WK LEGAL | SPRECHEN SIE UNS GERNE AN

Das Team von WK LEGAL steht Ihnen gerne jederzeit für Ihre rechtlichen Fragen am Standort Berlin, telefonisch oder per E-Mail zur Verfügung. Dabei legen wir besonderen Wert darauf für unsere Mandanten wirtschaftlich optimale Ergebnisse zu entwickeln, die rechtlich fundiert sind und das Ziel unserer Mandanten erreichen.

Datenschutzgrundverordnung (DSGVO) – Ein Überblick

02.03.2018 | Autor: Guido Kluck, LL.M.

Ab dem 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) anwendbar. Dieser Umstand sollte in allen Unternehmen zwischenzeitlich bekannt sein. Doch viele Unternehmen haben sich noch nicht mit den Anforderungen der Datenschutzgrundverordnung auseinandergesetzt oder sie bereits umgesetzt. Um den Einstieg in die Umsetzung zu erleichtern möchten wir daher nachfolgend einen kurzen Überblick über die wesentlichen Anforderungen an Unternehmen geben, wobei die einzelnen Bereiche aufgrund deren Umfang im Rahmen dieses Überblicks nicht abschließend behandelt werden können. Die einzelnen Themen werden wir in den kommenden Wochen in einer Serie zur DSGVO jeweils gesondert darstellen.

Die wichtigsten Änderungen und Neuerungen

Ziel des DSGVO ist die Vereinheitlichung der datenschutzrechtlichen Standards in Europa. Die bundesdeutschen Regelungen waren in der Vergangenheit in verschiedenen Aspekten intensiver ausgestaltet als dies teilweise in europäischen Nachbarstaaten der Fall war, so dass teilweise Änderungen der Regelungen in Deutschland eintreten und teilweise neue Regelungen hinzu kommen, die auch das Bundesdatenschutzgesetz bisher so nicht vorgesehen haben.

Teilweise geändert und teilweise erneuert wurden insbesondere sehr umfassende Informationspflichten, die Unternehmen verpflichten ihre auf der Internetseite oder an sonstiger Stelle vorgehaltenen Rechtstexte zu überarbeiten, um Betroffene auch zukünftig noch ausreichend zu informieren. Die Informationspflichten wurden teilweise auch erweitert. Neu hinzugekommen ist insbesondere die sog. Datenschutzfolgenabschätzung bei besonderen Risiken für die erhobenen Daten. Ebenfalls neu ist, dass auch Auftragsdatenverarbeiter, die zukünftig nur noch Auftragsverarbeiter in der gesetzlichen Regelung heißen werden, ein Verzeichnis für Verarbeitungstätigkeiten führen müssen. Diese Verzeichnis der Verarbeitungstätigkeiten, welches in ähnlicher Form auch schon im Bundesdatenschutzgesetz vorgesehen war, ist zukünftig von jedem Unternehmen zu führen. Darüber hinaus wird in Kombination mit den Neuerungen des neuen Bundesdatenschutzgesetzes die Pflicht zur Bestellung eines Datenschutzbeauftragten erweitert.

Besondere Anforderungen werden an Unternehmen durch die sehr komplex gewordenen und nun alle Unternehmen treffenden Dokumentationspflichten gestellt. Diese Dokumentation ist stets auf einem aktuellen Stand zu halten, da diese auf Anforderung der Aufsichtsbehörde in gedruckter oder elektronischer Form zur Verfügung gestellt werden muss.

Zusätzlich müssen in allen Unternehmen die technisch organisatorischen Maßnahmen anhand des Risikos für die verarbeiteten Daten eingeschätzt werden. Viele Unternehmen dürften aufgrund dessen verpflichtet sein weitere technisch organisatorische Maßnahmen zu ergreifen, um den Anforderungen an die Datenschutzgrundverordnung gerecht zu werden.

Die Datenverarbeitung

Auch nach der DSGVO ist die Verarbeitung von Daten nur noch dann zulässig, wenn die Verordnung oder ein anderes Gesetz diese Datenverarbeitung erlaubt. Die DSGVO sieht hierfür Erlaubnistatbestände vor, die eine Datenverarbeitung z.B. erlauben, wenn eine Einwilligung des Betroffenen vorliegt oder die Verarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Aber auch wenn eine gesetzliche Pflicht besteht ist eine Datenverarbeitung zulässig. Insoweit ändert sich zu der bisher in Deutschland nach dem Bundesdatenschutzgesetz vorliegenden Regelung nicht besonders viel.

