EU-Datenschutz-Grundverordnung tritt in Kraft – Notwendigkeiten für Unternehmen

PrintMailRate-it

​Schnell gelesen:

  • Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DS-GVO) zum Umgang mit personenbezogenen Daten in Kraft.
  • Insbesondere für Estland, Lettland und Litauen bedeutet diese Verordnung eine wesentliche Verschärfung des Datenschutzrechts.
  • Juristische Personen, die personenbezogene Daten erheben, sollten dringend ihre internen Datenerhebungs- und Verarbeitungsrichtlinien sowie die zugehörige Dokumentation überprüfen, um die Einhaltung der neuen Verordnung durch ihr Unternehmen sicherzustellen.
    Die Nichteinhaltung kann drakonische Strafen nach sich ziehen.

​Von Pranas Mykolas Mickus, Hans Lauschke


Wesentliche Änderungen durch die DS-GVO

Im Zuge wachsender Risiken, wie Cyber-Angriffe, Datenlecks usw., ist Datenschutz wichtiger denn je. Aus diesem Grund wurde die DS-GVO verabschiedet, die am 25. Mai 2018 in Kraft tritt und wesentliche Änderungen im Bereich des Datenschutzes mit sich bringt. Da die Verordnung in allen EU-Mitgliedstaaten unmittelbare Wirkung entfalten wird, sollten Unternehmen unbedingt prüfen, ob die neuen Regelungen im Einklang mit ihrer internen Datenschutzpolitik stehen und diese gegebenenfalls entsprechend anpassen. Die DS-GVO gilt auch für Unternehmen, die ihren Sitz außerhalb der EU haben, sich mit ihren Angeboten aber an EU-Bürger wenden.

Mit der Verordnung werden das sogenannte „Recht auf Vergessenwerden“ und das „Recht auf Datenportabilität“ eingeführt. 

 

Ziele und Neuerungen der Datenschutzverordnung

Laut Erwägungsgrund 11 der DS-GVO zielt die Verordnung insbesondere auf eine unionsweite Stärkung und Harmonisierung des Datenschutzes sowie konkret auf Folgendes ab:
  • die Stärkung und Präzisierung der Rechte betroffener Personen
  • die Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden
  • die Harmonisierung der Befugnisse/Sanktionsmöglichkeiten der Mitgliedstaaten bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten

 

Bisher wird der rechtliche Datenschutzrahmen innerhalb der EU lediglich von Richtlinien bestimmt, die keine direkte Geltung haben und durch die Mitgliedstaaten mittels nationalen Gesetzen umgesetzt werden. Bei der DS-GVO handelt es sich hingegen um eine Verordnung, die unmittelbare Geltung in allen EU-Mitgliedstaaten entfaltet und grundsätzlich Anwendungsvorrang vor nationalen Gesetzen besitzt. Lediglich für in der DS-GVO ausdrücklich genannte Fälle sind abweichende nationale Regeln möglich. Zwar besteht eine konkrete Ausgestaltungspflicht durch den nationalen Gesetzgeber, entscheidend wird jedoch sein, dass es trotzdem zu keiner nationalen Auslegung kommt, sondern zu einer EU-Auslegung. So können bereits etablierte Begriffe des Datenschutzrechts in einzelnen Staaten eine neue Bedeutung und Interpretation erhalten. Es ist daher Vorsicht geboten und bisherige Handhabungen, Prozesse und Dokumente sollten infrage gestellt werden.

 

Neuerungen gibt es auf folgenden Gebieten:

  • umfassende Informationsrechte des Betroffenen
    Auskunfts- und Widerspruchsrechte
  • Recht auf Berichtigung, Löschung und Einschränkung der Daten
  • Recht auf Übertragbarkeit der Daten an andere Dienstleister
  • Recht auf Vergessenwerden
  • klare und verständliche Sprache für Datenschutzbestimmungen
  • Anhebung des Mindestalters auf 16 Jahre für die Abgabe einer wirksamen Einwilligung in die Verarbeitung von personenbezogenen Daten, einschließlich Nachweisanforderungen
  • Dokumentationspflichten bzgl. der eingesetzten Abhilfemaßnahmen zur Risikoeindämmung bei der entsprechenden Form von personenbezogener Datenverarbeitung
  • neue Begriffe, neue Definitionen, neue Auslegung alter Begriffe
  • härtere Sanktionen als bisher

