Neuregelung des Datenschutzes in Europa (EU-DSGVO)

Die wichtigsten Änderungen, die es im Zusammenhang mit der EU-Datenschutzgrundverordnung (EU-DS-GVO) zu beachten gilt in einer kurzen Zusammenstellung.

Sicherlich ist die Umstellung auf die neue EU-Datenschutzgrundverordnung (EU-DS-GVO) – zum Stichtag am 25. Mai 2018 – auch in Ihrem Unternehmen bereits ein aktuelles Thema. Durch die weitreichenden Änderungen der neuen Gesetzesregelung, müssen bis zu diesem Tag immerhin nicht nur die gesamte Dokumentation, sondern in aller Regel auch alle Datenschutzprozesse, sowie die Vereinbarungen zur Auftragsdatenverarbeitung angepasst bzw. neu erstellt werden. Die neue Gesetzgebung fordert deutlich mehr Transparenz gegenüber Betroffenen und einiges mehr an Dokumentationsaufwand.

Wer die Umstellung zu lange aufschiebt, dürfte mit dem oben genannten Stichtag arge Probleme bekommen und sich der Gefahr von Abmahnungen oder von deutlich erhöhten Bußgeldern aussetzen.

Vorwort
Im April 2016 wurde die Datenschutz-Grundverordnung (DS-GVO) durch das Europäische Parlament beschlossen. Sie besteht aus 99 Artikeln und 173 Erwägungsgründen und ist ab dem 25. Mai 2018 wirksam und in allen EU-Mitgliedstaaten anzuwenden. In Deutschland ersetzt die DS-GVO damit das bisherige BDSG sowie eine Reihe anderer Datenschutzregelungen, aus dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG).

Die DS-GVO wurde zur Harmonisierung und Vereinfachung des Datenschutzes in der Europäischen Union (EU) geschaffen. Sie löst die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ab und ist in allen EU-Mitgliedstaaten geltendes Recht. Unterschiede sind innerhalb der EU daher nur noch durch die sogenannten „Öffnungsklauseln“ zu erwarten. Je nach Zählweise sind zwischen 50 und 60 Öffnungsklauseln in der DS-GVO vorgesehen, welche den nationalen Gesetzgebern die Möglichkeit geben, in Teilbereichen eigene Regelungen zu erlassen. In Deutschland wird es hierfür vermutlich ein neues novelliertes „BDSG“ geben. Bei möglichen Kollisionen der Gesetzgebung gilt dann aber die DS-GVO.

Die E-Privacy-Richtlinie 2002/58/EG und die Cookie Richtlinie 2009/136/EG, bleiben in Kraft.
Bestehende Corporate Business Rules und die Standardvertragsklauseln sind ebenfalls auch weiterhin für die Datenübermittlung in Drittstaaten nutzbar.

Das sind die wesentlichen Änderungen…
„Personenbeziehbarkeit“ wird durch die „Identifizierbarkeit“ ersetzt. (Artikel 4 Abs. 1) (Erwägungsgrund 24 S. 2)
Das bedeutet, dass die „Stufe“ der Pseudonymisierung entfallen dürfte und pseudonymisierte Daten künftig ebenfalls als „personenbezogene“ anzusehen sind.

Beschäftigtendatenschutz
Die bisherigen Verpflichtungserklärungen zur Geheimhaltung gemäß § 5 BDSG und § 88 TKG      entfallen, sind aber in vergleichbarer Art und Weise auch künftig einzuholen.

Pflichten für Unternehmen
Die Vorabkontrolle entfällt – an deren Stelle tritt die Datenschutz-Folgenabschätzung sowie die sich daran evtl. anschließende Konsultation der zuständigen Aufsichtsbehörde. Hier muss man künftg wohl mit etwas Mehraufwand rechnen.

Internationale Datentransfers ins Ausland
Der Transfer von personenbezogenen Daten in Staaten außerhalb der EU/des EWR (sogenannten Drittstaaten) ist weiterhin problematisch.