Für Erhebung und Verarbeitung personenbezogener Daten gilt aber nach Art. 6 Abs. 4 DSGVO der Grundsatz der Zweckbindung. Daten dürfen ausschließlich für einen Zweck erhoben werden, der im Vorfeld festgelegt wurde. Anschließend erfolgt die sogenannte Erstverarbeitung.

Hinsichtlich der bereits im Unternehmen bestehenden Daten besteht für Unternehmen die Verpflichtung eine Prüfung vorzunehmen, ob die dort verarbeiteten Daten diesen aktuellen Anforderungen noch entsprechen. Nur dann ist eine weitere Verarbeitung dieser Daten zulässig. Fehlt es z.B. an einer ausreichenden Einwilligung für bestimmte Daten oder besteht für die Verarbeitung „alter Kundendaten“ keine sonstige gesetzliche Verpflichtung mehr, so ist die weitere Verarbeitung dieser „Altbestände“ nicht mehr zulässig.

Datenschutzfolgenabschätzung

Neu in der DSGVO ist die sog. Datenschutzfolgeabschätzung. Diese ist in Art. 35 DSGVO geregelt. Ist in einem Unternehmen ein Datenschutzbeauftragter bestellt, so ist dieser in die Datenschutzfolgenabschätzung mit einzubeziehen.

Die Datenschutzfolgenabschätzung beinhaltet drei Stufen, die durchgeführt werden müssen.

1. Stufe
Anhand der verarbeiteten Daten ist zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Art. 35 Abs. 3 DSGVO als nennt als Hauptanwendungsgebiete Technologien, die automatisiert, systematisch und umfassend Daten erfassen, verarbeiten und bewerten.

2. Stufe
Besteht nach der ersten Stufe ein solches Risiko, dann muss in der zweiten Stufe geprüft werden, ob die geplanten Abhilfemaßnahmen und Sicherheitsvorkehren ausreichen, um den Schutz der Daten zu gewährleisten. Außerdem muss der Nachweis erbracht werden, dass die DSGVO eingehalten und den Interessen der Betroffenen Rechnung getragen wird.

3. Stufe
Kommt man in Stufe 2 zu dem Ergebnis, dass trotz ergriffener oder geplanter Maßnahmen ein hohes Risiko besteht, muss die Aufsichtsbehörde informiert werden, die dann innerhalb einer Frist von 8 Wochen Empfehlungen aussprechen kann.

 

Technisch organisatorische Maßnahmen

Unternehmen müssen sog. geeignete technisch organisatorische Maßnahmen (TOM) treffen, um für die verarbeiteten Daten Datenschutz und Datensicherheit zu gewährleisten. Dabei bedarf es einer Abschätzung wie gefährdet die verarbeiteten Daten sind und ob es sich um Daten mit einem nach der DSGVO vorgesehenen hohen Risiko handelt. Dies würde z.B. bei Gesundheitsdaten und biometrischen Daten in jedem Fall gegeben sein. Anhand dieser Einschätzung und unter Berücksichtigung des im Unternehmen vorgehaltenen Stand der Technik müssen dann ggf. weitere Maßnahmen ergriffen werden, um ausreichende technisch organisatorische Maßnahmen für den Datenschutz und die Datensicherheit der betroffenen Daten herzustellen.

Informationspflichten

Die DSGVO normiert in Art. 13, 14 DSGVO umfangreiche Informationspflichten für Unternehmen, wenn Daten beim Betroffenen oder bei Dritten erhoben werden. Dritter im Sinne dieser Vorschrift könnten z.B. Auskunfteien wie die Schufa sein. Eine Ausnahme gilt nur insoweit, wie der Betroffene z.B. über diese Informationen schon verfügt. Der Anspruch ist auch dann ausgeschlossen, wenn die Informationserteilung einen unverhältnismäßig hohen Aufwand erfordert oder gar unmöglich ist. In diesem Fall ist allerdings eine öffentliche Bekanntmachung dieser Information, z.B. auf einer Webseite, erforderlich.

Alle zukünftigen Informationspflichten können nur dann erfüllt sein, wenn die Informationen dem Betroffenen auf eine präzise, transparente, verständliche und leicht zugängliche Form sowie in einer klaren und einfachen Sprache bereitgestellt werden. Durch diese Regelung soll es allen Betroffenen ermöglicht werden diese Informationen zu verstehen und nachvollziehen zu können, ohne dass sich Regelungen hinter schwierigen juristischen Formulierungen verbergen können.

Betroffenenrechte

Die Rechte der Personen, deren personenbezogenen Daten in Unternehmen verarbeitet werden, werden zukünftig gemeinsam Betroffenenrechte genannte. Diese entsprechen teilweise den bisherigen Regelungen und werden teilweise erweitert.

