Die neue EU-Datenschutzgrundverordnung

07.02.2018 / Ulrich Emmert

aus dem Netzwerk Insider Februar 2018

Ab 25.05.2018 gilt in Europa ein weitgehend einheitliches Datenschutzrecht, das durch die Erhöhung der Obergrenze der Bußgelder um mehr als das 70-
fache auf 20 Millionen Euro (bzw. bei Umsätzen von mehr als 5 Milliarden Euro 4% des weltweiten Jahresumsatzes) eine gründliche Vorbereitung auf die neue Rechtslage erfordert. Die Datenschutzbehörden haben im Zuge der Neuregelung erheblich mehr Aufgaben und Befugnisse erhalten und sind durch massive Neueinstellungen (z.B. 46 neue Planstellen bei der Bundesdatenschutzbeauftragten, geplante Steigerung von 36 auf 70 Planstellen in Baden-Württemberg) mehr in der Lage, Verstöße auch zu ahnden.

Wer Adressen für Marketingaktivitäten in seinen Beständen hat, sollte sich nach Möglichkeit ebenfalls vor dem 25.5.2018 darum bemühen, auch nach dem Inkrafttreten des neuen Rechts diese noch verwenden zu dürfen.

Im Bereich des bisherigen Verfahrensverzeichnisses ist es nunmehr erforderlich, ein Verzeichnis als Tätigkeiten nach Art. 30 vorzuhalten, was erst einmal zeitaufwendig durch Befragung der Mitarbeiter eruiert werden sollte. Auch unter 250 Mitarbeitern sind Unternehmen davon betroffen, wenn sie regelmäßig personenbezogene Daten verarbeiten. Dies ist bereits bei einem Internetzugang der Fall, weil damit Mail- und IP-Adressen regelmäßig als personenbezogene Daten verarbeitet werden.

Weiter müssen mit allen Kunden und Lieferanten Auftragsdatenverarbeitungsvereinbarungen geschlossen werden, sofern bei den Aufträgen personenbezogene Daten verarbeitet werden, wobei schon die Möglichkeit der Kenntnisnahme z.B. im Rahmen eines Wartungszugriffes ausreicht. Bisher musste sich ausschließlich der Auftraggeber darum kümmern, inzwischen treffen die Bußgeldsanktionen der EU-DSGVO auch Auftragnehmer direkt und diese können ebenfalls mit oben genannten Bußgeldern belegt werden.

Bei einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen, insbesondere bei der Verwendung neuer Technologien, umfangreicher Verarbeitung von sensiblen Daten wie z.B. Gesundheitsdaten, Religionszugehörigkeit oder biometrischen Daten, der automatisierten Verarbeitung von Daten oder der systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche ist eine Risikofolgenabschätzung erforderlich, d.h. eine vorherige Bewertung der Datenschutzrisiken mit Beschreibung der Maßnahmen zur Eindämmung der Risiken zu erstellen.

Schon seit dem Inkrafttreten des Bundesdatenschutzgesetzes im Jahr 1990 gibt es in Deutschland die Anforderung, personenbezogene Daten zu löschen, wenn sie nicht mehr benötigt werden bzw. dann wenn die Daten noch einer Aufbewahrungspflicht unterliegen, gegen Bearbeitung und Lesen von Unberechtigten zu sperren und dann direkt zum Ende der Aufbewahrungspflicht zu löschen. Aufgrund der Rechtsprechung des Europäischen Gerichtshofs gab es auch schon bisher einen Anspruch, Daten auf Verlangen unter bestimmten Umständen löschen zu lassen.

Ebenfalls im alten Bundesdatenschutzgesetz enthalten waren Ansprüche auf Auskunft, welche Daten über die eigene Person von einem Unternehmen gespeichert wurden oder ein Berichtigungsanspruch bei unrichtiger Verarbeitung.

In der Praxis waren jedoch die wenigsten Unternehmen bisher dazu in der Lage, Auskunft zu erteilen oder Daten rechtzeitig wegen Zeitablaufs oder wegen gezieltem Verlangen eines Betroffenen zu löschen oder zu sperren. Die Datenschutzaufsichtsbehörden haben unmissverständlich klar gemacht, dass ab dem 25.05.2018 jedes Unternehmen ein den Vorgaben der Verordnung entsprechendes Lösch- und Sperrkonzept (zu Art. 17 und 18 der EU-DSGVO) benötigt und ansonsten die oben erwähnten erheblichen Bußgelder drohen.

