ist. Daneben gibt es die „besonderen Kategorien von personenbezogenen Daten“, deren Verarbeitung nur unter den Ausnahmetatbeständen des Art. 9 DSGVO bzw. für den öffentlichen Bereich nach § 20 BDSG-neu zulässig sein wird. Zu den personenbezogenen Daten gehören wie bisher alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.

Inhaltliche Schwerpunkte

Nach wie vor handelt es sich beim Datenschutzrecht um einen sogenannten „Verbotstatbestand mit Erlaubnisvorbehalt“, so dass die Verarbeitung nur dann erlaubt ist, wenn ein Erlaubnistatbestand vorliegt. Die Datenschutzgrundverordnung führt insbesondere die  Einwilligung, Vertragserfüllung und unter bestimmten weiteren Umständen das Vorliegen eines berechtigen Interessens des Verantwortlichen als Erlaubnistatbestand auf.

Die Einwilligung kann künftig auch konkludent erfolgen, was in der Anwendungspraxis eine Erleichterung darstellen dürfte. Der Schutz von Minderjährigen ist hingegen in der Datenschutzgrundverordnung deutlich verschärft worden.

Wichtig bei den Erlaubnistatbeständen ist der Zweckbindungsgrundsatz: Wenn die Nutzung zu einem anderen als dem ursprünglich mitgeteilten Zweck erfolgen soll, werden datenschutzrechtliche Fragen unter dem Gesichtspunkt der Weiterverarbeitung relevant. Im Jahr 2015 hat die bayerische Landesdatenschutzbehörde ein Bußgeld in fünfstelliger Höhe verhängt, nachdem im Rahmen eines Asset-Deals Kundendaten vom Verkäufer an den Erwerber weitergegeben wurden. Weitere Bußgelder in vergleichbaren Fällen hat die Landesdatenschutzbehörde bereits angekündigt.

Informationspflichten ausgeweitet

Die Informationspflichten sind im Vergleich zum alten Bundesdatenschutzgesetz ausgeweitet und an Fristen gekoppelt worden. Nur wenige Ausnahmen von der Informationspflicht sind in besonderen Fällen zugelassen, so z. B., wenn der Aufwand unverhältnismäßig groß wäre oder es besondere Rechtsvorschriften gibt, die Ausnahmen regeln.

Auftragsverarbeitung

Wichtige Änderungen gibt es auch im Bereich der Auftragsverarbeitung. Hier ist der Begriff des Verantwortlichen und dem (neu) Auftragsverarbeiter nicht identisch mit dem alten Bundesdatenschutzgesetz. Insbesondere ist das bisherige Abgrenzungskriterium der Funktionsübertragung in der Datenschutzgrundverordnung weggefallen. Der Auftragsverarbeiter erhält mehr Verantwortung, mehr Pflichten und ist weisungsgebunden gegenüber dem Verantwortlichen. Im Fall von Datenschutzverletzungen gelten nun auch für den Auftragsverarbeiter neue Haftungsregelungen. Flankiert werden die Regelungen zur Auftragsverarbeitung durch Novellierungen in verschiedenen Gesetzen zu Berufsgeheimnissen.

Widerspruchsrecht

Künftig gibt es das eigenständig geregelte Widerspruchsrecht, mit dem der Betroffene einer – zulässigen – Datenverarbeitung im Einzelfall widersprechen kann. Der Widerspruch hat zur Folge, dass die weitere Verarbeitung von personenbezogenen Daten verboten ist.

Datenübertragbarkeit und Datensicherheit

Anspruchsvoll wird für Unternehmen die Erfüllung der neuen Anforderungen im IT-Bereich. Sowohl das neue „Recht auf Datenübertragung“ als auch der Grundsatz der „datenschutzfreundlichen Prozesse“ werden von den Unternehmen neue Wege und Lösungen verlangen.

Besondere Fragen werfen hierbei die Anforderungen an die Sicherheit personenbezogener Daten auf, insbesondere, soweit es um die sichere Kommunikation im elektronischen Postverkehr und der Notwendigkeit von Maßnahmen zur Sicherstellung des Schutzes vor unbefugtem Zugriff geht (Stichwort „Mail-Verschlüsselung“).

Gleiches gilt für die Frage, wie künftig die internationale Datenübermittelung, z. B. bei zentraler Verwaltung der Personaldaten innerhalb eines internationalen Konzerns umgesetzt werden kann.

Organisatorische Anforderungen

Genauso wichtig wie die inhaltlichen Anforderungen der DSGVO zum Recht der Verarbeitung von personenbezogenen Daten und zu den Rechten des Betroffenen sind die Anforderungen an die organisatorischen und betrieblichen Maßnahmen, die Unternehmen künftig erfüllen müssen. Hierbei kommen v. a. die neuen Dokumentationspflichten ins Spiel.

Daneben wird das Erfordernis einer Zertifizierung für Unternehmen diskutiert – die Umsetzung hierfür und entsprechende Richtlinien sind derzeit noch offen. Sicher ist aber bereits jetzt, dass die Dokumentation der datenschutzrelevanten Prozesse, datenschutzrelevanter Entscheidungen und datenschutzbezogener Risikoabwägungen ein zentrales Thema v. a. im Bereich einer etwaigen Zertifizierung werden.

Beschäftigten-Datenschutz

Hier dürften wohl auch nach dem 25.05.2018 einige der bereits jetzt bestehenden Auslegungsfragen zum Datenschutzrecht offenbleiben. Künftig werden aber auch im Beschäftigtendatenschutz die Grundsätze der Zweckbindung, der Zweckkompatibilität sowie der Informationspflichten wichtiger werden als bisher. Gleiches gilt für Regelungen und Vereinbarungen zur (privaten) Nutzung von Informations- und Kommunikationstechnik im Beschäftigungsverhältnis.

Bußgelder bei Verstößen

Im Ergebnis bringt die neue Datenschutzverordnung viel Neues, aber auch Bekanntes.

Das neue nationale Bundesdatenschutzgesetz und neue Landesdatenschutzgesetze sind auf dem Weg. Die Datenschutz-Grundverordnung gilt ungeachtet der nationalen Gesetzgebung ab dem 25.05.2018 unmittelbar. Einige der Neuerungen werden von der Rechtsprechung und den Aufsichtsbehörden noch mit Leben gefüllt werden müssen. Es bleibt abzuwarten, welche konkreten Ausgestaltungen in einzelnen Bereichen kommen werden.

Für Unternehmen wird mit der neuen gesetzlichen Regelung v. a. das Haftungsrisiko erhöht: Bei Verstößen drohen Bußgelder bis zu vier Prozent des weltweiten jährlichen Bruttoumsatzes.

Praxistipps

Unternehmen sollten sich spätestens jetzt die Frage stellen, ob sie für die neue Datenschutzgrundverordnung bereit sind: Passen die Datenschutzhinweise sowie die Einwilligungen zur Datenverarbeitung – z. B. auf Internetseiten oder bei Vertragsabschluss? Welche Rechte haben Kunden im Einzelfall? Liegen Vereinbarungen zur Auftragsverarbeitung vor, und zwar insbesondere auch dann, wenn personenbezogene Daten innerhalb eines Konzerns oder gar ins Ausland weitergegeben werden müssen? Muss ein Datenschutzbeauftragter bestellt werden? Wie steht es um das Verfahrensverzeichnis und die Datensicherheit, z. B. im E-Mailverkehr?