So hat jeder Betroffene auch zukünftig das Recht auf Auskunft, welche Daten von ihm verarbeitet wurden. Hinzu gekommen ist die Verpflichtung für Unternehmen dem Betroffenen auf Anforderung eine Kopie der Daten und deren Übermittlung in einem „gängigen“ Dateiformat verlangen kann.

Das von der Rechtsprechung entwickelte sog. „Recht auf Vergessenwerden“ erhält mit der DSGVO Gesetzesrang. Nach Art. 17 DSGVO besteht für Betroffene ein Recht auf Löschung der verarbeiteten Daten, wenn die Speicherung der Daten nicht mehr notwendig ist, der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat, die Daten unrechtmäßig verarbeitet wurden oder eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht.

Das Recht auf Vergessenwerden findet allerdings keine Anwendung, wenn die freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen, die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient, das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt, Archivzwecke, wissenschaftliche und historische Forschungszwecke dem entgegenstehen oder die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Nicht ganz so weitgehend steht Betroffenen nach Art. 16 DSGVO auch ein Recht auf Berichtigung der verarbeiteten Daten beim Unternehmen zu. Danach können Betroffene verlangen, dass unrichtige personenbezogene Daten berichtigt und unvollständige vervollständigt werden.

Schließlich haben Betroffene das sog. Recht auf Datenportabilität oder auch Datenübertragbarkeit der von ihm zur Verfügung gestellten Daten. Danach können Betroffene von dem datenverarbeitenden Unternehmen nach der Regelung der DSGVO verlangen, dass das Unternehmen dem Betroffenen „seine Daten“ in einem strukturierten, maschinenlesbaren Format übermittelt.

Meldepflicht bei Datenpannen

Kommt es trotz aller ergriffenen Maßnahmen im Unternehmen einmal zu einer Datenpanne, dann schreibt die DSGVO vor. Nach den Regelungen der DSGVO müssen alle Verletzungen des Schutzes personenbezogener Daten gemeldet werden, soweit das Risiko für persönliche Rechte und Freiheiten wahrscheinlich ist. Hierfür gilt eine nicht verlängerbare Frist von 72 Stunden.

Gegenüber Betroffenen besteht für Unternehmen die Verpflichtung die von der Verletzung betroffenen Personen direkt zu benachrichtigen. Die Benachrichtigungspflicht entfällt nur dann, wenn das Unternehmen Vorkehrungen getroffen hat, die Daten Unbefugten unzugänglich zumachen, z.B. durch eine Verschlüsselung der Daten, oder der Verantwortliche nachträglich Maßnahmen ergriffen hat, durch die das hohe Risiko für die Rechte und Freiheiten der Betroffenen aller Wahrscheinlichkeit nach nicht mehr bestehen oder die Benachrichtigung der Betroffenen einen unverhältnismäßig hohen Aufwand erfordern würde. In diesem Fall muss dann allerdings eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen.

Dokumentationspflichten

In Art. 30 DSGVO schreibt die DSGVO vor, dass der Unternehmen bzw. der Auftragsverarbeiter ein „Verzeichnis der Verarbeitungstätigkeiten“ führen müssen. Dabei handelt es sich um eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden.

Darüber hinaus sind in diejenigen Prozesse, die z.B. für die Einhaltung der Betroffenenrechte oder der Meldepflichten im Unternehmen einzurichten sind in die Dokumentation mit aufzunehmen.

Zusammenfassung

Die Pflichten, die Unternehmen ab dem 25. Mai 2018 erweitern die bisherigen Pflichten deutlich. Unternehmen sollten sich hierauf auch gut einstellen, denn datenschutzrechtliche Verstöße können auch das Risiko einer Abmahnung durch einen Mitbewerber begründen. Stellen Aufsichtsbehörden eine Verletzung einer der Unternehmen obliegenden Pflichten fest, so können Bußgelder ausgesprochen werden, die gegenüber den bisherigen Regelungen drastisch erhöht wurden und bis zu einem Betrag von 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens betragen können. Dabei gilt der Betrag als maßgeblich, der höher ist.

WK LEGAL berät Unternehmen bei der Umsetzung der Pflichten der DSGVO. Auch können Unternehmen bei der Umsetzung begleitet werden, um alle gesetzlichen Pflichten innerhalb der verbleibenden Frist umzusetzen. Weitere Informationen hierzu finden Sie auch unter www.wklegal.de/dsgvo

Über den Autor

Guido Kluck, LL.M.

Rechtsanwalt Guido Kluck LL.M. (Informationsrecht) ist Partner der Kanzlei WK LEGAL am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Social Media Recht.