Nach der aktuellsten Umfrage vom Januar 2018 in Österreich zum Thema DSGVO von Deloitte sind nur etwa die Hälfte der Unternehmen in Österreich aktuell auf die EU-DSGVO vorbereitet oder schaffen die Vorbereitung noch rechtzeitig. [1]

In Deutschland sieht die Situation zur Umsetzung der EU-DSGVOeher noch düsterer aus. Nach einer Umfrage des Bitkom unter 500 deutschen Unternehmen im September 2017 haben sich damals noch mehr als ein Drittel der Unternehmen noch nicht mit der Verordnung beschäftigt. Nur 19 Prozent der Unternehmen, die sich schon mit der Verordnung beschäftigt haben, gehen davon aus, zum Stichtag die Anforderungen erfüllt zu haben, 20 % zum größten Teil und 55% nur teilweise. [2]

Daher wird es nun, da noch weniger als 4 Monate bis zum Inkrafttreten verbleiben, höchste Zeit, sich mit dem Thema überhaupt oder in vielen Fällen mit höherem Nachdruck als bisher mit dem Thema zu beschäftigen. Dabei kann ein Seminar oder In-House-Workshop zum Thema EU-Datenschutzgrundverordnung erheblich weiterhelfen.

Vorab möchten wir einen kurzen Überblick für interessierte Leser über die Regelungen der EU-DSGVO geben:

Am 27.04.2016 hat die Europäische Union daher eine neue EU-Datenschutzgrundverordnung beschlossen, die am 25.05.2018 in allen Ländern der Europäischen Union unmittelbar ohne Umsetzung in nationales Recht in Kraft treten wird. Damit wird erstmals in der Geschichte der Europäischen Union ein einheitlicher Datenschutzstandard verwirklicht, um den Unternehmen Rechtssicherheit in allen Staaten der Union zu geben und Handelshemmnisse für den Binnenmarkt durch unterschiedliche Datenschutzregelungen abzubauen. Dies ist nicht ganz gelungen, da im Entwurfsstadium massive wirtschaftliche Interessen zu erheblicher Lobbyarbeit und ca. 4000 verschiedenen Änderungsanträgen geführt haben und insgesamt 70 verschiedene Ausnahmeregelungen für Mitgliedsstaaten eingeführt wurden. In Deutschland liegt ein Kabinettsentwurf vom 03.02.2017 vor, der von fast allen Ausnahmeregelungen Gebrauch macht, fast immer zu Lasten des Datenschutzes. Nach heftiger Kritik von Datenschützern an den ersten Referentenentwürfen wurde der Entwurf zwar nachgebessert, bleibt aber dennoch in vielen Fällen hinter den Standards der übrigen EU-Mitgliedsstaaten zurück. Daher ist es notwendig, die Rechtsänderungen der neuen EU-Verordnung nicht isoliert zu betrachten, sondern stets mit den Änderungen durch das neue deutsche Bundesdatenschutzgesetz bzw. mit den noch anzupassenden übrigen deutschen Datenschutzregelungen wie z.B. den Landesdatenschutzgesetzen.

Der Anwendungsbereich der neuen Verordnung beschränkt sich nicht mehr auf die EU, sondern trifft alle Unternehmen weltweit, die Waren- oder Dienstleistungsangebote an EU-Bürger richten. Zusätzlich müssen Niederlassungen von EU-Firmen auch außerhalb der EU die Verordnung beachten, ebenso Firmen inner- oder außerhalb der EU, die Personen in der EU überwachen. (siehe Abbildung 1)

Anwendungsbereiche

Abbildung 1: Anwendungsbereiche der neuen Datenschutzgrundverordnung

Für amerikanische und andere Nicht-EU-Firmen wird sich daher vieles grundlegend ändern. Diese Unternehmen sind direkt der EU-Datenschutzverordnung unterworfen, nicht wie bisher – im Falle von US-Unternehmen – nur den Regeln des Vertrages und ggf. einer Selbstverpflichtungserklärung nach dem „EU-US-Privacy Shield“ vom 12.07.2016. Zudem müssen sie sich an das Recht am Marktort halten, im Rechtsverkehr mit Verbrauchern also fast immer am Wohnort des Verbrauchers, bei Unternehmen mangels anderweitiger Regelung ebenfalls. Daher ist es für Nicht-EU-Unternehmen nicht ausreichend, sich mit der EU-Datenschutzverordnung zu befassen, sondern die länderspezifischen Ausnahmeregelungen zur EU-Datenschutzverordnung müssen ebenfalls berücksichtigt werden.

