Einigung auf endgültige Datenschutz-Grundverordnung erzielt
Ein Kompromiss hinsichtlich der endgültigen Fassung der EU-Datenschutz-Grundverordnung (DSGVO) im Rahmen der Trilog-Treffen der EU-Organe ist gefunden. Der Entwurf wurde am 16.12.2015 durch den LIBE-Ausschuss angenommen. Das Gesetz soll europaweit verbindliche und einheitliche Regelungen für den Datenschutz in Europa schaffen.
Die DSGVO wird vielfältige Änderungen für Unternehmen nach sich ziehen, die voraussichtlich im 1. Quartal 2018 in Kraft treten werden. Die Zustimmung von Rat und Parlament erscheint als bloße Formsache. Die nationalen Regelungen wie das BDSG müssen in der Zeit bis 1. Quartal 2018 an die DSGVO angepasst werden.
Ein Überblick über die wichtigsten Regelungen der Datenschutz-Grundverordnung:
- Erweiterte Transparenz- und Informationspflichten (Art. 12): Die DSGVO sieht erweiterte Transparenz- und Informationspflichten von Unternehmen gegenüber Betroffenen vor. So stellt Art. 14 eine Liste von Informationen auf, die bei einer Daten-verarbeitung dem Betroffenen mitgeteilt werden müssen. Bei einer Zweckänderung ist der Betroffene bereits zu informieren, bevor mit der Verarbeitung begonnen wird (Abs. 1b). Zusätzlich dazu haben Betroffene – wie bislang – ein Auskunftsrecht gegenüber datenverarbeitenden Stellen.
- Data Protection Impact Assessments (Art. 33 f.): Die neue Verpflichtung zu einer eigenen Prüfung des Datenschutzniveaus gewinnt gegenüber der Vorabkontrolle an Bedeutung. Durchzuführen ist das Impact Assessment, wenn es bei der Nutzung von „neuen Technologien“ wahrscheinlich ist, dass hohe Risiken für die Persönlichkeits-rechte entstehen. Zugeschnitten ist die Regelung insbesondere auf Big Data und die Verarbeitung großer Mengen an höchstpersönlichen Daten, geht insgesamt aber deutlich weiter. Die Aufsichtsbehörden sollen Listen erstellen, welche Datenverarbeitungen hier für relevant gehalten werden (Abs. 2a). Unternehmen sehen sich hier deutlich vertieften Dokumentationspflichten ausgesetzt.
- Werbliche Nutzung von Daten: Die Datenverarbeitung soll künftig zwar weiterhin die „berechtigten Interessen der verantwortlichen Stelle“ berücksichtigen (Art. 6 Abs. 1 lit. f DSGVO), jedoch soll laut Erwägungsgrund 38 verstärkt auf die „berechtigten Erwartungen“ der Betroffenen abgestellt werden. Eindeutig ist daher nur, dass Werbung zulässig ist nach Einwilligung des Betroffenen (Art. 6 Abs. 1 lit. a DSGVO).
- One-Stop-Shop: International tätige Unternehmen werden grundsätzlich nur der Aufsichtsbehörde am Hauptsitz des Unternehmens unterliegen (Art. 46, 54a DSGVO-E). Dies ist zu begrüßen, da den Unternehmen so vielfach ein einzelner Ansprechpartner zur Verfügung steht.
- Verantwortlichkeit (“Accountability“): Neu sind Regelungen, wonach – ähnlich von Compliance-Vorschriften – Unternehmen dokumentieren müssen, wie sie die Einhaltung der Datenschutzvorschriften umsetzen (Art. 5 Abs. 2 DSGVO-E). Kann keine saubere Dokumentation vorgelegt werden, drohen Nachteile im Prozess oder gegenüber Betroffenen.
- Risikobasierter Ansatz der Datenverarbeitung: Die DSGVO geht im Kern davon aus, dass Regelungen zur Datenverarbeitung nicht streng festgelegt sein sollen, sondern stattdessen vielfach eine Interessenabwägung stattfinden soll. Dies führt zu Rechtsunsicherheit, da unklar ist, wie Gerichte und Aufsichtsbehörden eine Datenverarbeitung bewerten werden.
- Berücksichtigung neuer Rechte für Betroffene: Die DSGVO sieht für Betroffene verschiedene Rechte vor, wie z. B. das Recht auf Datenportabilität (Art. 18) oder das Recht auf Vergessenwerden (Löschungsrecht, Art. 17). Unternehmen müssen hier intern Prozesse implementieren, um diesen Anforderungen gerecht zu werden.
- Beschäftigtendatenschutz: Es ist vorgesehen, dass im Beschäftigtendatenschutz einzelstaatliche Regelungen in Kraft bleiben können (Art. 82 DSGVO). Daher werden voraussichtlich die bestehenden deutschen Regelungen weiter Bestand haben. Auch Betriebsvereinbarungen bleiben möglich, müssen jedoch an die Vorgaben der DSGVO angepasst werden.
- Datenschutzbeauftragte: Zwingend ist die Bestellung eines Datenschutzbeauftragten nur, wenn die Kernaktivitäten einer Stelle eine “ständige und systematische Kontrolle der Betroffenen in großem Umfang erfordern” oder besondere personenbezogene Daten in großem Umfang erhoben werden (Art. 35 ff.). Darüber hinaus können die Einzelstaaten die Bestellung von Datenschutzbeauftragten national regeln. Es ist zu erwarten, dass in Deutschland auch weiterhin betriebliche Datenschutzbeauftragte verpflichtend sein werden.
- Bußgelder: Als maximale Bußgelder bei Datenschutzverstößen werden nunmehr Beträge von höchstens 20 Mio. € oder 4 % des weltweiten Jahresumsatzes einer Unternehmensgruppe vorgesehen (Art. 79 Abs. 3 DSGVO-E). Die Einhaltung von Datenschutzvorschriften wird daher umso wichtiger.
Kurze Übergangsfrist – sofortiger Handlungsbedarf
Angesichts der vielfältigen sich ergebenden Änderungen sind zwei Jahre Umsetzungsfrist eine kurze Zeit. Datenverarbeitende Stellen sollten sich umgehend informieren und möglichst frühzeitig mit der Umsetzung der neuen Regelungen beginnen.
Gerne unterstützen wir Sie bei der Umsetzung der neuen Regelungen und bieten hierzu auch Inhouse-Seminare an. Wenden Sie sich gerne an Dr. Drewes unter