Die EU-Datenschutz-Grundverordnung ist am 25. Mai 2016 in Kraft getreten. Durch die darin geregelte Übergangsfrist kommt sie zwei Jahre später (also ab dem 25. Mai 2018) zur Anwendung. Die Einhaltung der Datenschutz-Grundverordnung kann ab diesem Zeitpunkt durch die EU-Datenschutzaufsichtsbehördern sowie durch Gerichte überwacht werden.
Für Deutschland bedeutet dies konkret: Die Regelungen des BDSG (Bundesdatenschutzgesetz) werden durch die Regelungen der DSGVO ersetzt. Die grundsätzlichen Prinzipien der Richtlinie 95/46 werden in der DSGVO beibehalten, oft jedoch in strengeren Vorschriften konkretisiert. Welche Veränderungen auf deutsche Unternehmen oder Freelancer zukommen, erfahren Sie in diesem Ratgeberartikel.
EU-Datenschutz-Grundverordnung in Deutschland
Die Vorschriften der DSGVO sind umfangreich und bereiten daher kleinen und mittleren Unternehmen erst einmal Anlaufschwierigkeiten. Tatsächlich sind viele der datenschutzrechtlichen Konzepte der DSGVO weitestgehend gleich wie die Prinzipien der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), deren Vorschriften in Deutschland mit dem Bundesdatenschutzgesetz (BDSG) umgesetzt wurden. Wer das Datenschutzmanagement ernst genommen hat, muss nicht allzu viele Veränderungen oder gar Sanktionen fürchten. Trotzdem sollten Unternehmen und Selbständige ihre Datenschutzpraxis überprüfen und an die DSGVO anpassen.
Die DSGVO gilt als europäische Verordnung in allen Mitgliedstaaaten der EU. Durch sogenannte Öffnungsklauseln sind die Einzelstaaten jedoch in der Lage, die Regelungen der Verordnung zu ergänzen bzw. zu konkretisieren. Beispiele hierfür sind der Beschäftigtendatenschutz, die Bestellung eines Datenschutzbeauftragten oder Altersgrenzen von Betroffenen.
Unser Tipp:
Um die DSGVO in Deutschland akkurat und rechtssicher umzusetzen, empfiehlt sich der Besuch einer Fortbildung zum Thema Datenschutz – hier finden Sie aktuelle Weiterbildungen im Datenschutz!
Was bleibt gleich?
Im Wesentlichen behält die DSGVO die Prinzipien der EU-Richtlinie 95/46 bei.
- So sind Zweckbindung, Datenminimierung und Transparenz immer noch die zentralen Grundsätze der Verordnung.
- Auch der Umgang mit personenbezogenen Daten bleibt verboten, wenn er nicht entweder durch einen Erlaubnistatbestand oder durch eine sonstige Rechtsvorschrift erlaubt ist. Unter der DSGVO muss das Unternehmen Betroffene in der Datenschutzerklärung darüber informieren, auf welche Rechtsgrundlage man die Datenverarbeitung stützt.
- Die Verarbeitung sensibler Daten unterliegt besonderen Voraussetzungen nach Art. 9 DSGVO (explizite Einwilligung).
- Die gesetzlichen Rechtsinstrumente für die Übermittlung in Drittstaaten bleiben weitestgehend erhalten und werden zusätzlich erweitert.
- Der betriebliche Datenschutzbeauftragte ist für viele Unternehmen unverzichtbar. Ein DSB (Datenschutzbeauftragter) ist vorgeschrieben, wenn die Hauptaktivität des Unternehmens die massenhafte, regelmäßige und systematische Beobachtung von Betroffenen erfordert oder das Kerngeschäft in der massenhaften Verarbeitung sensibler Daten besteht. In diesen Fällen besteht auch bei einer Angestelltenanzahl von weniger als 9 Mitarbeitern die Verpflichtung, einen DSB zu bestellen.
Was verändert sich?