Der Umfang der personenbezogenen Daten wurde in der Verordnung klarer definiert und erweitert, z.B. IP-Adressen, Cookie IDs, RFID Tags, genetische Daten, besonderer Schutz der Daten von Kindern usw.

Eine Einwilligung in die Verarbeitung personenbezogener Daten muss deutlich von anderen Klauseln unterscheidbar sein und leicht verständlich sein. Es dürfen in der Regel keine Daten erhoben werden, die für die Durchführung des Vertrages nicht erforderlich sind. Es muss in jedem Fall auf eine Widerspruchsmöglichkeit hingewiesen werden, wie dies in Deutschland bisher schon im Anwendungsbereich des Telekommunikationsgesetzes und des Telemediengesetzes geregelt ist.

Wer Daten verarbeitet, muss dazu die Rechtsgrundlage nennen können und damit auch selbst nachweisen, dass es sich um eine rechtmäßige Datenverarbeitung handelt. Zudem muss der Betroffene über die Datenverarbeitung umfassend nach den Artikeln 13 und 14 informiert werden, egal ob die Daten beim Betroffenen selbst oder bei Dritten erhoben werden.

Die Regeln zur Erhebung von Daten bei Dritten und die Information des Nutzers über die Datenerhebung werden in der EU in den Artikeln 13 bis 15 der Verordnung strenger geregelt als bisher. In Deutschland werden weitergehende Ausnahmen zugelassen, so z. B. wenn die Information des Betroffenen unverhältnismäßigen Aufwand verursacht oder allgemein anerkannte Geschäftszwecke des Verantwortlichen erheblich gefährden würde.

Schon bisher konnte der Betroffene in Deutschland unrichtige Daten über ihn berichtigen lassen. Neu ist jedoch, dass er bei negativen Äußerungen, die länger zurückliegen unter den Voraussetzungen des Art. 17 der Verordnung ein „Recht auf Löschen und Vergessen“ geltend machen kann. Diese Möglichkeit gab es bisher nur aufgrund eines Urteils des Europäischen Gerichtshofes. Das Recht auf Löschen bzw. Vergessen entsteht in folgenden Fällen:

  • Daten sind nicht mehr notwendig
  • Einwilligung wird widerrufen
  • Widerspruch nach Art. 19
  • Unrechtmäßige Verarbeitung
  • Daten aus Kindertagen
  • Daten, die unrechtmäßig veröffentlicht sind, sind auch bei Dritten löschen zu lassen.

Von erheblicher Bedeutung für den Nutzer und bisher gänzlich ungeregelt ist das Recht auf Mitnahme von Daten zu einem neuen Dienstleister und die Mitwirkung des bisherigen Dienstleisters an der Bereitstellung von Daten in weiterverwendbaren Standardformaten. Dies wird durch Art. 20 der neuen Verordnung geregelt und ist vor allem im Bereich von Outsourcing und Clouddiensten von existentieller Bedeutung, wenn die komplette IT eines Unternehmens in fremde Hände gelegt wurde. Der Nutzer kann vom bisherigen Dienstleister auch die direkte Übermittlung der Daten an einen neuen Dienstleister nach Artikel 20 Absatz 2 verlangen.

Die Notwendigkeit zur Bestellung eines Datenschutzbeauftragten für Unternehmen ab 10 Mitarbeitern wird aufgrund des deutschen Begleitgesetzes zur EU-Datenschutzverordnung (BDSG-neu) erhalten bleiben. Neu ist, dass Behörden in jedem Fall einen Datenschutzbeauftragten benötigen, das war bisher nicht in allen Bundesländern der Fall (z.B. Baden-Württemberg oder Sachsen). Neu ist dabei auch das Verbot der Interessenkollision, d.h. der Datenschutzbeauftragte darf nicht in leitender Funktion in der IT-Abteilung beschäftigt sein, die er kontrollieren soll.

