Datenschutz-Grundverordnung - Neuerungen und Praxishinweise

Die Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft und gilt unmittelbar in sämtlichen Ländern der Europäischen Union. Das bedeutet, dass es keines nationalen Gesetzgebungsaktes mehr Bedarf, damit die Regelungen, z. B. in Deutschland, Anwendung finden. Ab diesem Datum müssen also auch deutsche Unternehmen die Regelungen der Datenschutz-Grundverordnung beachten. Die Datenschutz-Grundverordnung können Sie hier einsehen.

Kommt Ihr Unternehmen den spezifischen Pflichten nicht nach, so drohen sehr hohe Bußgeldzahlungen. Ein solches Bußgeld kann bis zu 20.000.000,-- € oder 4 % des weltweiten Konzernumsatzes betragen, je nachdem, welcher Wert höher ist.

Zudem handelt das Unternehmen in der Regel wettbewerbswidrig, wenn gegen datenschutzrechtliche Vorgaben verstoßen wird. Kostenpflichtige Abmahnungen durch Mitbewerber können die weitere Folge sein. Da viele Datenschutzerklärungen online einsehbar sind, ist die Abmahnungsgefahr tatsächlich sehr hoch.

Nachfolgend skizzieren wir Ihnen daher in der gebotenen Kürze die wichtigsten Grundsätze des Datenschutzrechts und die kommenden Änderungen durch die Datenschutz-Grundverordnung (nachfolgend auch „DS-GVO“ genannt). Eine Rechtsberatung im Einzelfall kann dieser Überblick naturgemäß nicht ersetzen.

1. Personenbezogene Daten

Worum geht es: Die Datenschutz-Grundverordnung regelt die Handhabe mit personenbezogenen Daten (nachfolgend auch „Daten“ genannt) der Betroffenen (z. B. Internetbesucher Ihres Webauftritts, Kunden Ihres Unternehmens, Arbeitnehmer, Mieter etc.).

Personenbezogene Daten können sein:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtstag
  • Kontodaten
  • Standortdaten
  • IP-Adressen
  • Cookies
  • Nutzer-Tracking

 

2. Welche Unternehmen betrifft die Datenschutz-Grundverordnung?

Verkürzt ausgedrückt: jedes.

Dass ein Unternehmen keine personenbezogenen Daten erhebt, ist beinahe unmöglich. Selbst Unternehmen, die keine Niederlassung in der Europäischen Union haben, aber personenbezogene Daten von Unionsbürgern erheben, unterliegen der Datenschutz-Grundverordnung (Marktortprinzip). Auch ein US-amerikanisches oder asiatisches Unternehmen kann somit betroffen sein.

3. Datenschutzrechtliche Grundsätze und die Neuerungen

Die Grundsätze der Datenverarbeitung ergeben sich insbesondere aus Art. 5 DS-GVO.

a.) Verbot mit Erlaubnisvorbehalt

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten (nachfolgend auch „Datenverarbeitung“ genannt) ist grundsätzlich verboten, es sei denn, die

  • betroffene Person hat eingewilligt oder
  • es ist ausnahmsweise per Gesetz erlaubt (z. B. gem. Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Telemediengesetz etc.).

 

b.) Datenminimierung

Daten der Betroffenen dürfen nur insoweit erhoben und verarbeitet werden, wie sie tatsächlich benötigt werden (z. B. zur Vertragsabwicklung).

c.) Zweckbindung

Daten dürfen nur für den Zweck verarbeitet werden, für die sie erhoben worden sind.

d.) Datenrichtigkeit

Die gespeicherten Daten müssen stets sachlich richtig und aktuell gehalten werden.

e.) Dauer der Speicherung

Die Daten dürfen nur so lange gespeichert werden, wie es für die Erreichung des Zweckes notwendig ist.

f.) Datensicherheit

Eine angemessene Sicherheit bei der Verarbeitung und insbesondere der Speicherung der Daten ist zu gewährleisten (z. B. Schutz vor unberechtigtem Zugriff). Die Anforderungen an die Datensicherheit sind durch die Datenschutz-Grundverordnung verschärft worden (Art. 32 DS-GVO).