- Die Verordnung gilt für sämtliche Verarbeitungen, die sich an EU-Bürger richten und personenbezogene Daten von EU-Bürgern verarbeiten (d.h. auch für Unternehmen mit Sitz außerhalb der EU). Auch bei geldfreien Internetangeboten (z.B. Suchdienste) greift die DSGVO. Ebenso werden Touristen oder Gastarbeiter geschützt, die sich in der EU aufhalten und deren Daten von ansässigen Firmen verarbeitet werden.
- Die Datenverarbeitung zu anderen Zwecken als den ursprünglichen Erghebungszwecken ist nur bei kompatiblen Zwecken zulässig (Art. 6 Abs. 4).
- Die Anforderungen an die informierte, freiwillige Einwilligung sind erhöht. Es muss eine eindeutige Handlung erfolgen, beispielsweise das Anklicken eines Kästchens. Stillschweigendes Einverständnis und standardmäßig angeklickte Kästchen stellen keine Einwilligung dar.
- Der Widerruf der Einwilligung ist erleichtert. Betroffene können ihre Einwilligung jederzeit, ohne Begründung widerrufen. Der Widerruf muss ebenso simpel möglich sein wie die Einwilligung.
- Das Kopplungsverbot ist verschärft. Der Abschluss eines Vertrags darf nicht von der Erteilung einer Einwilligung abhängig gemacht werden, obwohl dies für die Durchführung des Vertrags nicht erforderlich ist.
- Die Informations- und Auskunftspflichten sind erweitert, z.B. durch Informationen zur der Rechtsgrundlage, auf die sich die Datenverarbeitung stützt sowie zu der Dauer der Speicherung.
- Die Profitabiliätsverpflichtung für Daten, die der Betroffene selbst zur Verfügung stellt, ist erneuert. Als Firma muss man in der Lage sein, auf Anfrage personenbezogene Daten in einem gängigen und elektronischen Format dem Betroffenen bereitzustellen.
- Die Löschpflicht sowie die Hinweispflicht bei Weitergabe von Daten an Dritte ist erweitert. Ist der Datenbestand nicht auf dem aktuellsten Stand und gibt man diese Daten an Dritte weiter, muss man die Organisationen über die Unrichtigkeit der Daten informieren. Konkret heißt dies, man muss dokumentieren, welche personenbezogenen Daten das Unternehmen verarbeitet, woher diese bezogen werden und an wen sie weitergereicht werden. Bei einem Löschanspruch müssen die Daten zudem schnell auffindbar sein und gelöscht werden können.
- Das Widerspruchsrecht ist erweitert. Betroffene können der Datenverarbeitung zu Zwecken des Direktmarketings (einschließlich Profilbildung) widersprechen.
- Neue Pflichten im Auftragsverhältnis. Der Auftragsverarbeiter muss seinen Dokumentationspflichten nachkommen und haftet bei Datenpannen gegenüber dem Betroffenen. Damit haftet nun nicht mehr ausschließlich der für die Verarbeitung Verantwortliche, sondern auch der Auftragsverarbeiter gegenüber dem Betroffenen im Außenverhältnis gesamtschuldnerisch auf Schadenersatz.
- Die Dokumentation der Risikoeinschätzung ist notwendig. Für besonders risikobehaftete Datenverarbeitung ist die Durchführung einer Datenschutz-Folgenabschätzung notwendig.
- Die Meldepflicht bei einer Datenpanne an die Aufsichtsbehörder ist notwendig. Innerhalb von 72 Stunden müssen Datenpannen behördlich gemeldet werden. Hat eine Datenpanne ein „hohes Risiko“ für den Betroffenen zur Folge, muss dieser unverzüglich informiert werden.
- Mögliche Geldbußen sind pro Vertoß auf bis zu 4 Prozent des weltweiten Umsatzes erhöht.
Auf den Seiten des Bundeswirtschaftsministeriums kann man eine Checkliste zur EU-Datenschutz-Grundverordnung für Unternehmen herunterladen – hier informieren (Stand: 14.03.2018).
Bild: pe3check – Fotolia.com
Schreibe einen Kommentar