 

Harter Sanktionskatalog

Während Regelverstöße in vielen EU-Mitgliedstaaten bereits strikt geahndet wurden, waren die Behörden in den baltischen Staaten bisher nachsichtiger und die Sanktionen vergleichsweise gering. Dies wird sich mit der Einführung der DS-GVO maßgeblich ändern. Diese sieht je nach Schwere des Verstoßes teils drastische Strafen vor:

 

Grobe Verstöße können recht schnell passieren und durch die Höhe der Sanktionen zum Existenzrisiko für Unternehmen werden. Überdies können zivilrechtliche Ansprüche durch Betroffene geltend gemacht werden. Unternehmen, welche in Kontakt mit personenbezogenen Daten kommen oder nicht genau wissen, ob sie personenbezogene Daten speichern, verarbeiten oder weiterleiten, sollten daher noch vor Inkrafttreten der DS-GVO einen Berater konsultieren, um die Einhaltung der Regeln zu gewährleisten.

 

Die wichtigsten Anforderungen der Verordnung

Aus der Fülle von Anforderungen sind nachfolgend die wichtigsten Punkte aufgeführt.

 

Materieller und territorialer Geltungsbereich

Mit der neuen Verordnung wurde der Anwendungsbereich des EU-Datenschutzes erweitert. Die DS-GVO gilt auch dann, wenn die Datenverarbeitung eines Unternehmens zwar außerhalb der EU erfolgt, das Vertriebsbüro aber in einem EU-Land liegt und somit untrennbar mit der EU verbunden ist.

 

Darüber hinaus gilt die Verordnung für Nicht-EU-Unternehmen, die Daten von betroffenen Personen erheben. Dies ist der Fall, wenn eine der folgenden Anforderungen von einer außerhalb der EU ansässigen Gesellschaft erfüllt wird:
  • ein Unternehmen bietet betroffenen Personen Waren oder Dienstleistungen an
  • ein Unternehmen überwacht das Verhalten der betroffenen Personen

 

Eine solche Überwachung umfasst auch Online-Tracking (Verfolgen von Internetnutzerspuren), um Nutzerprofile zu erstellen und Verhaltensmuster zu bewerten und somit Dienstleistungen effektiver anzubieten.

 

Datenschutzgrundsätze

Die Datenschutzgrundsätze der Verordnung sind im Vergleich zum bisherigen Rechtsrahmen unverändert geblieben – für die Datenverarbeitung gelten Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz und eng damit zusammenhängende Prinzipien. Laut neu geschaffenem Rechenschaftsprinzip muss der Datenverarbeitungsverantwortliche nun jedoch die Einhaltung der Datenschutzgrundsätze auch nachweisen. Daher ist zur Risikoverringerung einer Datenschutzüberwachung der aktive Nachweis (Beachtung genehmigter Verhaltenskodizes, Aufbewahrung aller Aufzeichnungen über Datenschutzentscheidungen usw.) für das Einhalten der Datenschutzgrundsätze empfohlen.

 

Rechtmäßigkeit der Verarbeitung

Gemäß der DS-GVO muss für die rechtmäßige Datenverarbeitung eine der folgenden Anforderungen erfüllt sein:
  • eindeutige Einwilligung zur Verarbeitung personenbezogener Daten
  • die Verarbeitung muss für die Ausführung eines Vertrags mit der betroffenen Person oder für die Vorbereitung eines solchen Vertrags erforderlich sein
  • die Verarbeitung muss zur Einhaltung einer gesetzlichen Verpflichtung erforderlich sein
  • die Verarbeitung muss notwendig sein, um lebenswichtige Interessen einer betroffenen Person oder einer anderen Person zu schützen, wenn die Betroffenen nicht einwilligungsfähig sind
  • die Verarbeitung muss für die Wahrnehmung einer Aufgabe erforderlich sein, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt im Verantwortungsbereich des für die Datenverarbeitung Verantwortlichen erfolgt
  • die Verarbeitung muss aus legitimen Interessen erforderlich sein
 
