Auftakt: Wir starten Artikelreihe zur Datenschutz-Grundverordnung (DSGVO)

Wir wollen die kommenden 12 Monate bis zum Start der Anwendung der DSGVO am 25.05.2018 nutzen, um in regelmäßigen Abständen über Schwerpunkte der Datenschutz-Grundverordnung zu informieren und Tipps zur Umsetzung des neuen Datenschutzrechts in der Unternehmenspraxis zu geben. Die Artikelreihe soll dabei den generellen Handlungsbedarf aufzeigen; eine unternehmensspezifische Datenschutzberatung kann damit nicht ersetzt werden.

Ab dem 25.05.2018 gilt in Deutschland die Datenschutz-Grundverordnung (DSGVO), ein neues, innerhalb der EU vereinheitlichtes Datenschutzrecht. Das seit etwa 30 Jahren in Deutschland anwendbare Bundesdatenschutzgesetz wird am 25.05.2018 durch das erst kürzlich verabschiedete Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) abgelöst. Was bedeutet diese neue Rechtslage aus Unternehmenssicht? Was sind die wichtigsten Schritte, um Unternehmen für die Anforderungen der Datenschutz-Grundverordnung fit zu machen?

Zum Auftakt der Artikelreihe wollen wir einen ersten Überblick über die wesentlichen Neuerungen geben und die damit verbundenen unternehmerischen Notwendigkeiten aufzeigen.

1. Marktortprinzip: Die Datenschutz-Grundverordnung gilt für alle, die Waren und Dienstleistungen in der EU anbieten

Um Wettbewerbsvorteile oder -nachteile zu vermeiden sowie EU-weit ein einheitliches Datenschutzniveau zu sichern, gilt die Datenschutz-Grundverordnung auch für Unternehmen, die keine Niederlassung in der EU haben, aber ihre Produkte oder Dienstleistungen im europäischen Markt anbieten. Dabei ist es unerheblich, ob die Datenverarbeitung in Europa, den USA, Australien oder in sonstigen Ländern erfolgt. Datenschutzvorschriften kann daher zukünftig nicht mehr mit einer Verlagerung des Unternehmenssitzes ausgewichen werden.

2. Höherer Sanktionsrahmen für Datenschutzverstöße durch Unternehmen. Auch Dienstleister (Auftragsverarbeiter) in der Pflicht

Während nach geltendem Recht für Datenschutzverstöße Bußgelder bis maximal 300.000,00 € verhängt werden können, beläuft sich der Sanktionsrahmen der Datenschutz-Grundverordnung auf bis zu 20 Mio. € oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmens. Neu ist, dass Bußgelder auch gegenüber Dienstleistern verhängt werden können, die lediglich Daten im Auftrag eines anderen Unternehmens verarbeiten und die bisher bei Datenpannen nicht als verantwortliche Stelle haftbar waren. Inwieweit die Aufsichtsbehörden von diesem Bußgeldrahmen zukünftig Gebrauch machen werden, wird die Praxis zeigen; jedenfalls verfolgt die Datenschutz-Grundverordnung den Anspruch wirksamer, verhältnismäßiger aber auch abschreckender Sanktionen. Der neue Bußgeldrahmen gilt ohne Übergangsfrist ab dem 25.05.2018.

3. Stärkung der Betroffenenrechte: Unternehmen müssen Recht auf „Vergessenwerden“, Datenübertragbarkeit (Portabilität) und datenschutzfreundliche Voreinstellungen („Privacy by Design“/ „Privacy by Default“) gewährleisten

Ein wichtiges Ziel der Datenschutz-Grundverordnung ist die Stärkung der Betroffenenrechte. So soll etwa dem bereits bestehenden Recht auf Löschung im Netz mehr Geltung verschafft werden. Hat ein Unternehmen Daten oder Fotos von Betroffenen öffentlich gemacht, zu deren Löschung es verpflichtet ist, etwa nach Widerruf der erforderlichen Einwilligung, müssen angemessene Maßnahmen ergriffen werden, um anderweitige Auffindbarkeit der Daten im Netz zu verhindern, etwa in dem andere Webseiten- oder Suchmaschinenbetreiber zur Löschung von Links aufgefordert werden.

Neu ist auch das Recht auf Datenübertragbarkeit. Danach sind Unternehmen aufgefordert, interoperable Formate zu entwickeln, um die Übertragbarkeit von durch Kunden bereitgestellte Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu ermöglichen.
Weiterhin sind Onlinedienste und Software so zu organisieren, dass datensparsame Voreinstellungen durch das anbietende Unternehmen erfolgen („Privacy by default“). Verarbeitet ein Unternehmen etwa pseudonymisierte Daten, die nur durch Kenntnis zusätzlicher Informationen einen unmittelbaren Personenbezug erlauben, kann dies bei der Entscheidung ob und in welcher Höhe ein Bußgeld bei Datenpannen verhängt wird, zugunsten des Unternehmens berücksichtigt werden.

4. Weitreichende Informationspflichten umsetzen. Datenschutzerklärungen anpassen

Die Anforderungen an Umfang und Form der Information über die Datenverarbeitung werden erheblich erweitert. Diese Informationspflichten gelten nicht nur für Onlinedienste, sondern treffen jedes Unternehmen, welches Daten beim Betroffenen erhebt oder von anderer Stelle erhält. Bisher verwendete Datenschutzerklärungen müssen wesentlich erweitert werden, etwa um die Angaben von Rechtsgrundlagen und weiterer Voraussetzungen der Datenverarbeitung, der Nennung von Garantien bei der Übermittlung von Daten in Drittstaaten sowie der Angabe der Kontaktdaten des Datenschutzbeauftragten.

5. Anforderungen an die Datenschutzorganisation im Unternehmen: betrieblicher Datenschutzbeauftragter, Datenschutzmanagementsystem, Datenschutzfolgenabschätzung

Die neue Rechtslage ändert nichts an der grundsätzlichen Bestellpflicht eines betrieblichen Datenschutzbeauftragten in Unternehmen mit Sitz in Deutschland, in denen mindestens 10 Mitarbeitern ein IT-basierter Arbeitsplatz zur Verfügung steht. Darüber hinaus fordert die Datenschutz-Grundverordnung die Einführung und Umsetzung eines Datenschutzmanagementsystems, um die Rechtskonformität der Datenverarbeitung sicherzustellen und nachweisen zu können. Wenn durch die Verwendung neuer Technologien voraussichtlich ein hohes Risiko besteht, dass Rechte und Freiheiten Betroffener verletzt werden, ist eine Datenschutz-Folgenabschätzung durchzuführen, die die bisherige Vorabkontrolle ersetzt.

Wir werden diese Reihe fortsetzen, indem wir für Unternehmen relevante Aspekte vertiefen und Handreichungen zur Implementierung eines Datenschutzmanagementsystems in Unternehmen geben, um die Gefahr von Rechtsverstößen, Datenverlust und –Diebstahl zu minimieren.