Die Zeit nutzen

EU-Datenschutzgrundverordnung: Unternehmen sollten nicht abwarten, sondern jetzt handeln
Ein Gastbeitrag von Dr. Daniel A. Pauly und Clara Bormann

Beitrag als PDF (Download)

Am 15.12.2015 haben die Verhandlungsführer der Europäischen Kommission, des Europäischen Parlaments und des Ministerrats eine politische Einigung über die Datenschutzgrundverordnung (DS-GVO) erzielt. Die Verabschiedung der DS-GVO erfordert nun noch die formalen Bestätigungen des Entwurfs durch Parlament und Ministerrat, die für das zweite Quartal 2016 angekündigt sind. Nach einer Umsetzungsfrist von zwei Jahren wird die Verordnung dann 2018 in allen EU-Mitgliedstaaten in Kraft treten.

Die DS-GVO löst die Datenschutzrichtlinie 95/46/EG ab und wird alle Wirtschaftsbereiche in Europa und Drittstaaten maßgeblich beeinflussen. Während die Datenschutzrichtlinie von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste, was zwangsläufig zu Unschärfen und Unterschieden führte, wird die DS-GVO unmittelbar anwendbares Recht mit verbindlichen Vorgaben in allen Mitgliedstaaten. Unterschiede bleiben nur dort, wo EU-Mitgliedstaaten bereichsspezifische Regelungen erlassen dürfen, wie etwa im Beschäftigtendatenschutz.

Rückgriff auf Altbewährtes

Wesentliche Grundregeln in der DS-GVO ähneln denen der Datenschutzrichtlinie. So statuiert auch die DS-GVO in Art. 6 ein präventives Verbot mit Erlaubnisvorbehalt, wonach jede Nutzung personenbezogener Daten verboten ist, es sei denn, sie ist ausdrücklich erlaubt. Auch die aus der Richtlinie und dem deutschen Bundesdatenschutzgesetz (BDSG) bekannten Erlaubnistatbestände wie insbesondere Einwilligung, Vertragsdurchführung und Interessenabwägung finden sich in der DS-GVO wieder.

Wesentliche Neuerungen für die Unternehmenspraxis

Anwendungsbereich

Die grundlegendste Neuerung betrifft den Anwendungsbereich. Bislang war es schwierig, im Nicht-EU-Ausland tätige Datenverarbeiter zu erfassen. Die DS-GVO hat demgegenüber einen weiten Anwendungsbereich und findet nicht nur auf verantwortliche Stellen innerhalb der EU (Art. 3 Abs. 1 DS-GVO), sondern auch auf Unternehmen außerhalb der EU und Auftragsdatenverarbeiter Anwendung, sofern diese ihre Aktivitäten auf EU-Bürger ausrichten (Marktortprinzip; Art. 3 Abs. 2 DS-GVO). Für nichteuropäische Unternehmen bahnt sich damit ein Paradigmenwechsel an.

Meldung von Datenschutzverstößen

Künftig müssen verantwortliche Stellen jeden Datenschutzverstoß, der die Rechte und Freiheiten der Betroffenen beeinträchtigen könnte, innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden (Art. 31 DS-GVO). Diese Verpflichtung schärft insofern die bereits im BDSG verankerte Informationspflicht, als § 42a BDSG nur auf die unrechtmäßige Übermittlung, nicht jedoch auf jeden Datenschutzverstoß, und auch nur auf einen bestimmten Datensatz, nicht jedoch auf jegliche personenbezogenen Daten abstellt. Die nunmehr eingeführte Frist verlangt von Unternehmen, Prozesse für solche Meldungen zu implementieren und zu üben. Ansonsten werden 72 Stunden kaum einzuhalten sein.