Wenn keine Einwilligung der betroffenen Person vorliegt oder die Datenerhebung nicht nach nationalem oder EU-Recht vorgeschrieben ist, muss nach der Erhebung personenbezogener Daten über eine betroffene Person zu einem bestimmten Zweck die Vereinbarkeit einer Weiterverarbeitung zu anderen Zwecken anhand folgender Faktoren überprüft werden:
  • Verbindung zwischen dem ursprünglichen und dem geplanten neuen Zweck
  • Kontext, in dem Daten gesammelt wurden (insbesondere die Beziehung zwischen den betroffenen Personen und dem Datenverantwortlichen)
  • Art der Daten
  • mögliche Konsequenzen der geplanten Verarbeitung
  • Vorhandensein von Sicherheitsmaßnahmen (einschließlich Verschlüsselung und Pseudonymisierung)

 

Einwilligung

Obwohl die Einwilligung der betroffenen Person auch unter der bisherigen Rechtslage einer der Hauptaspekte bei der Verarbeitung personenbezogener Daten war, betont die neue DS-GVO das Konzept der „Einwilligung" wesentlich stärker. Wenn Datenverantwortliche personenbezogene Daten erheben, indem sie die Zustimmung der betroffenen Personen einholen, muss Folgendes sichergestellt werden:
  • die Einwilligung erfolgt aktiv und nicht „vorab angekreuzt"
  • Trennung der Zustimmung von anderen Vereinbarungen oder Erklärungen, die der betroffenen Person vorgelegt werden, d. h. „gebündelte" Einwilligungen sind unzulässig
  • die Erbringung von Dienstleistungen darf nicht von der Einwilligung zur Verarbeitung personenbezogener Daten abhängig gemacht werden, die nicht für die Dienstleistungserbringung erforderlich sind
  • die betroffenen Personen werden eindeutig darüber informiert, dass die Datenverarbeitung durch sie jederzeit widerrufen werden kann
  • separate Einwilligungen müssen für verschiedene Verarbeitungsaktivitäten widerrufen werden können

 

Sonderregelung für die Einwilligung von Kindern

Die besonderen Regelungen für die Verarbeitung personenbezogener Daten von Kindern besagen, dass bei Erhebung von solchen Daten für Dienste der Informationsgesellschaft, die einem Kind unter 16 Jahren direkt angeboten werden, zusätzlich zur Einwilligung des Kindes auch die Einwilligung der Eltern notwendig ist.

In allen anderen Fällen müssen bezüglich der Einwilligung zur Verarbeitung personenbezogener Daten von Kindern die nationalen Vorschriften befolgt werden, da dieser Bereich den Regelungen der EU-Mitgliedstaaten vorbehalten bleibt.

 

Zugang zu Informationen, Berichtigung und Übertragbarkeit

Gemäß der DS-GVO haben betroffene Personen das Recht, Informationen (d. h. eine Kopie dieser Informationen) zu erhalten und auf die Daten zuzugreifen, die über sie erhoben werden, sowie auf Berichtigung dieser Daten, sollten sie nicht zutreffend sein.

 

Eine weitere Neuerung stellt das Recht auf Datenübertragbarkeit dar. Der Datenverantwortliche ist verpflichtet, personenbezogene Daten auf Anfrage der betroffenen Person einem anderen Datenverantwortlichen in strukturierter, üblicher und maschinenlesbarer Form bereitzustellen. Somit kann die betroffene Person ihre Daten ungehindert weiter übermitteln.

 

Data-Governance-Verpflichtungen

Die Verordnung verstärkt die Pflichten für Unternehmen wesentlich. Unternehmen müssen nun Maßnahmen ergreifen, die sicherstellen, dass die Datenschutzanforderungen gemäß der DS-GVO eingehalten werden.

So besteht nun die Verpflichtung für Unternehmen, eine Datenschutz-Folgenabschätzung (DS-FA) durchzuführen. Die DS-FA ist ein Dokument, mit dem Datensammler Risiken, die mit der Nichteinhaltung der Verordnung verbunden sind, identifizieren und minimieren. Die Datenverantwortlichen müssen sicherstellen, dass die DS-FA ausgeführt wird, bevor eine Aktivität im Zusammenhang mit einer Datenverarbeitung mit „voraussichtlich hohem Risiko“ ausgeführt wird. Eine Datenverarbeitung mit hohem Risiko ist definiert als:
  • Verarbeitung, bei der eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt, die auf automatisierter Verarbeitung, einschließlich Profiling, basiert und auf der Entscheidungen basieren, die Rechtswirkungen in Bezug auf eine natürliche Person hervorrufen oder in ähnlicher Weise die natürliche Person erheblich beeinträchtigen
  • Verarbeitung sensibler personenbezogener Daten und personenbezogener Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten
  • systematische Überwachung eines großen öffentlich zugänglichen Bereichs, z. B. CCTV-Überwachung (Closed Circuit Television – ein geschlossenes System zur Videoüberwachung)