Je nachdem welche Risiken von den Daten für den Betroffenen ausgehen, wenn sie z. B. durch Unberechtigte aufgrund eines Datenlecks eingesehen werden können, gilt u. a. als angemessenes Schutzniveau die Pseudonymisierung und Verschlüsselung der Daten.

g.) Recht auf Löschung, Recht auf Vergessenwerden

Das Recht des Betroffenen auf Löschung seiner Daten ist in der Datenschutz-Grundverordnung nun ausdrücklich geregelt worden (Art. 17 DS-GVO).

Das Unternehmen muss die Daten des Betroffenen u. a. in den folgenden Fällen unverzüglich löschen:

  • Der Zweck für die Datenverarbeitung ist erreicht und eine weitere Verarbeitung ist somit nicht mehr notwendig (Art. 17 a DS-GVO).
  • Der Betroffene widerruft seine Einwilligung in die Datenverarbeitung (Art. 17 b DS-GVO).
  • Die Datenverarbeitung war unrechtmäßig (Art. 17 d DS-GVO).

 

Hat das Unternehmen die Daten Dritten (z. B. anderen Unternehmen) weitergegeben, so muss es grundsätzlich Sorge dafür tragen, dass auch diese Dritten über das Löschungsgesuch des Betroffenen informiert werden.

h.) Recht auf Datenübertragbarkeit, Datenportabilität

Neu ist das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO).

Der Betroffene kann von dem Unternehmen verlangen, dass seine Daten in einem „gängigen (z. B. Datei-) Format“ sowohl ihm als auch einem anderen Unternehmen direkt übermittelt werden.

Praktisch wird das z. B. in folgenden Fällen relevant:

  • Wechsel der Bank
  • Wechsel des Arbeitgebers
  • Wechsel des Arztes
  • Wechsel des Vermieters
  • Wechsel des sozialen Netzwerkes

 

i.) Rechenschaftspflicht

Neu ist die Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO).

Für die Einhaltung u. a. der o. g. Grundsätze ist das Unternehmen rechenschaftspflichtig.

Bei Aufforderung müssen Sie daher die Einhaltung aller Datenschutzprinzipien sowie weitere Vorgaben der Datenschutz-Grundverordnung nachweisen können.

Wir empfehlen Ihnen daher, ein effektives Datenschutzmanagement einzurichten und die Einhaltung der Datenschutzanforderungen zu dokumentieren. Nur so können Sie die ordnungsgemäße Handhabe der Daten gegenüber der Aufsichtsbehörde nachweisen. In der Regel ist die jeweilige Datenschutzaufsichtsbehörde des Bundeslandes zuständig, indem das Unternehmen seine Hauptniederlassung hat.

Kommt das Unternehmen dem nicht nach, kann allein deswegen ein Bußgeld bis zu der eingangs erwähnten Höhe verhängt werden.

j.) Meldung von Datenverletzungen, Datenlecks

Kommt es zu einer Datenverletzung, z. B. Verlust über die Kontrolle der Daten, Einblick unberechtigter Dritter in vertrauliche Daten, Aufhebung der Pseudonymisierung, muss diese Datenverletzung u. U. unverzüglich und möglichst binnen 72 Stunden der Aufsichtsbehörde und dem Betroffenen gemeldet werden (Art. 33 und 34 DS-GVO).

k.) Privacy by Design, Privacy by Default

Die Datenschutz-Grundverordnung schreibt nun ausdrücklich vor, dass per Standard- bzw. Voreinstellung die Prinzipien der Datenvermeidung und Datensparsamkeit eingehalten werden.

Das Unternehmen muss somit sicherstellen, dass Standardeinstellungen darauf ausgerichtet sind, nur Daten zu verarbeiten, die für den konkreten Zweck auch erforderlich sind. Das betrifft den Umfang der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.

So müssen Einwilligungen (z. B. in die AGB, Newsletter-Anmeldung, Datenschutzerklärung etc.) mit einem Opt-In Kästchen versehen werden. Das Opt-Out-Verfahren ist grundsätzlich nicht ausreichend, sodass vorangekreuzte Kästchen keine wirksame Einwilligung bewirken.

Dass eine wirksame Einwilligung vorliegt, müssen Sie nachweisen können.

l.) Auftragsdatenverarbeitung

Die Datenverarbeitung im Auftrag – auch Auftragsdatenverarbeitung genannt – ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister auf Weisung des Auftraggebers bzw. eines Unternehmens. Sie dient dazu, das Outsourcing von Datenverarbeitung datenschutzrechtlich abzusichern.