Folgenabschätzung

Neu eingeführt wurde die Datenschutzfolgenabschätzung: Wenn Unternehmen zukünftig Datenverarbeitungstechnologien entwickeln, müssen sie zuvor prüfen, inwiefern sich diese auf den Schutz personenbezogener Daten auswirken können (Art. 33 DS-GVO). Ergibt die Prüfung, dass ein hohes Risiko für personenbezogene Daten besteht, muss die verantwortliche Stelle die Aufsichtsbehörde zur Beratung und Risikominimierung konsultieren.

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Auch Datenschutz durch Technik (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) sind neue Konzepte. Datenschutz durch Technik bedeutet, dass bereits während der Entwicklung angemessene technische und organisatorische Maßnahmen zu ergreifen sind, um einen angemessenen Datenschutzstandard zu erreichen (etwa Pseudonymisierung; Art. 23 Abs. 1 DS-GVO). Eine Voreinstellung ist dann datenschutzfreundlich, wenn nur so viele personenbezogene Daten verarbeitet werden, wie, gemessen am jeweiligen Zweck, erforderlich. Damit wird insbesondere der gängigen Praxis ein Riegel vorgeschoben, Nutzer aktiv durch werkseitig gesetzte Häkchen zur Nutzung von Cloudangeboten zu motivieren.

Recht auf Vergessenwerden

Dem Einzelnen gewährt die DS-GVO Rechte, die ebenfalls unmittelbar in unternehmensinternen Abläufen zu reflektieren sind. Das prominenteste Beispiel hierfür ist das Recht auf Vergessenwerden (Art. 17 DS-GVO), basierend auf der Google-Entscheidung des EuGH (Urteil vom 13.05. 2014 – Az.C-131/12). Danach können Betroffene vom Datenverarbeiter die Löschung ihrer personenbezogenen Daten verlangen, sofern diese nicht mehr für den Zweck notwendig sind, für den sie erhoben wurden (Art. 17 Abs. 1b DS-GVO). Insoweit sollte sich der Anpassungsaufwand für deutsche Unternehmen jedoch in Grenzen halten, weil das BDSG bereits heute eine entsprechende Regelung vorsieht (§ 35 Abs. 2 Nr. 4).

Datenschutzbeauftragter

Die Pflicht zu Bestellung eines Datenschutzbeauftragten bleibt sogar hinter dem zurück, was derzeit das BDSG festlegt: Ein Unternehmen muss nur dann einen Datenschutzbeauftragten bestellen, sofern die Kerntätigkeit des Unternehmens die regelmäßige und systematische Überwachung von Betroffenen ist oder sensible Daten verarbeitet werden (Art. 35 DS-GVO). Anstelle der Bestellung eines Datenschutzbeauftragten in jeder Gesellschaft ist die Ernennung eines solchen für alle europäischen Gesellschaften möglich.

Einwilligung

Auch im Bereich der Einwilligung (Art. 7 ff. DS-GVO) ergeben sich für viele Mitgliedstaaten Verschärfungen. Für deutsche Unternehmen ändert sich wiederum nicht allzu viel, da die entsprechenden Regelungen des BDSG offensichtlich Pate standen. So muss die Einwilligung eindeutig erklärt werden (Art. 7 Abs. 1 DS-GVO), und eine schriftliche Einholung muss separat von anderen Erklärungen erfolgen (Art. 7 Abs. 2 DS-GVO).

Neu ist dagegen auch für deutsche Unternehmen, dass Kinder und Jugendliche bis zu einem Alter von 16 Jahren nur mit dem Einverständnis der Erziehungsberechtigten einwilligen können (Art. 8 DS-GVO). Den EU-Mitgliedstaaten steht es allerdings frei, die Altersgrenze auf 13 Jahre herabzusetzen. Dies sollten sowohl große Unterhaltungskonzerne, die Kinder und Jugendliche als Zielgruppe haben, als auch die Anbieter sozialer Medien im Auge behalten.

