Die EU-Datenschutz-Grundverordnung zum 25. Mai 2018

Nach den Verhandlungen erfolgte im Dezember 2015 die europäische Einigung auf eine EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese Verordnung wird zu einer Vereinheitlichung des europäischen Datenschutzrechtes führen. Derzeit bestehen durch viele nationale Gesetzgebungen erhebliche Unterschiede im Hinblick auf den nationalen Datenschutz. Durch die Datenschutz-Grundverordnung wird in allen Mitgliedsstaaten direkt geltendes Recht sein. Geringe Unterschiede sind allenfalls durch die Möglichkeit sog. „Öffnungsklauseln“ zu erwarten. Öffnungsklauseln bieten den nationalen Gesetzgebern eine Möglichkeit, selbst eigene nationale Regelungen zu erlassen.

Der Ablauf

Bis zum Inkrafttreten der EU-Datenschutz-Grundverordnung sind noch einige Schritte erforderlich. Der Ablauf sieht derzeit wie folgt aus:

  • März 2016: Es erschien die offizielle deutsche Fassung der EU-DSGVO
  • April 2016: Beratung des EU-Ministerrats, danach Abstimmung im Europäischen Parlament
  • 25. Mai 2018: Inkrafttreten der EU-Datenschutz-Grundverordnung

Ziele und Grundsätze

Zu den Zielen der EU-DSGVO gehören der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen. Dazu gehört auch deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO).

Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden:

  1. Rechtmäßigkeit
  2. Treu und Glauben
  3. Transparenz
  4. Zweckbindung
  5. Datenminimierung
  6. Richtigkeit
  7. Speicherbegrenzung
  8. Integrität und Vertraulichkeit
  9. Rechenschaftspflicht.

Die Datenschutz-Grundverordnung wird den Datenschutz nicht komplett neu schreiben, weist aber dennoch einige erhebliche Änderungen auf. In einer Reihe von Fachbeiträgen stellen wir die Neuerungen vor.

Folgende Beiträge wurden / werden veröffentlicht:

Sachlicher Anwendungsbereich – muss ich Datenschutz machen?

Grundsätzlich stellt sich jeder erstmal die Frage, ob Datenschutz in Ihrem Unternehmen überhaupt ausgeführt werden muss. § 2 DSGVO ist eine weit gefasste Norm. Zur besseren Erklärung haben wir einen separaten Artikel zur Beantwortung Ihrer Fragen bereitgestellt.

Nach der DSGVO ist der sachliche Anwendungsbereich für den Datenschutz eröffnet…

Räumlicher Anwendungsbereich – wer muss den Datenschutz beachten?

Eine große Neuerung im Vergleich zur Datenschutzrichtlinie 95/46/EG gibt es im Hinblick auf den räumlichen Anwendungsbereich. Zukünftig gilt zusätzlich das Marktortprinzip. Zukünftig müssen sich Unternehmen, die ihren Sitz außerhalb der EU haben, bei Verarbeitung personenbezogener Daten im Zusammenhang mit Angeboten von Waren oder Dienstleistungen in der europäischen Union an die Vorgaben der DSGVO halten. Im Gegensatz zu den derzeitigen Gesetzen fällt der Kreis der Betroffenen deutlich weiter aus.

Nach der DSGVO ist der räumliche Anwendungsbereich für den Datenschutz eröffnet, wenn…

Der Beschäftigtendatenschutz

Der Arbeitnehmerdatenschutz steht immer wieder im Mittelpunkt der Öffentlichkeit. Einen Gesetzesentwurf zum Beschäftigtendatenschutz stellte die Bundesregierung bereits im Jahre 2010 vor. Bei einem politischen Machtwechsel verschwandt der Gesetzesentwurf wieder. Die Reform des Arbeitnehmerdatenschutzes wurde aufgrund der geplanten EU-DSGVO und einer Erweiterung des BDSG vorerst ausgesetzt. 2014 wurde der Entwurf erneut im Koalitionsvertrag der Großen Koalition aufgegriffen, welcher vereinbarte, den Beschäftigtendatenschutz gesetzlich zu regeln. Das Thema Arbeitnehmerdatenschutzgesetz ist mit der kommenden Verabschiedung der Verordnung wieder aktuell. Wie weit wird der Entwurf im Hinblick auf die EU-Datenschutzgrundverordnung bestehen bleiben bzw. Anwendung finden?

Der Beschäftigtendatenschutz nach der DSGVO

Die Videoüberwachung in der DSGVO

Mit dem Inkrafttreten der Datenschutzgrundverordnung ändert sich die Zulässigkeit der Videoüberwachung. In der DSGVO sind keine expliziten Regelungen zur Zulässigkeit wie in dem BDSG geregelt. Statt einer Vorabkontrolle ist nun eine „Datenschutz-Folgeabschätzung“ notwendig. Hier ist schon zu sehen, dass gerade im Bereich Videoüberwachung deutliche Änderungen zur bisherigen Handhabung in Deutschland zu bemerken sind.