Die technischen Anforderungen an den Datenschutz steigen erheblich, schon deshalb, weil das neu eingeführte Prinzip „Datenschutz durch Technik“ Unternehmen dazu zwingt, die jeweils beste verfügbare Technik zum Schutz der personenbezogenen Daten einzusetzen, soweit dies vom Aufwand her angemessen ist.

Der Verantwortliche muss nach Artikel 24 der Verordnung technische und organisatorische Maßnahmen treffen, um die Anforderungen des Datenschutzes zu erfüllen und den Nachweis dafür erbringen. Es reicht keine Momentaufnahme, sondern die Datenschutzmaßnahmen müssen nach der neuen Verordnung laufend aktualisiert werden. Bei einer Vielzahl von Bedrohungen für personenbezogene Daten und permanent neuen Lücken und sicherheitsrelevanten Schadprogrammen ist dies nur mit Hilfe von Schutzsoftware zu erreichen, die professionell auf dem aktuellen Stand gehalten wird und die Gesamtzahl der Bedrohungen mit den aktuellen Bedrohungen der Firma abgleichen kann.

Artikel 25 verlangt explizit, dass der Datenschutz sogar 2 Mal durch technische Maßnahmen geprüft wird: einmal bei der Finanzierungsentscheidung über die Festlegung des Verarbeitungsverfahrens und einmal bei der Verarbeitung selbst. Dabei sollte in Deutschland sichergestellt werden, dass der Datenschutzbeauftragte auch an den Entscheidungsprozessen beteiligt wird. Der Betriebsrat muss in Deutschland bei allen IT-Projekten zwingend nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz mitbestimmen, so dass auch der Betriebsrat frühzeitig bei der Einführung neuer IT-Software einbezogen werden sollte. Soweit es möglich und angemessen ist, kann es erforderlich sein, Daten zu pseudonymisieren oder anonymisieren.

Bei der Erhebung von Daten darf keine Einwilligung in eine Datenerhebung oder Weitergabe vorangekreuzt sein, die nicht zur Durchführung des Vertrages erforderlich ist. Die bisher weit verbreitete Praxis, z.B. Einwilligungen zur Werbung oder zur Weitergabe von Daten an Dritte vorzubelegen, wird damit unzulässig. Das gilt unabhängig davon, dass bei der Abwägung eines berechtigten Interesses für die Datenverarbeitung nach Artikel 6 I f der Verordnung Werbung auch ein berechtigtes Interesse bei der Zulässigkeit der Datenverarbeitung sein kann.

Nach Art. 32 der Verordnung sind zwingend angemessene Sicherheitsmaßnahmen zum Schutz der Daten erforderlich. In den Erwägungsgründen der Verordnung heißt es dazu:

„Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau — auch hinsichtlich der Vertraulichkeit — gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.“

Bei der Bestimmung der notwendigen Schutzmaßnahmen ist insbesondere das Risiko für die Betroffenen, also die Höhe eines möglichen Schadens und die Eintrittswahrscheinlichkeit zu berücksichtigen.

Als Schutzmaßnahmen werden in Artikel 32 insbesondere folgende Maßnahmen vorgeschlagen:

  1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Das „Gewährleisten eines dem Risiko angemessenen Schutzniveaus“ muss sowohl vom Verantwortlichen für die Datenverarbeitung als auch von jedem Auftragsverarbeiter geleistet werden. Beide haben daher zwingend eine Risikoanalyse durchzuführen und strategische Überlegungen zum Aufbau bzw. der Fortschreibung eines angemessenen Schutzniveaus zu leisten. Angemessene Vorkehrungen müssen gegen Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von personenbezogenen Daten sowie gegen unbefugten Zugang zu diesen getroffen werden.

Das ist kaum ohne ein umfassendes Sicherheitskonzept und eine regelmäßige Evaluation nach Buchstabe d) machbar. Für die bei der Risikoanalyse festgestellten Risiken ist dabei getreu dem Grundsatz „Datenschutz durch Technik“ ein Maßnahmenpaket z.B. mit organisatorischen Maßnahmen oder Installation von Security Software zu schnüren.

