Die EU-Datenschutz-Grundverordnung – Endspurt in der Umsetzung

​veröffentlicht am 29. November 2017; Autoren: Gabor Hadnagy, Jürgen Schwestka

Mit Datum 25. Mai 2018 endet die zweijährige Übergangsfrist der am 25. Mai 2016 in-kraftgetretenen EU-Datenschutz-Grundverordnung. Zur Einhaltung der formaljuristischen Vorgaben sind umfangreiche technische und organisatorische Maßnahmen zu treffen, um nicht Gefahr zu laufen, durch die Aufsichtsbehörde mit empfindlichen Bußgeldern sanktioniert zu werden.

​[EU-Datenschutz-Grundverordnung]

Mit Datum 14. April 2016 beschloss das EU-Parlament die EU-Datenschutz-Grundverordnung, welche sogleich am 25. Mai 2016 in Kraft getreten ist. Gemäß Art. 99 DSGVO ist diese nach einer zweijährigen Übergangsfrist ab dem 25. Mai 2018 für alle automatisierten und nichtautomatisierten Verarbeitungsvorgänge von personenbezogenen Daten als geltendes Recht einzuhalten. Neben dem privaten und familiären Lebensbereich lässt der Gesetzgeber lediglich in geringem Umfang Ausnahmen zu, beispielsweise wenn die Tätigkeit nicht in den Anwendungsbereich des Unionsrechts fällt, wie etwa die nationale Sicherheit.

Als Konsequenz ergeben sich für die Verantwortlichen von personenbezogenen Verarbeitungstätigkeiten weitreichende Pflichten in Bezug auf den Schutz der betroffenen Personen. Hierzu sind insbesondere technische und organisatorische Maßnahmen (TOMs) zum Schutz dieser zu treffen. Unter personenbezogenen Verarbeitungstätigkeiten versteht man hierbei nach Art. 4 DSGVO beispielsweise das Erheben, das Erfassen, die Organisation, die Speicherung oder die Anpassung von Informationen, die sich auf eine natürliche Person, Einzelunternehmen oder Freiberufler beziehen. Die Tatbestandsmerkmale einer Verarbeitung von personenbezogenen Daten sind bereits gegeben, wenn zum Beispiel die persönlichen Daten von Patienten, Kunden oder Mandanten für die Erbringung von Leistungen erfasst werden.

Die bisher bestehenden Pflichten der verantwortlichen Stelle und die Rechte der Betroffenen bleiben auch im Zuge der DSGVO grundsätzlich erhalten. So hat ein Betroffener ein Benachrichtigungs-, Auskunfts-, Berichtigungs-, Löschungs- und Sperrungsrecht seiner Daten nach dem bisherigen BDSG, konkret geregelt durch die §§ 33 bis 35 BDSG. Im Zuge der DSGVO werden diese Rechte jedoch erheblich ausgeweitet. Ziel ist es, den Einzelnen vor einer maßlosen Erhebung seiner persönlichen Daten zu schützen und durch die Informationspflichten Transparenz zu schaffen.

Unter anderem müssen dem Betroffenen, dessen Daten verarbeitet werden, im Rahmen der Erhebung von personenbezogenen Daten neben der Identität des Verantwortlichen, also der verarbeitenden Stelle, nun auch dessen Kontaktdaten wie auch die Daten des Datenschutzbeauftragten bekannt gegeben werden. Des Weiteren muss der Betroffene darüber informiert werden, wenn eine Übermittlung seiner Daten in ein Drittland erfolgt. Handelt es sich, wie im Falle der USA, um ein unsicheres Drittland im datenschutzrechtlichen Sinne, hat die Verantwortliche Stelle zukünftig auch hierüber sowie über die Übermittlungsgrundlage, wie etwa Binding Corporate Rules, zu informieren. Zudem hat die verantwortliche Stelle nun den Betroffenen auch über die Dauer der Speicherung sowie über seine Rechte zu informieren.

Gemäß Art. 12 DSGVO sind Auskünfte unentgeltlich und ohne unangemessene Verzögerung, spätestens jedoch innerhalb eines Monats zu erteilen. Sofern diese Frist nicht gewahrt werden kann, muss der Betroffene hierüber, unter Angabe der Gründe, informiert werden. Zusätzlich ist es verpflichtend, ihn über die Beschwerdemöglichkeit bei der Aufsichtsbehörde zu unterrichten. Neu ist ebenfalls die Möglichkeit des Betroffenen nach Art. 20 DSGVO, seine gespeicherten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen, um diese Daten einem Dritten zur Verfügung zu stellen.

Eine besondere Relevanz entfaltet die technische Gestaltung zur Einhaltung datenschutzrechtlicher Bestimmungen. Die verantwortliche Stelle hat dafür Sorge zu tragen, dass die Betroffenenrechte technisch umsetzbar sind. Hierbei muss insbesondere berücksichtigt werden, dass im Rahmen eines Auskunftsersuchens der Ort sowie der Umfang der gespeicherten Daten bekannt und innerhalb eines angemessenen Zeitraums abrufbar sind. Aus technischer Sicht ist diesbezüglich auch zwischen Privacy by Design – hierunter versteht man Datenschutz durch Technikgestaltung – und Privacy by Default – diese gewährleisten den Datenschutz durch Voreinstellungen zu unterscheiden.

Eine drastische Änderung wurde hinsichtlich der Sanktionen vorgenommen. Das Bundesdatenschutzgesetz sanktioniert noch mit Geldbußen bis 300.000 Euro, in Einzelfällen auch höher. Im Zuge der DSGVO werden sich die Strafen exorbitant verschärfen, insbesondere auch die Höhe der möglichen Geldbußen von bis zu 20 Mio. Euro, oder gar im Einzelfall auch höher. Die DSGVO selbst legt in Art. 84 dar, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sein müssen. Seitens der Aufsichtsbehörden ist aktuell eine fortlaufende Dynamik zu erkennen, insbesondere das Aufstocken des Personals lässt vermuten, dass es sich mit den gesetzlichen Sanktionierungsmöglichkeiten nun nicht mehr um einen zahnlosen Tiger handelt.

Letzten Endes bleibt nicht mehr viel Zeit die Anforderungen der DSGVO in technischer und organisatorischer Hinsicht umzusetzen. Insbesondere vor dem Hintergrund der Sanktionierungsmaßnahmen durch die Aufsichtsbehörde ist jedoch eine schnelle Anpassung erforderlich. Besonders auch durch das gestiegene Datenschutzbewusstsein ist zukünftig vermehrt damit zu rechnen, dass Betroffene Ihre Rechte geltend machen und diese notfalls auch über die Aufsichtsbehörde einfordern. Dementsprechend sollten betroffene Unternehmen sich zeitnah mit dieser Thematik, auch hinsichtlich eines wirksamen Datenschutzmanagementsystems zur Sicherstellung der gesetzlichen Umsetzung des Datenschutzes, befassen und schnellstmöglich Maßnahmen ergreifen, um somit empfindlichen Strafen zu entgehen. In diesem Zusammenhang muss unter anderem geklärt werden, ob eine datenschutzkonforme Verarbeitung personenbezogener Daten stattfindet, die Wahrung der Betroffenenrechte sichergestellt ist und ob technische Maßnahmen ergriffen werden, um das Risiko eines unbefugten Zugriffs zu minimieren. Hierbei sollte insbesondere auch die Notwendigkeit und Angemessenheit der technischen Mittel nicht außer Acht gelassen werden.

Gerne stehen wir Ihnen zu diesem Thema unterstützend zur Seite.