Neuregelung Videoüberwachung
Eine explizite Regelung zur Zulässigkeit von Videoüberwachung besteht in der DS-GVO nicht. Das Thema Videoüberwachung wurde lediglich in dem Artikel zur Notwendigkeit einer sog. „Datenschutz-Folgenabschätzung“ erwähnt.

Auftragsdatenverarbeitung
Die neue Regelung kennt keine Funktionsübertragung mehr und bezeichnet die bekannte Auftragsdatenverarbeitung als Auftragsverarbeitung. Inhaltlich orientiert sich die Auftragsverarbeitung an dem bekannten § 11 BDSG, sie erweitert dessen Forderungen also prinzipiell auf die gesamte EU. Bei einem genaueren Blick auf die neue Regelung, ergeben sich aber durchaus Unterschiede die es zu beachten gilt. Auch hier dürfte einiger Aufwand für die Umstellung nötig werden, da alle Verträge neu erstellt werden müssen.

Wartungsarbeiten durch Dienstleister
Derzeit stellt die Wartung eines Servers durch einen Dienstleister eine Auftragsdatenverarbeitung dar. Ob diese Auffassung mit der DS-GVO weiterhin bestehen bleibt ist derzeit umstritten, da die DS-GVO hierzu durchaus Spielraum zur Interpretation lässt. Es dürfte wohl einige Zeit dauern, bis Stellungnahmen der Aufsichtsbehörden endgültige Rechtssicherheit für alle Beteiligten schaffen.

Internetauftritt
Da die DS-GVO dem nationalen Recht vorgeht und teilweise Bereiche regelt, die in Deutschland bereits im Telemediengesetz geregelt sind, sind die Internetangebote der Unternehmen neu zu bewerten. In den meisten Fällen muss die Datenschutzerklärung sowie das Impressum angepasst werden.

Bußgelder und Sanktionen
Die Bußgelder und Sanktionen sind im Artikel 83 und 84 der DS-GVO zu finden. Sie fallen künftig deutlich höher als bei der bisherigen Regelung aus, da die Verstöße nun als eine Verletzung der Grundrechtecharta der Europäischen Union angesehen werden. Im Detail sieht die DS-GVO 20 Mio. oder 2 % des weltweiten Umsatzes bzw. 40 Mio. oder 4% des weltweiten Umsatzes für Verstöße vor.

Ob Bußgelder künftig auch gegen Behörden oder öffentliche Einrichtungen verhängt werden können, ist derzeit noch nicht geregelt, da hierzu eine „Öffnungsklausel“ existiert die noch nicht definiert wurde.

Aufsichtsbehörden
Die Rolle und vor allem die Zuständigkeiten der Aufsichtsbehörden wurden neu definiert. Daraus ergeben sich für die praktische Handhabung des Datenschutzes neue Chancen, aber auch neue Probleme.

Einwilligung
Das Verbot mit Erlaubnisvorbehalt zur Datenverarbeitung bleibt auch mit der neuen Gesetzeslage erhalten. Hinsichtlich der Anforderungen an die Wirksamkeit einer rechtsgültigen Einwilligung, durch den erwachsenen Betroffenen, verändert die DS-GVO nichts. Die Einwilligung von Minderjährigen unter 16 Jahren (bzw. unter 13 Jahren wenn das nationale Recht dies vorsieht), ist dagegen nur noch gültig, wenn ein Erziehungsberechtigter zustimmt. Es dürfte spannend werden wie Facebook, Google und Co. diese Vorgabe erfüllen werden.

Datenschutz-Vertreter für Unternehmen
Mit Einführung des „Marktortprinzip“ müssen alle Unternehmen, auch solche die keine Niederlassung in der EU haben, jedoch Waren oder Dienstleistungen an Personen in der EU anbieten bzw. das Verhalten dieser Personen durch „Tracking“ oder „Profiling“ beobachten, grundsätzlich einen EU-Vertreter bestellen.