Es sind auch Vorkehrungen gegen Risiken zu treffen, die durch eine unbeabsichtigte oder unrechtmäßige Verarbeitung entstehen können, also auch gegen versehentliches Löschen oder Hackerangriffe.

Zudem sind Mitarbeiter nach Art. 28 Abs. 3 b) EU DSGVO auf die Einhaltung des Datenschutzes zu verpflichten.

Die Verarbeitung von besonders sensiblen Daten wie z.B. Gesundheitsdaten oder genetischen Daten wird noch weiter als bisher beschränkt, ohne Begründung durch eine Ausnahmeregelung in der Verordnung oder durch ein nationales Gesetz ist die Verarbeitung schlichtweg verboten … Sensible Daten sind Daten aus den Bereichen Gesundheit, Rasse oder ethnische Herkunft, Politische Überzeugungen, Religions- oder Glaubenszugehörigkeit, Sexualleben, genetische Eigenschaften, Zugehörigkeit zu einer Gewerkschaft oder Strafurteile und damit zusammenhängende Sicherheitsmaßregeln. (siehe Abbildung 2)

Bei Verarbeitung von sensiblen Daten müssen folgende zusätzliche Sicherheitsmaßnahmen nach § 22 BDSG in Betracht gezogen werden:

Meldepflichten bei Datenschutzverletzungen

Die Meldepflichten bei Datenschutzverletzungen an die Aufsichtsbehörde sind nach dem Vorbild des § 42a BDSG gestaltet und erheblich ausgeweitet worden, so dass Verstöße in fast jedem Fall an die Aufsichtsbehörde zu melden sind. War dies bisher nur bei Sensiblen Daten, Amts-/Berufsgeheimnissen, Daten über Straftaten /Ordnungswidrigkeiten und Bankdaten erforderlich, ist dies nunmehr bei allen Daten notwendig und dies innerhalb einer relativ kurzen Frist von 72 Stunden. Ausgenommen sind nur Verletzungen, die keine Risiken für die Rechte und Freiheiten des Betroffenen bedeuten.

Eine Meldung muss mindestens folgende Informationen enthalten:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Sensible Daten Art. 9

Abbildung 2: Sensible Daten Art. 9

Bei einem hohen Risiko für Betroffene sind diese unabhängig von der Art der Daten umfassend von der Datenschutzverletzung zu informieren, entweder durch persönliche Information oder im Fall unverhältnismäßigen Aufwands durch öffentliche Bekanntmachung. Dies kann einen erheblichen Aufwand bedeuten, wie das Beispiel Vodafone in der Vergangenheit gezeigt hat. Zur Vermeidung einer öffentlichen Bekanntmachung nach § 42a BDSG hatte sich Vodafone entschieden, über 2 Millionen Briefe an die eigenen Kunden zu schicken. Der Imageschaden ist sowohl bei einer öffentlichen Bekanntmachung etwa durch Zeitungsanzeigen oder auch durch Mailingaktionen in dieser Auflage enorm und kann den für die Information notwendigen Aufwand noch bei Weitem übersteigen. In Zukunft gibt es jedoch eine elegante Möglichkeit, dieser Verpflichtung zu entgehen: Wer dafür sorgt, dass die betroffenen Daten vorher schon gegen Einsichtnahme besonders gesichert waren oder nachträglich durch weitere Sicherheitsmaßnahmen das hohe Risiko entfällt, entgeht dieser Verpflichtung. Technische und organisatorische Sicherheitsmaßnahmen müssen daher den Zugriff auf diese Daten verhindern oder erheblich erschweren. Zu solchen Sicherheitsmaßnahmen gehört z.B. die Verschlüsselung der Daten oder Sicherheitssoftware, die Angriffe frühzeitig erkennen und bekämpfen kann.

