+49 228 2861 140 60 info@sicoda.de

DSGVO-Datenschutzgrundverordnung Spezial

Die Datenschutz-Grundverordnung (DS-GVO) ersetzt in den EU-Mitgliedsstaaten die bislang geltende Datenschutzrichtlinie 95/46/EG aus dem Jahre 1995 und die auf deren Grundlage erlassenen nationalen Umsetzungsgesetze. Zweck der Verordnung ist die Harmonisierung des Datenschutzes innerhalb der EU. Durch die Datenschutzgrundverordnung wird das sogenannte „Marktortprinzip“ eingeführt, bei dem sich das anwendbare Recht nicht an dem Sitz oder einer Niederlassung des Datenverarbeiters, sondern an dem Aufenthaltsort der von der Datenverarbeitung betroffenen Verbraucher orientiert.

Durch die Datenschutz-Grundverordnung wird das nationale Recht in vielen Teilen ersetzt, da sie in der gesamten Europäischen Union unmittelbar gilt.

Der deutsche Gesetzgeber hat mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU die notwendigen Anpassungen für ein DS-GVO konformes Bundesdatenschutzgesezt vorgenommen.

1.                  Zunächst ein kleiner Überblick über die wichtigsten Änderungen:

Die Datenschutz-Grundverordnung schreibt im Wesentlichen die bisherigen datenschutzrechtlichen Grundprinzipien fort (Verbot mit Erlaubnisvorbehalt, Grundsatz der Datensparsamkeit, Transparenz der Datenverarbeitung, Zweckbindung der Datenverarbeitung, Gewährleistung von Datensicherheit) und entwickelt sie weiter.

Teilweise bestehen jedoch sogenannte Öffnungsklauseln, die noch durch die nationalen Gesetzgeber gefüllt werden müssen, so dass sich noch nicht in allen Punkten absehen lässt, was sich ändern wird. Als Beispiel ist der Beschäftigtendatenschutz zu nennen (vgl. Art. 88 DS-GVO); hier ist davon auszugehen, dass § 32 BDSG als nationale konkretisierende Vorschrift zum Beschäftigtendatenschutz anwendbar bleibt.

In vielerlei Punkten besteht Anpassungsbedarf an die Datenschutzgrundverordnung. Im Folgenden sind einige Punkte benannt, was sich durch die Datenschutz-Grundverordnung ändern wird:

2.                Verstöße gegen Datenschutz werden teurer (Art. 83 DS-GVO)

Der Bußgeldrahmen für bestimmte Rechtsverstöße wird bis zu 4 % des Jahresumsatzes eines Unternehmens, beziehungsweise 20 Mio. Euro, angehoben, wobei der jeweils höhere Wert gilt. Dabei ist auf den gesamten weltweiten Jahresumsatz des betreffenden Unternehmens abzustellen und nicht etwa nur auf den in Europa erwirtschafteten Teil.

3.                Informationspflichten (Art. 13 und 14 DS-GVO)

Die Grundverordnung sieht erweiterte, teilweise über die bisherigen Pflichten des BDSG erheblich hinausgehende Informationspflichten vor, welche nunmehr auch an Form- und Fristvorschriften gebunden sind.

4.               Betroffenenrechte (Art. 15, 16, 17, 18, 20, 21 DS-GVO)

Die Betroffenenrechte aus dem BDSG  auf Auskunft und Löschung werden inhaltlich erweitert und in formeller Hinsicht konkretisiert. Durch die Datenschutz-Grundverordnung kommt darüber hinaus das Recht auf Datenübertragbarkeit hinzu, wonach die Daten direkt von einem für die Verarbeitung Verantwortlichen einem anderen für die Verarbeitung Verantwortlichen übermittelt werden müssen, soweit dies technisch machbar ist.

5.                Meldepflichten (Art. 33 DS-GVO)

Verletzungen des Schutzes personenbezogener Daten müssen unverzüglich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, an die zuständige Aufsichtsbehörde gemeldet werden. Eine Ausnahme besteht, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen führt. Sämtliche in diesem Zusammenhang stehende Fakten müssen dokumentiert werden.

6.               Dokumentationspflichten (Art. 22 DS-GVO)

Unternehmen müssen durch geeignete Strategien und Maßnahmen sicherstellen, dass personenbezogene Daten in Übereinstimmung mit dem Datenschutzrecht verarbeitet werden. Diese sind zu dokumentieren und ggfs. gegenüber dem Betroffenen und der Aufsichtsbehörde nachzuweisen.

7.                Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO)

Unternehmen sind verpflichtet ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Die Angaben in diesem Verzeichnis ensprechen den Angaben des ehemaligen Verfahrensverheichnisses. Die Pflicht dieses Verzeichnis öffentlich zu machen entfällt mit Wirksamwerden der DS-GVO.

8.               Datenschutz-Folgenabschätzung (Art. 35 DS-GVO)

Birgt die Art der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten, muss der Verantwortliche bereits vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchführen. Dies ist insbesondere der Fall bei Profiling, der Verarbeitung besonders sensibler Daten und der umfangreichen Videoüberwachung öffentlich zugänglicher Bereiche.

Diese Folgenabschätzung muß gewisse Kriterien erfüllen, diese sind zu dokumentieren und bei einem hohen Risiko für die personenbezogenen Daten ist die Aufsichtsbehörde vorab zu konsultieren.

9.               Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten (Art. 37 DS-GVO)

Die EU-Datenschutzgrundverordnung kennt einen Schwellenwert für die Bestellung eines Datenschutzbeauftragten nicht mehr. Nach der Datenschutz-Grundverordnung ist ein Datenschutzbeauftragter durch das Unternehmen zu bestellen, wenn die Kerntätigkeit des Unternehmens „in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen“, oder die Kerntätigkeit besonders sensible Daten betrifft wie zum Beispiel Gesundheitsdaten.

Aufgrund einer Öffnungsklausel ist es dem deutschen Gesetzgeber möglich, eine weitergehende Regelung zu treffen. Hiervon ist auszugehen, so dass es bei der derzeitigen Rechtslage zur Bestellpflicht bleiben wird.

10.             Auftragsdatenverarbeitung (Art. 28 DS-GVO)

Im Rahmen der Auftragsdatenverarbeitung haben sich insoweit Änderungen ergeben, dass auch der Auftragsverarbeiter (nach BDSG Auftragnehmer) gemäß Art. 30 Abs. 2 DSGVO zukünftig ein Verzeichnis von Verarbeitungstätigkeiten (ähnlich dem heutigen Verfahrensverzeichnis) führen muss.

Auch im Hinblick auf die Haftung und die datenschutzrechtliche Verantwortlichkeit haben sich hier Änderungen ergeben; so ist neben dem Auftraggeber auch der Auftragsverarbeiter gegenüber den betroffenen Personen haftbar zu machen.

11.              Weiterführende Informationen

Für weiterführende Hinweise auf die Datenschutz-Grundverordnung samt dem zugehörigen Gesetzestext verweisen wir auf die Informationen der Bundesbeauftragten für Datenschutz, abrufbar unter: http://www.webkommentar.com/ds-gvo/