Datenschutzbeauftragter
Das Modell Datenschutzbeauftragter ist in Deutschland seit langem bekannt und hat sich bewährt. Viele Unternehmen müssen bereits heute einen Datenschutzbeauftragten bestellen. Mit Inkrafttreten der DS-GVO wird eine solche Pflicht nun erstmals europaweit für Unternehmen, deren Tätigkeit einer besonderen Kontrolle bedarf, eingeführt. Zwar gibt es hierzu eine „Öffnungsklausel“ die auf nationaler Ebene geregelt werden kann, jedoch dürfte sich durch diese Klausel an der gewollten Bestellpflicht wenig ändern. In Deutschland ist bereits im Entwurf des DSAnpUG-EU vom 05.08.2016 und dem Entwurf zur Novellierung des BDSG vom 02.02.2017 die bisherige Regel des BDSG vorgesehen. Der Datenschutzbeauftragte ist zudem künftig mit Datum seiner Bestellung bei der zuständigen Aufsichtsbehörde bekannt zu geben.

Aufgaben des Datenschutzbeauftragten
Die DS-GVO erweitert den Aufgabenkreis des Datenschutzbeauftragten und wertet seine Stellung im Unternehmen weiter auf. Gemäß Artikel 39 Abs. 1 b DS-GVO überwacht er nun die Einhaltung der DS-GVO und der nationalen Sonderregelungen im Unternehmen.

Datensicherheit
Durch die DS-GVO werden die Anforderungen an die IT-Sicherheit, also die technischen und organisatorischen Maßnahmen (TOM) geändert. Selbst die bisherigen Begriffe werden neu definiert und abstrakter, als sie es bisher bereits waren. Der neue Überbegriff ist nun „Sicherheit der Verarbeitung“. Ebenfalls neu eingeführte Begrifflichkeiten sind unter anderem auch der „Stand der Technik“, die „Belastbarkeit der Systeme“ und die „Implementierungskosten“. Eine klärende Auflistung was darunter zu verstehen ist, wie dies aus der Anlage zu § 9 BDSG (Maßnahmen) zu finden war, gibt es in der DS-GVO leider nicht. Auch dürfte sich erst im Laufe der Zeit klären, was unter welchen Umständen jeweils im Detail zu tun ist. Unternehmen die bereits Standards wie die ISO/IEC 27001, PCI-DSS oder den IT-Grundschutz des BSI umgesetzt haben, sollten den neuen Anforderungen im Punkto IT-Sicherheit aber genügen.

Informationspflichten
Die DS-GVO führt eine Reihe neuer Informationspflichten für Unternehmen ein. Der Gesetzgeber fordert, dass die Datenerhebung, -verarbeitung oder -nutzung, gegenüber dem Betroffenen künftig transparenter erfolgt. Hierzu muss dieser mehr Einsicht zu den über ihn gespeicherten Daten erhalten. Dieser Punkt wird vielen Unternehmen deutlich mehr Arbeit bei der Neugestaltung der Prozesse und hinsichtlich der technischen Umsetzung bereiten.

Bei der Datenerhebung ist der Betroffen zu informieren:

  • in einfacher Sprache über sein Widerrufsrecht
  • mehrere Einwilligungen auf einer Seite sind optische zu trennen
  • über den Zweck und die Rechtsgrundlage der Verarbeitung
  • im Falle der Datenweitergabe sind die Empfänger anzugeben
  • bei Datenübermittlung in Drittländer ist das Datenschutzniveau zu benennen
  • über die Speicherdauer und herangezogenen Kriterien hierzu
  • über die Betroffenenrechte zu Wiederruf, Berichtigung und Löschung
  • über das Beschwerderecht bei der Datenschutzaufsichtsbehörde
  • über ein eventuell durchgeführtes Scoring oder Profiling, wie es oft über Webseiten erfolgt

Betroffenenrechte
Die bisherigen Rechte auf Auskunft, Berichtigung und Wiederspruch bleiben unverändert. Beim Recht auf Löschung, wird der Begriff künftig so definiert, das eine Unbrauchbarmachung der Daten oder eine Entfernung aus dem aktivem Datenbestand ausreichend sein wird. (Artikel 16 ff)
Hinzu kommt ein Beschwerderecht für den Betroffenen bei der Datenschutzaufsichtsbehörde sowie die Forderung der Datenübertragbarkeit. Unternehmen sind also angehalten Daten so zu speichern, dass diese ohne großen Aufwand zu einem anderen Unternehmen übertragbar sind.