 

Eine weitere Neuerung hält die DS-GVO mit der Bestellung eines Datenschutzbeauftragten (DS-B) parat. Der DS-B ist für die Einhaltung der DS-GVO in einem Unternehmen verantwortlich. Es ist obligatorisch, für jede Organisation, deren Kerntätigkeit Folgendes umfasst, einen Datenschutzbeauftragten zu bestellen:
  • regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang
  • groß angelegte Verarbeitung von sensiblen Daten oder Strafregistern

 

Die Leitlinien für „Kerntätigkeiten“, „regelmäßige und systematische Überwachung“ und „groß angelegte Maßnahmen“ finden sich in den EU-Leitlinien der Artikel-29-Datenschutzgruppe – die wichtigsten Merkmale:
  • Kerntätigkeiten sind als Tätigkeiten definiert, die untrennbar mit der Verfolgung des Ziels durch den Verantwortlichen oder den Verarbeiter verbunden sind, beispielsweise Überwachungsmaßnahmen von Sicherheitsunternehmen zur Sicherung des öffentlichen Raums
  • zu regelmäßiger und systematischer Überwachung zählen zum Beispiel die Verarbeitung personenbezogener Daten in Bezug auf Profiling und Standortverfolgung
  • als groß angelegt gilt etwa die Verarbeitung von Kundendaten einer Bank

 

Bitte beachten Sie, dass die Begriffe „Kernaktivitäten“, „regelmäßige und systematische Überwachung“ und „groß angelegt“ zunächst noch unterschiedlichen Auslegungen unterliegen können und eine abschließende Definition sich erst nach gewisser Zeit und praktischer Erfahrung herausbilden kann.

 

Verstöße gegen personenbezogene Daten und Benachrichtigung

Die neue EU-Verordnung verpflichtet Datenverarbeitungsunternehmen, die Verarbeitungsverantwortlichen über Verletzungen des Schutzes personenbezogener Daten zu unterrichten, diese wiederum müssen die Aufsichtsbehörde über solche Verstöße informieren (spätestens 72 Stunden nach Bekanntwerden). Betroffene Personen müssen ebenfalls über  Verletzungen des Schutzes ihrer personenbezogenen Daten in Kenntnis gesetzt werden.

 

Empfehlungen

  • Führen Sie in Ihrem Unternehmen Richtlinien ein oder überprüfen Sie diese und erstellen Sie entsprechende Unterlagen, um sicherzustellen, dass Ihr Unternehmen die Datenschutzgrundsätze einhält.
  • Überprüfen Sie, ob Ihr Unternehmen die erhobenen personenbezogenen Daten rechtmäßig verarbeitet.
  • Überprüfen Sie die Unterlagen (Formulare) Ihres Unternehmens, und korrigieren Sie diese gegebenenfalls, wobei die Betroffenen in die Verarbeitung ihrer personenbezogenen Daten einwilligen müssen.
  • Überprüfen Sie, ob personenbezogene Daten von Kindern in Ihrem Unternehmen erfasst werden könnten und entwerfen Sie entsprechende Formulare und Dokumente.
  • Erstellen Sie entsprechende Dokumente und stellen Sie technische und organisatorische Mittel zur Verfügung, die es Ihrem Unternehmen ermöglichen, Daten sicher zu übertragen oder betroffenen Personen auf Anfrage eine Kopie dieser Daten bereitzustellen.
  • Überprüfen Sie bei der Beurteilung der verarbeiteten Daten Ihres Unternehmens, ob Sie einen DS-B benennen müssen. Sofern erforderlich, ernennen Sie einen DS-B und erstellen Sie die dafür erforderlichen Unterlagen. Rödl & Partner kann gerne für Sie als DS-B tätig werden.
  • Bereiten Sie Musterdokumente für die Information betroffener Personen und der Aufsichtsbehörden vor.

Aus dem Newsletter

Kontakt

Contact Person Picture

Michael Manke

Rechtsanwalt

Associate Partner

​+370 5 2123 590

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu