Am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Dadurch werden unmittelbar das bisherige Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) abgelöst.

Zeit­gle­ich tritt ein dazuge­höriges deutsches Ergänzungs­ge­setz (Daten­schutz-Anpas­sungs- und ‑Umset­zungs­ge­setz – DSAn­pUG) in Kraft, das die DSGVO zum Teil mod­i­fiziert und konkretisiert.

Die DSGVO wird durch die noch in Abstim­mung befind­liche EU-E-Pri­va­cy-Verord­nung, die eben­falls am 25. Mai 2018 in Kraft treten soll und Inter­net- und Teleme­di­en­di­en­ste bet­rifft, ergänzt.

Keine Änderung der Grundprinzipien

Die DSGVO schreibt die bekan­nten daten­schutzrechtlichen Grund­prinzip­i­en fort. Die Grund­sätze des „Ver­bots mit Erlaub­nisvor­be­halt“, der „Datensparsamkeit“, der „Zweck­bindung“ und der „Trans­parenz“ haben auch zukün­ftig Bestand.

Im Mit­telpunkt des Daten­schutzes ste­ht auch in Zukun­ft die Daten­sicher­heit. So kann eine Pseu­do­nymisierung oder Ver­schlüs­selung erforder­lich sein. Ver­al­tete Ver­schlüs­selungs­stan­dards kön­nen sog­ar mit Bußgeldern in Höhe von bis zu 2 % des Vor­jahre­sum­satzes belegt wer­den. Daten­ver­ar­beitung und auch Auf­tragsver­ar­beitung ist in Drittstaat­en weit­er­hin nur zuläs­sig, wenn dort ein angemessenes Daten­schutzniveau gewährleis­tet ist.

Betrof­fe­nen­rechte wer­den durch Trans­parenz, proak­tive Benachrich­ti­gungspflicht­en, Auskunfts‑, Berich­ti­gungs- und Löschungsansprüche gewährleis­tet. Eine beson­dere Aus­prä­gung des Löschungsanspruchs stellt das „Recht auf Vergessen­wer­den“ dar.

Wichtige Neuerungen

Jede Stelle muss zukün­ftig nach­weisen kön­nen, dass sie ein Gesamtkonzept zur Ein­hal­tung des Daten­schutzes besitzt, das sie regelmäßig kon­trol­liert und weiterentwickelt.

Nach der DSGVO müssen Unternehmen per­so­n­en­be­zo­gene Dat­en auf Antrag in einem gängi­gen und maschi­nen­les­baren For­mat entwed­er an den User oder gle­ich an ein anderes Unternehmen übergeben kön­nen. Neben diesem Recht auf Datenüber­trag­barkeit wer­den Betrof­fene ein all­ge­meines Wider­spruch­srecht gegen eine an sich recht­mäßige Ver­ar­beitung von per­so­n­en­be­zo­ge­nen Dat­en, die im öffentlichen Inter­esse liegt, in Ausübung öffentlich­er Gewalt oder auf­grund des berechtigten Inter­ess­es des Ver­ant­wortlichen oder eines Drit­ten erfol­gte, erhal­ten. Der Ver­ant­wortliche darf dann die Dat­en nur noch ver­ar­beit­en, wenn er zwin­gende berechtigte Gründe für die Ver­ar­beitung nach­weisen kann, die die Inter­essen, Rechte und Frei­heit­en des Betrof­fe­nen überwiegen.

Die DSGVO stärkt die Rechte der Auf­sichts­be­hör­den. Für inter­na­tionale Organ­i­sa­tio­nen ist nur noch die Daten­schutz-Auf­sichts­be­hörde an ihrem Haupt­sitz in der EU zuständig („fed­er­führende Auf­sichts­be­hörde“). Betrof­fene kön­nen sich an ihre jew­eils näch­st­gele­gene Auf­sichts­be­hörde wen­den, die das Anliegen dann weit­er­leit­en muss. Die Behör­den müssen sich untere­inan­der abstimmen.

Auch die Sank­tion­s­möglichkeit­en der Auf­sichts­be­hör­den wer­den erhe­blich aus­gedehnt: Der Bußgel­drah­men wird deut­lich erhöht und kann bis zu 20 Mio. Euro oder 4 % des gesamten weltweit erziel­ten Jahre­sum­satzes betra­gen, je nach­dem, welch­er Betrag höher ist.

Neu im Daten­schutz-Schaden­srecht sind der Direk­tanspruch des Betrof­fe­nen gegen den Auf­tragsver­ar­beit­er und eine Beweis­las­tumkehr für Datenschutzverletzungen.

Her­aus­ra­gende Bedeu­tung des tech­nis­chen und organ­isatorischen Daten­schutzes haben die Regelun­gen zu Pri­va­cy by Design und Pri­va­cy by Default: Daten­schutz muss inte­graler Bestandteil der Entwick­lung sein (Daten­schutz durch Tech­nikgestal­tung). Zusät­zlich muss der max­i­male Daten­schutz die Grun­de­in­stel­lung sein und nicht mehr nur eine Option (Daten­schutzfre­undliche Voreinstellungen).

Auch die Auf­trags­daten­ver­ar­beitung wird europaweit ein­heitlich geregelt und angepasst. Eine ver­tragliche Regelung ist weit­er­hin als Grund­vo­raus­set­zung für die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en erforder­lich. Neu ist, dass auch der Auf­tragsver­ar­beit­er ein „Verze­ich­nis der Ver­ar­beitungstätigkeit­en“ führen muss.

Auch in Zukun­ft müssen alle Unternehmen, die min­destens zehn Per­so­n­en mit automa­tisiert­er Daten­ver­ar­beitung beschäfti­gen, einen Daten­schutzbeauf­tragten bestellen. Bei ein­er umfan­gre­ichen Ver­ar­beitung beson­ders sen­si­tiv­er per­so­n­en­be­zo­gen­er Dat­en greift die Bestellpflicht auch dann, wenn das entsprechende Unternehmen unter der 10-Per­so­n­en-Gren­ze liegt.

Zukün­ftig müssen alle Daten­schutzver­let­zun­gen gemeldet wer­den, sofern ein Daten­schutzrisiko beste­ht. Die Mel­dung muss inner­halb von 72 Stun­den nach Ken­nt­nis bei der Auf­sichts­be­hörde ein­gere­icht wer­den. Auch die Betrof­fe­nen sind „ohne unangemessene Verzögerung“ zu benachrichtigen.

Das bish­erige Instru­ment der „Vor­abkon­trolle“ weicht dem Konzept der Daten­schutz-Fol­gen­ab­schätzung. Bein­hal­tet die Art der Daten­ver­ar­beitung ein hohes Risiko für die Rechte und Frei­heit­en, muss das Unternehmen vor Beginn der Daten­ver­ar­beitung eine Daten­schutz-Fol­gen­ab­schätzung vornehmen.

Fazit

Die DSGVO erhöht die rechtlichen, betrieblichen und tech­nisch-organ­isatorischen Anforderun­gen an den Daten­schutz. Hinge­gen wer­den die Ver­braucher­rechte gestärkt.

Bei Fra­gen sprechen Sie uns gerne an.