Meldepflicht – Data Breach Notification
Die DS-GVO verschärft die Meldepflicht mit dem Art. 33 DS-GVO für Meldungen an die Aufsichtsbehörde und dem Art. 34 DS-GVO für Meldungen an die Betroffenen, wenn es zu Datenpannen gekommen ist. Solch eine Datenpanne ist künftig innerhalb von 72 Stunden nach Erkennung an die Vorgenannten zu melden. Unter Datenpannen versteht man im Datenschutz Verstöße gegen die gesetzlichen Regelungen, bei denen personenbezogene Daten, Dritten zu unrecht bekannt werden. Oft besteht eine besondere Gefahr für die Betroffenen durch Rufschädigung, bekanntwerden von Geheimnissen oder finanzielle Einbußen.

Dokumentationspflichten
Die DS-GVO fordert sehr vile umfangreichere Dokumentationspflichten als das BDSG. Die Verantwortlichen in den Unternehmen müssen sich also auch hier künftig auf höhere Anforderungen im Datenschutz einstellen. Beispielsweise müssen künftige Entscheidungsgrundlagen als Nachweis vorgehalten werden, eine Versionierung der Unterlagen wird zumindest als Nachweis für Audits angeraten.

Verfahrensverzeichnis
Das Verfahrensverzeichnis nennt sich nun „Verzeichnis von Verarbeitungstätigkeiten“. Das zumeist ungeliebte Jedermannverzeichnis aus dem BDSG wurde durch die DS-GVO ersatzlos gestrichen.

Inhaltlich ähnelt das Verzeichnis von Verarbeitungstätigkeitendem bisherigen Verfahrensverzeichnis, neu ist allerdings, dass gem. Art. 30 Abs. 2 DS-GVO neben den verantwortlichen Stellen nun auch ein möglicher Auftragsdatenverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten führen muss.

Weiter müssen gemäß Art. 30 DS-GVO nun auch manuelle Verfahren mit personenbezogenen Daten im Verzeichnis von Verarbeitungstätigkeiten erfasst werden.

One Stop Shop
Bei der grenzüberschreitenden Datenverarbeitung ist gemäß Art. 56 Abs. 1 DS-GVO künftig nur noch eine federführende Aufsichtsbehörde für die Beurteilung datenschutzrechtlicher Belange des Unternehmens zuständig. Das deutsche Unternehmen hat also nur noch mit seiner Behörde zu tun, das Ausländische Unternehmen ebenfalls mit der eigenen.

Datenschutzmanagementsystem
Neben dem oben genannten Verzeichnis von Verarbeitungstätigkeiten finden sich in der DS-GVO eine Vielzahl von Normen, die eine Dokumentation der Datenschutzmaßnahmen, eingeführten Prozesse und durchgeführten Kontrollmechanismen fordern. Die Einführung eines Datenschutz-Managementsystems ist bald also auch im Datenschutz keine kür mehr.

 

Matthias Walter, tec4net GmbH  http://www.tec4net.com
EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit

————————————————————————————————————————-
Quellen und Links:

tec4net – Übersicht DS-GVO
http://tec4net.com/public/datenschutz/eu-dsgvo/20170417_info_eu-dsgvo.pdf

tec4net – Broschüre Datenschutz
http://www.tec4net.com/public/tec4net_Flyer_DS.pdf

tec4net – Broschüre IT-Sicherheit
http://www.tec4net.com/public/tec4net_Flyer_IT-SEC.pdf

Die EU-DSGVO im Web
https://dsgvo-gesetz.de/erwaegungsgruende/

Webseite der Artikel 29 Gruppe
https://www.projekt29.de/