Auftragsdatenverarbeiter können sein:

  • externe Marketingunternehmen
  • externe Kundencenter (z. B. Callcenter)
  • externe Newsletter-Anbieter
  • externe Rechenzentren
  • Cloud-Computing

 

Bei der Auftragsdatenverarbeitung ist auch nach der DS-GVO weiterhin Ihr Unternehmen der vorrangige Ansprechpartner für den Betroffenen und für die Einhaltung der Datenschutzvorgaben zuständig.

Neu ist, dass auch der Auftragsdatenverarbeiter neben Ihrem Unternehmen mitverantwortlich für den Datenschutz ist. Die jeweilige Aufgabenverteilung und somit zu tragende Verantwortung ist folglich festzulegen.

Auftragsdatenverarbeiter müssen daher u. a.:

  • ein Verzeichnis zu allen Kategorien von im Auftrag durchgeführten Tätigkeiten der Verarbeitung erstellen (Art. 30 DS-GVO),
  • mit der Aufsichtsbehörde zusammenarbeiten (Art. 31 DS-GVO) und
  • technische und organisatorische Maßnahmen zur Datensicherheit ergreifen (Art. 32 DS-GVO).

 

m.) Übermittlung von Daten in Drittländer

Eine Übermittlung von Daten in Länder außerhalb der Europäischen Union ist nur gestattet, wenn dort ein vergleichbares Schutzniveau für Daten gegeben ist. Ob ein vergleichbares Schutzniveau gegeben ist, bestimmt sich nach den Regelungen der Datenschutz-Grundverordnung.

Für die Praxis wichtig: Grundsätzlich besteht in den USA kein vergleichbares Schutzniveau für Daten, wie in der Europäischen Union. Wie bisher können Datenübermittlungen in die USA jedoch über das vereinbarte Abkommen „Privacy Shield“ durchgeführt werden.

Voraussetzung ist, dass sich die Unternehmen mit Sitz in den USA in eine entsprechende Liste eintragen und sich selbst dazu verpflichten, die durch das Abkommen definierten Garantien und Beschränkungen einzuhalten. Der Datenübermittler hat im Vorfeld der Übermittlung zu überprüfen, ob das betreffende US-Unternehmen in dieser Liste des US-Handelsministeriums gelistet ist und ob das Ablaufdatum der Zertifizierung noch in der Zukunft liegt.

n.) Besondere personenbezogene Daten

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist grundsätzlich untersagt.

Nur unter bestimmten gesetzlichen Voraussetzungen ist eine Verarbeitung dieser besonderen personenbezogenen Daten ausnahmsweise möglich. Insbesondere Krankenhäuser, Arztpraxen und medizinische Versorgungszentren betrifft diese Regelung.

4. Datenschutzerklärung

Die Datenschutzerklärung Ihres Unternehmens muss alle gesetzlichen Informations- und Belehrungspflichten enthalten. Um dies zu gewährleisten muss die Datenschutzerklärung

  • präzise,
  • transparent,
  • verständlich,
  • leicht zugänglich und
  • in klarer und einfacher Sprache verfasst sein.

 

Kommt Ihr Unternehmen dem nicht nach, so droht die Verhängung der eingangs erwähnten Bußgelder. Zudem sind Datenschutzerklärungen vielfach online einsehbar, sodass kostenpflichtige Abmahnungen seitens der Mitbewerber drohen.

5. Spezialthematik: Beschäftigtendatenschutz, Pflichten für Arbeitgeber

Zielgruppe der neuen Regelungen sind nicht nur Arbeitgeber, sondern jede verantwortliche Stelle, die Daten von Beschäftigten verarbeitet, z. B.:

  • Personalvermittler
  • Betriebsräte
  • Behörden

 

Beschäftigte im Sinne von § 26 Bundesdatenschutzgesetz (gültig ab Mai 25. Mai 2018 aufgrund der Datenschutz-Grundverordnung) sind nicht nur Arbeitnehmer, sondern auch z. B.:

  • Bewerber
  • Auszubildende
  • arbeitnehmerähnliche Personen
  • Beamte

 

Grundsätzlich dürfen Daten nur dann verarbeitet werden, wenn dies für die Entscheidung über die Einstellung eines Bewerbers oder zur Durchführung oder Beendigung eines Arbeitsverhältnisses erforderlich ist.

Ferner, wenn die Datenverarbeitung zur Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Wichtig für die Praxis: Eine Betriebsvereinbarung kann somit als Rechtsgrundlage für eine Datenverarbeitung dienen, wenn sie den Anforderungen der DS-GVO entspricht.