Die Videoüberwachung unter der Lupe

Übertragung von Daten in Staaten außerhalb der EU

Schon jetzt sind Übertragungen von personenbezogenen Daten in Staaten außerhalb der EU problematisch.  Auch mit Inkrafttreten wird dieses Problem nicht beseitigt. Die Differenz zwischen den einzelnen Datenniveaus ist zu groß. In sog. Drittstaaten herrscht oftmals kein angemessenes Datenschutzniveau. Wenn die EU-Kommission für den Drittstaat ein angemessenes Niveau festgestellt hat, kann ein Transfer von personenbezogenen Daten ausnahmsweise zulässig sein. Nach Inkrafttreten der DSGVO wird ein Transfer auch weiterhin eine Ausnahme sein.

Datentransfer ins Ausland

Bußgelder und Sanktionen

Unter anderem haben die Landes- und Bundesdatenschutzbeauftragten nur eingeschränkte Sanktionsmöglichkeiten, die sie bei Datenschutzverstößen nach deutschem Recht haben. Die EU-Datenschutz-Grundverordnung erweitert ihre Möglichkeit um eigene Vorschriften zu Bußgeld- und Sanktionsmöglichkeiten. Zweck ist die Bewusstseinsschärfung der Unternehmen. Zudem sollen Unternehmen vor Datenschutzverstößen bewahrt werden, da Verstöße gegen die Verordnung gleichzeitig eine Verletzung der Grundrechtecharta der Europäischen Union darstellen . Daher erhalten Sie hier einen Überblick über die Bußgelder und sonstige Sanktionen, die Sie bei Nichteinhaltung der Vorschriften treffen können.

Bußgelder und Sanktionen in der DSGVO

Veränderungen für Webseitenbetreiber

Es werden mit der EU-DSGVO folglich einige Änderungen hinsichtlich der Datenschutzerklärungen eintreten. Sie werden im Gegensatz zur aktuellen Rechtslage eher komplizierter und länger. Dabei müssen sie in einfacher, verständlicher Weise dargestellt werden. Das wird Unternehmen auf die Probe stellen. An Kinder gerichtete Webseiten müssen in kindgerechter Sprache abgefasst werden, so dass diese keine Probleme beim Verständnis haben werden. Probleme werden bei der Zustimmung durch die Person mit elterlicher Verantwortung auftreten. Zudem muss ein Unternehmen den Nutzer der Website bei dem Recht auf Vergessenwerden helfen.

Änderungen für die Handhabung der Webseiten

Rechte als Betroffener

Betroffene haben nach der DSGVO viele Rechte an der Datenverarbeitung. Sie haben ein Informationsrecht, ein Auskunfts- und Widerspruchsrecht, ein Recht auf Berichtigung, Löschung und Einschränkung sowie ein Recht auf Datenübertragbarkeit.

Im Einzelnen sind die Betroffenenrechte …

Auftragsdatenverarbeitung

Die EU-DSGVO bringt einige Änderungen wie bisher gesehen mit sich. Zwar orientiert sich die EU-DSGVO inhaltlich an dem BDSG, es gibt dennoch einige Unterschiede beim Thema Auftragsdatenverarbeitung. Die Neuerungen sollten jedem Unternehmen auch bekannt sein. Denn sowohl der für die Verarbeitung Verantwortliche (BDSG: Auftraggeber) als auch der Auftragsverarbeiter (BDSG: Auftragnehmer) können nun für eventuell eintretende Schäden wahlweise in Anspruch genommen werden. Zudem gibt es deutlich schärfere Sanktionen und Bußgelder im Gegensatz zu den bisherigen Regelungen.

Änderungen der Auftragsdatenverarbeitung

Datensicherheit in Unternehmen

Die DSGVO ändert die aktuellen Vorgaben zur Datensicherheit. Der Änderung mit inbegriffen sind solche der technischen und organisatorischen Maßnahmen. Teilweise bleiben uns bekannte Begriffe aus dem BDSG bestehen, andere werden abgeändert durch andere Begriffe. Es gibt allerdings auch neue Vorgaben, die den Stand der Technik, die Belastbarkeit von Systemen oder deie Anforderungen an data protection by default betreffen. Hinzu kommt auch, dass Verantwortliche und Entwickler bei Systemen auf Datenschutz iSd. data protection by design Wert legen sollen. Die Umstrukturierung in Unternehmen wird viel Zeit beanspruchen und neue Verfahren und Prozesse müssen entsprechend der DSGVO etabliert werden.

Datensicherheit in der DSGVO

Datenschutz-Folgenabschätzung

Die aus dem BDSG bekannte Vorabkontrolle wird ab Mai 2018 durch die Datenschutz-Folgenabschätzung (DSFA) ersetzt. Allerdings ist derzeit nur eine Mindestanforderung bekannt, nach der Unternehmen die künftige Datenschutz-Folgenabschätzung durchführen müssen.

Artikel zur DSFA

Aufgaben des Datenschutzbeauftragten

Der Aufgabenkreis des Datenschutzbeauftragten erhält durch die DSGVO eine Erweiterung. Positiv gesehen erfolgt dadurch eine Aufwertung seiner Stelle im Unternehmen. Negativ gesehen erhöht sich allerdings auch der Haftungsumfang. Die Mitarbeiter des Unternehmens sollten jedenfalls bis zum Inkrafttreten der DSGVO hinreichend sensibilisiert werden.

Die Aufgaben des DSB

Falls Fragen Ihrerseits bestehen, melden Sie sich bitte über unser Kontaktformular oder schreiben Sie eine eMail an dsb@anka.eu.