Bei einem hohen Risiko für die Rechte und Freiheiten von Betroffenen, insbesondere bei neuen Technologien, muss eine vorherige Datenschutzfolgeabschätzung mit Beteiligung des Datenschutzbeauftragten durchgeführt werden. Dies ist insbesondere in folgenden Fällen erforderlich:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen zu Profiling und Scoring
  • umfangreiche Verarbeitung von sensiblen Daten gemäß Artikel 9 Absatz 1 oder von Straftaten gemäß Artikel 10
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Dabei muss erheblicher Aufwand betrieben werden, die Aufsichtsbehörde kann nachfolgende Angaben erwarten und verlangen:

  • allgemeine Beschreibung der geplanten Verarbeitungsvorgänge
  • Berücksichtigung des gesamten Lebenszyklusses der Daten
  • Bewertung der bestehenden Risiken in Bezug auf die Rechte und Freiheiten der betroffenen Personen
  • Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen
  • Verfahren zum Schutz personenbezogener Daten und zum Nachweis der Einhaltung der Vorgaben

Die Aufsichtsbehörden können White- und Blacklists veröffentlichen, in welchen Fällen eine bzw. keine Datenschutzfolgeabschätzung erforderlich ist.

Unternehmen, die personenbezogene Daten für andere verarbeiten, werden gegenüber der bisherigen Regelung deutlich stärker in die Pflicht genommen. Unteraufträge sind nur noch mit Genehmigung des Verantwortlichen möglich, falls diese allgemein erteilt wird, muss vor Beginn der Verarbeitung der Verantwortliche von der Unterbeauftragung informiert werden.

Er ist über die bisherige Informationspflicht entsprechend § 11 Abs. 3 BDSG hinaus (neu: Artikel 28 Abs. 3 Satz 2) bei Datenschutzverstößen gehalten, dem Verantwortlichen bei der Erfüllung der Vertrags- und Dokumentationspflichten nach Artikel 28 Absatz 3 zu helfen.

Nicht nur der Verantwortliche für die Daten, sondern auch der Auftragsverarbeiter hat nunmehr nach Artikel 30 der Verordnung ein Verfahrensverzeichnis zu erstellen, wenn das jeweilige Unternehmen regelmäßig personenbezogene Daten verarbeitet…

Die Regeln für internationale Datenübertragungen werden durch die neue EU-Verordnung erheblich verbessert und europaweit auf eine einheitliche Grundlage gestellt. Bisher gab es in Deutschland folgende Möglichkeiten:

  • Einzelprüfung nach 4b, 4c BDSG in Verbindung mit den §§ 15, 16 (Behörden) bzw. §§ 28 bis 30a (Unternehmen)
  • Genehmigungen nach § 4c BDSG
  • Auftragsdatenverarbeitung in der EU/EWR
  • Datenübertragung in von der EU-Kommission anerkannte sichere Drittländer (derzeit Schweiz, Kanada, Argentinien, Andorra, Färöer, Guernsey, Israel, Isle of Man, Jersey, Australien, Neuseeland und Uruguay)
  • Standardvertragsklauseln der EU, sofern diese als Ganzes vereinbart werden
  • Binding Corporate Rules nur für verbundene Unternehmen
  • seit 12.7.2016 US-EU-Privacy Shield (Safe Harbor seit 6.10.2015 außer Kraft durch EuGH Entscheidung)

Mit Einführung der EU-Datenschutzverordnung werden die Möglichkeiten erheblich verbessert und einzelne Instrumente wesentlich flexibler. In Zukunft wird es folgende Möglichkeiten zur internationalen Übertragung personenbezogener Daten in Nicht-EU-Länder geben:

  • Angemessenheitsentscheidung der EU-Kommission nach Artikel 45 der VO über ein gleichwertiges Datenschutzniveau zur EU (Die bisherigen Länder auf obenstehender Liste bleiben bis zu einer neuen Prüfung der EU erhalten)
  • Übertragung aufgrund von vorherigen Garantien gemäß Artikel 46 der VO:
    • Instrument zwischen den staatlichen Behörden oder Stellen oder
    • Binding Corporate Rules gemäß Artikel 47
    • Standarddatenschutzklauseln der Kommission nach Art. 93 Abs. 2
    • von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln nach Art. 93 Abs. 2
    • genehmigte Verhaltensregeln gemäß Artikel 40
    • genehmigter Zertifizierungsmechanismus gemäß Artikel 42

Bei der Verwendung von Standardvertragsklauseln können in Zukunft auch nur Teile der Regelungen übernommen werden, nicht wie bisher zwingend sämtliche Regelungen.

In konzernweite Binding Corporate Rules können zukünftig auch Kunden und Lieferanten einbezogen werden, nicht nur verbundene Unternehmen des eigenen Konzerns.