Ob und wann die Erhebung bestimmter Daten erforderlich ist, muss dabei immer anhand des konkreten Einzelfalls geprüft werden. Dabei sind die ggf. kollidierenden Arbeitgeber- und Arbeitnehmerinteressen abzuwägen. Diese Abwägung muss auf Grundlage der bisherigen Rechtsprechungspraxis unter Berücksichtigung der Bestimmungen der Datenschutz-Grundverordnung erfolgen.

Grundsätzlich sollte die Einwilligung des Beschäftigten in die Datenverarbeitung eingeholt werden, damit Rechtsunsicherheiten bezüglich der ordnungsgemäßen Datenerhebung reduziert werden können. Diese Einwilligung des Beschäftigten muss freiwillig sein und schriftlich (Unterschrift des Beschäftigten) erfolgen.

Dem Beschäftigten steht bezüglich seiner Einwilligung ein jederzeitiges Widerrufsrecht zu. Der Arbeitgeber muss den Beschäftigten über dieses Widerrufsrecht als auch über den Zweck der Datenverarbeitung in Textform (E-Mail, Papier etc.) aufklären und zwar vor Abgabe seiner Einwilligungserklärung.

Der Arbeitgeber muss geeignete Maßnahmen ergreifen, damit die Datenschutzprinzipien gem. Art. 5 DS-GVO eingehalten werden. Er ist dafür rechenschafts- und dokumentationspflichtig.

Kommt es zu einer Klage eines Arbeitnehmers ist der Arbeitgeber beweispflichtig, dass er seinen datenschutzrechtlichen Pflichten nachgekommen ist.

Vorgenannte Pflichten des Arbeitgebers sind zusätzliche. Es gelten auch die unter Ziffer 3 genannten. Kommt das Unternehmen seinen datenschutzrechtlichen Pflichten nicht nach, so droht die Verhängung der eingangs erwähnten Bußgelder.

6. Compliance-Strategie

Um kostenintensiven datenschutzrechtlichen Verstößen zu entgehen, sollten Sie Ihre unternehmensinternen Datenprozesse prüfen und eine Compliance-Strategie entwickeln.

Eine solche Compliance-Strategie sollte u. a. folgende Überlegungen beinhalten:

  • Analyse der datenschutzrelevanten Vorgänge
  • datenschutzkonforme Vertragsgestaltung (Datenschutzerklärung, Einwilligungserklärung, Arbeitsvertrag, Mietvertrag etc.)
  • Werden die Daten an Dritte (z. B. andere Unternehmen, siehe Auftragsdatenverarbeitung) weitergegeben bzw. erheben die anderen Unternehmen diese auftragsgemäß für Ihr Unternehmen?
  • Haben Ihre Geschäftspartner Zugriff auf Daten z. B. Ihrer Kunden oder Beschäftigten? Wenn ja, dann schließen Sie mit ihnen eindeutige Vereinbarungen, um Haftungsthematiken zu reduzieren.
  • Beachtung und Dokumentation der Belehrungs- und Informationspflichten

 

7. Resümee

Mit diesem Artikel hoffen wir, Sie hinsichtlich der kommenden Datenschutz-Grundverordnung ein wenig sensibilisiert zu haben. Die Datenschutz-Grundverordnung erfordert zunächst eine gründliche Durchleuchtung der datenschutzrelevanten Unternehmensabläufe.

Sind die Vorgaben der Datenschutz-Grundverordnung einmal umgesetzt, bringt sie viele Vorteile mit sich. Wenn Ihr Unternehmen den Regelungen der Datenschutz-Grundverordnung entspricht, steht einem ungestörten Datenaustausch in der gesamten Europäischen Union nichts mehr im Wege.

Wir unterstützen Sie in allen vorgenannten Themen umfassend. Dies betrifft insbesondere die Prüfung der vorhandenen Datenverarbeitungsabläufe auf rechtliche Zulässigkeit, die Abfassung der erforderlichen Datenschutzerklärungen und die Einrichtung eines Compliance Management Systems. 

Für ein erstes Gespräch wenden Sie sich bitte an Rechtsanwalt Tino Ludden:

T: +49 30 31 57 57 40 

E: tino.ludden@ses-legal.de

Der vollständige Artikel steht hier zum Download bereit.