15.03.2018 / Verfasser: Dr. Balázs Korom

EU-Datenschutzgrundverordnung und neues Bundesdatenschutzgesetz

Die neue europäische Datenschutzgrundverordnung (DS-GVO) und das neue Bundesdatenschutz-gesetz (BDSG-neu) kommen ab dem 25. Mai 2018 zur Anwendung. Die Vorschriften dieser beiden gesetzlichen Regelungen müssen Unternehmen in ihre betriebliche Praxis umsetzen. Diese Verpflichtung macht es für die Unternehmen notwendig, ihre Datenschutzpraxis zu überprüfen und ihr Datenschutzmanagement den neuen gesetzlichen Vorgaben anzupassen. Es besteht jedoch kein Grund zur Panik, da die DS-GVO viele Grundsätze der bisherigen EU-Datenschutzrichtlinie übernommen hat. Unternehmen, die sich bislang um Datenschutz gekümmert haben, werden die Erneuerungen problemlos umsetzen können.

Bei der DS-GVO handelt es sich um eine europäische Verordnung. Das bedeutet, dass das neue Gesetz unmittelbar in den Mitgliedstaaten gilt, ohne dass es einer nationalen Umsetzung bedürfte. Das BDSG-neu kommt grundsätzlich nur in solchen Fällen zur Anwendung, in denen das DS-GVO sog. Öffnungsklauseln beinhaltet und die nationale Gesetzgeber ermächtigt, die Regelungen der Verordnung zu konkretisieren und zu ergänzen.

Zunächst ist ein Blick darauf zu werfen, welche datenschutzrechtliche Prinzipen von den neuen Regelungen unangetastet geblieben sind. Hier ist hervorzuheben, dass der Umgang mit personen-bezogenen Daten weiterhin verboten ist, wenn er nicht durch einen Erlaubnistatbestand der DS-GVO oder sonstigen, datenschutzrechtlichen Vorschriften, erlaubt ist. Gleich geblieben sind auch die Datenschutz-Prinzipien, wie z.B. Zweckbindung, Datenminimierung, Datenrichtigkeit und Transparenz. Die rechtlichen Möglichkeiten, personenbezogene Daten in Drittstaaten zu übermitteln, bleiben weitestgehend erhalten und werden sogar noch erweitert.

Die neuen Gesetze führen unzweifelhaft zu einem erhöhten Datenschutz. Der erhöhte Datenschutz führt zu erweiterten Pflichten für die datenverarbeitenden Unternehmen. Eine der wichtigen Neuerungen ist, dass der Anwendungsbereich der DS-GVO auf alle Verarbeitungen ausgeweitet wird, die sich an EU-Bürger richten und personenbezogene Daten von EU-Bürgern verarbeiten. So müssen auch Unternehmen, die ihren Sitz außerhalb der EU haben, jedoch EU-Bürgern in ihrem Online-Shop Waren anbieten, die Vorschriften der DS-GVO beachten. Nichts anderes gilt für Suchdiensten und sozialen Netzwerken. Die Anforderungen an die Einwilligung des Betroffenen in die Verarbeitung seiner Daten wurden erhöht. Die Erteilung der Einwilligung erfordert nunmehr eine freiwillige, spezifisch informierte und eindeutige Handlung des Betroffenen. So stellt ein stillschweigendes Einverständnis keine Einwilligung dar. Ebenso sind sog. Opt-out-Lösungen, d.h. der Betroffene muss selbst aktiv werden, um zu verhindern, dass er mit der weiteren Nutzung des Angebots des Unternehmens seine Einwilligung erteilt, nicht mehr zulässig. Gleichzeitig wird der Widerruf der Einwilligung erleichtert. So muss der Betroffene seine Einwilligung "jederzeit" und "ohne Begründung" widerrufen können. Der Widerruf der Einwilligung muss dabei mindestens so einfach gestaltet werden, wie ihre Abgabe. Hierfür müssen von den datenverarbeitenden Unternehmen entsprechende technische Lösungen für Webseiten, Apps und anderen digitalen Diensten gefunden werden. Die Unternehmen unterliegen in der Zukunft erweiterten Informations- und Auskunftspflichten. So müssen sie dem Betroffenen auch Informationen zu der Rechtsgrundlage, auf die sie die Datenverarbeitung stützen, Angaben zur Dauer der Speicherung und vor jeder Weiterverarbeitung der Daten zu einem anderen Zweck den Betroffenen erneute Informationen zur Verfügung stellen. Die Rechte der Betroffenen werden auch dadurch gestärkt, dass die Daten, die der Betroffene selbst zur Verfügung gestellt hat, ihm in gängigem Format wieder zur Verfügung gestellt und auf Wunsch sogar direkt an Dritte (z.B. an ein Konkurrenzunternehmen) übermittelt werden müssen.

Die Unternehmen unterliegen nach den neuen Gesetzen einer ausgeweiteten Meldepflicht bei Datenpannen. Sie müssen jeden Vorfall, der ein Risiko für die Rechte und Pflichten der Betroffenen darstellt, an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden melden. Ebenso besteht gegenüber dem Betroffenen eine Informationspflicht über die Datenpanne, wenn sie voraussichtlich zu einem hohen Risiko führt. Schließlich muss jede Datenpanne durch das Unternehmen dokumentiert werden. Beachtlich ist auch die Änderung im Bereich der Geldbußen. Diese wurden im Falle von Verstößen erheblich erhöht - auf bis zu 4 Prozent des weltweiten Umsatzes des Unternehmens pro Verstoß.

Für Unternehmen ist es auf jeden Fall erforderlich, dass sie über ein funktionierendes Datenschutzmanagement verfügen (z.B. Wahrnehmung von Dokumentationspflichten, Durchführung der technischen und organisatorischen Maßnahmen zum Nachweis der Rechtmäßigkeit der Datenverarbeitung, Führung eines Verzeichnisses der Verarbeitungstätigkeiten, usw.) und die einzelnen Prozesse ausreichend dokumentieren, sodass sie gegebenenfalls gegenüber der Aufsichtsbehörde nachweisen können, dass sie geeignete Strategien und Maßnahmen für den Datenschutz ergriffen haben.

Dr. Balázs Korom
Rechtsanwalt