Beide Neuregelungen führen ebenso wie die Möglichkeiten der Nutzung von Verhaltensregeln und Zertifizierungen dazu, dass die internationale Datenübertragung wesentlich einfacher wird.

Dies ist vor allem deshalb wichtig, weil das am 12.7.2016 veröffentlichte „EU-US Privacy Shield“ als Nachfolgeregelung des am 6.10.2015 vom Europäischen Gerichtshof (EuGH) verworfenen „Safe Harbor Abkommens“ für die Datenübertragungen zwischen den USA und der EU von ungewisser Zukunft ist. Unter Umgehung der Datenschutzbehörden beider Seiten haben das amerikanische Handelsministerium und die Generaldirektion XV der EU für den Handel ein Nachfolgeabkommen vereinbart, das die vom EuGH kritisierten Punkte bei Safe Harbor, insbesondere die NSA Spionage und das Bestreben der amerikanischen Behörden auf zwangsweise Übermittlung von personenbezogenen Daten aus EU-Tochterfirmen, fast nicht berücksichtigt hat. Es ist bereits ein neues Verfahren beim EuGH anhängig, das nach Meinung fast aller Datenschutzexperten auch zur Unwirksamkeit dieses Abkommens führen wird.

Haftung für Datenschutzverstöße

Die Haftung für Datenschutzverletzungen wird drastisch verschärft. Zusätzlich zu dem bisherigen Straftatbestand nach § 44 BDSG, der 2 Jahre Freiheitsstrafe bei Datenschutzverletzungen gegen Entgelt oder mit Bereicherungs- oder Schädigungsabsicht vorsieht, wird nun noch ein Strafrahmen bis 3 Jahre Freiheitsstrafe für Datenschutzverletzungen gegenüber einer großen Anzahl von Personen bei gewerbsmäßiger Handlungsweise vorgesehen.

Nach großer Kritik an den ersten Referentenentwürfen zum neuen Bundesdatenschutzgesetz soll es nun auch in Deutschland bei den extrem hohen Bußgeldern verbleiben, die in der EU-Verordnung vorgesehen sind. Bisher konnten für Datenschutzverstöße in Deutschland Bußgelder von bis zu 300.000 € je Einzelfall verhängt werden. Durch die EU-Verordnung ist dieser Rahmen drastisch erhöht worden auf bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes (davon der höhere Betrag). Damit soll auch für große Firmen eine Abschreckungswirkung erzielt werden, dafür war bisher ein Betrag von 300.000 Euro nicht genug. Dies ist der Hauptgrund, warum sich jedes Unternehmen rechtzeitig vor dem Inkrafttreten am 25. Mai mit den neuen Regeln beschäftigen sollte und die Änderungen des Datenschutzrechts nicht auf die leichte Schulter nehmen sollte. Es ist sehr sinnvoll, jetzt durch ein Datenschutzaudit die derzeitige Situation des Unternehmens prüfen zu lassen und gemäß Artikel 25 der Verordnung nach technischen Lösungen Ausschau zu halten, die eine Verletzung des Datenschutzes durch mangelnde Sicherheitsvorkehrungen des Unternehmens vermeiden können.

Bei Auftragsverarbeitung treffen mit Inkrafttreten der neuen Verordnung die Verantwortlichkeiten und die Haftung nicht mehr fast ausschließlich den Verantwortlichen, sondern auch den Auftragsverarbeiter. Dies führt nochmals zu einer Verdoppelung des Haftungsrisikos nach Datenschutzrecht. Ebenso haften mehrere Verantwortliche oder mehrere Auftragsverarbeiter in der Regel auch als Gesamtschuldner jeder auf den vollen Betrag gegenüber dem Geschädigten unter Erwerb eines Anspruchs auf Gesamtschuldnerausgleich gegenüber den anderen Haftenden.

Verweise

[1] https://www2.deloitte.com/content/dam/Deloitte/at/Documents/risk/deloitte-umfrage-eu-dsgvo.pdf

[2] https://www.bitkom.org/Presse/Presseinformation/Jedes-dritte-Unternehmen-hat-sich-noch-nicht-mit-der-Datenschutzgrundverordnung-beschaeftigt.html

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.

Jetzt registrieren
© Copyright - ComConsult