Profiling

Profiling ist ausdrücklich geregelt: Der Betroffene hat nach Art. 20 Abs. 1 DS-GVO das Recht, nicht Gegenstand automatischer Prozesse zu sein, die sein Verhalten aufzeichnen (Opt-out). Es sind Mechanismen einzubauen, so dass automatische Prozesse nicht pauschal die Daten sämtlicher Nutzer aufzeichnen. Unternehmen werden dies unter anderem zu beachten haben, wenn sie auf ihren Internetseiten Cookies verwenden.

Sanktionen und Haftungsverschärfungen

Schließlich betrifft eine wesentliche Neuerung das Sanktionensystem. Während nach dem BDSG bei Datenschutzverstößen ein Bußgeld in Höhe von bis zu 50.000 Euro oder 300.000 Euro verhängt werden kann und gegebenenfalls Gewinne abgeschöpft werden können, sind die Sanktionen für Verstöße gegen die DS-GVO weitreichender: Die Behörden können nach Art. 79 DS-GVO Strafzahlungen in Höhe von bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens bzw. bis zu 20 Millionen Euro verhängen. Damit werden dem bisherigen „Papiertiger Datenschutz“ Zähne verpasst. Selbst für große Unternehmen und amerikanische Verhältnisse ist damit die mögliche Höhe einer Strafe künftig empfindlich.

Des Weiteren ergeben sich Haftungsverschärfungen für Auftragsdatenverarbeiter. Sie werden stärker zur Verantwortung gezogen (Art. 70 DS-GVO) und haften mit den verantwortlichen Stellen gegenüber Betroffenen gesamtschuldnerisch (Art. 77 Nr. 4 DS-GVO).

To-dos bis zum Inkrafttreten

Die DS-GVO wird zwar nicht vor 2018 in Kraft treten, dennoch besteht auch für deutsche Unternehmen schon jetzt Handlungsbedarf. Sie werden ihre datenverarbeitenden Prozesse auf den Prüfstand stellen müssen:

• Ist das Unternehmen neuerdings von den Regelungen betroffen, etwa aufgrund einer direkten Haftung als Auftragsdatenverarbeiter?
• Sind Kundenmaterialien mit den neuen Einwilligungs- und Transparenzanforderungen vereinbar?
• Sollte eine zentrale Verletzungsmanagementstelle zur Meldung von Verletzungen geschaffen werden, um im Ernstfall die 72-Stunden-Frist einhalten zu können?
• Sind interne Prozesse zur Sicherstellung des Datenschutzes durch Technik und für datenschutzfreundliche Voreinstellungen zu entwickeln und zu implementieren?
• Besteht zukünftig die Pflicht zur Bestellung eines Datenschutzbeauftragten?
• Müssen Datenschutzklauseln in Verträgen angepasst werden?
• Bedarf es neuer oder angepasster technischer und organisatorischer Prozesse für eine Widerspruchsmöglichkeit und der Umsetzung des Rechts auf Vergessenwerden?
• Ist die nationale Gesetzgebung zu verfolgen, um Gesetzgebungsinitiativen frühzeitig zu erkennen, die von der DS-GVO ausgesparte Bereiche wie insbesondere den Beschäftigtendatenschutz regeln?
• Wie wird die Richtlinie zur Netz- und Informationssicherheit umgesetzt, und welche Reichweite hat das neue IT-Sicherheitsgesetz?

daniel.pauly@linklaters.com

clara.bormann@linklaters.com

Hinweis der Redaktion:

Am 18.04.016 findet nachmittags im F.A.Z.-Redaktionsgebäude ein AnwaltSpiegel-Roundtable statt, der sich mit den Praxisfolgen der Datenschutzgrundverordnung für Unternehmen beschäftigt. Neben unserem Autor Dr. Daniel A. Pauly referieren der hessische Landesdatenschutzbeauftragte Prof. Dr. Michael Ronellenfitsch sowie Christian Sahl, Senior Manager Digitalisierung, Innovation und Gesundheitswirtschaft im Bundesverband der Deutschen Industrie. Als Unternehmens- oder Verbandsvertreter können Sie sich gleich HIER kostenfrei anmelden. (tw)