Datenschutz und Datenschutz-Compliance gemäß DSGVO / GDPR

Seit dem 25.05.2018 ist das altbekannte Bundesdatenschutzgesetz (BDSG) aufgehoben und es gilt die europäische Datenschutzgrundverordnung (DSGVO / GDPR). Die DSGVO wirkt als Verordnung dabei ohne weiteren Umsetzungsakt durch die Mitgliedsstaaten als direkt geltendes Recht.

Die Datenschutzgrundverordnung führt zu einer erfreulichen Vereinheitlichung der Normen innerhalb der EU, sodass insbesondere grenzüberschreitende Vorgänge innerhalb der EU nun deutlich rechtssicherer und zügiger zu gestalten sind. Allerdings sieht die DSGVO erhebliche Bußgelder im Falle von Verstößen vor. Betrug der Bußgeldrahmen nach dem BDSG noch bis zu 0,3 Mio. EUR, beträgt er nach der DSGVO nun bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes. Nach Art. 83 DSGVO soll das Bußgeld zwar verhältnismäßig sein, aber „in jedem Einzelfall [...] abschreckend“. Auf die Einhaltung der datenschutzrechtlichen Vorschriften sollte daher spätestens ab dem 25.05.2018 im Rahmen der Unternehmenscompliance deutlich genauer geachtet werden.

Die DSGVO enthält zahlreiche Neuerungen, darunter:

Strenge Anforderungen an die Einwilligung

Art. 7 DSGVO enthält strengere Anforderungen als das BDSG an die Freiwilligkeit der Einwilligung. Wie bereits bislang muss eine Einwilligung freiwilllig abgegeben werden. Allerdings ist gemäß Art. 7 Abs. 4 DSGVO nun für die Beurteilung der Freiwilligkeit zu beachten, ob die Erfüllung eines Vertrags von einer Einwilligung abhängig ist, und ob sich die Einwilligung dabei auf Verarbeitungen bezieht, die für die Erfüllung des Vertrags nicht erforderlich sind. Art. 7 Abs. 4 DSGVO formuliert dies wie folgt:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Wenn also beim Abschluss eines Vertrages zwingend eine Einwilligung erteilt werden muss und sich diese nicht direkt auf die Vertragserfüllung bezieht, spricht dies nach der Neureglungen deutlich gegen eine Freiwilligkeit der Einwilligung mit der Folge, dass die Einwilligung unwirksam ist. Dies kann bereits dann angenommen werden, wenn im Rahmen der Bestellung in einem Onlineshop zwingend eine Einwilligung in den Erhalt eines Newsletters gefordert wird. Auch eine zwingend anzugebende Telefonnummer im Rahmen der Registrierung in einem Onlineportal ist damit im Regelfall als kritisch zu erachten, wenn sich aus der Art des Onlineportals nicht eine Besonderheit ergibt.

Haftung auch des Auftragsverarbeiters

Die bislang aus § 11 BDSG bekannte Auftragsdatenverarbeitung (ADV) wird in Art. 28 DSGVO geregelt. Der Name hat sich dabei leicht geändert. Anstatt Auftragsdatenverarbeitung heißt das Rechtsinstitut nun lediglich Auftragsverarbeitung.

Eine Änderung mit erheblichen Folgen ist die Neureglung der Verantwortlichkeit. Anders als unter dem BDSG hat nach der DSGVO auch der Auftragnehmer für die Einhaltung zahlreicher Vorschriften im Hinblick auf die Ordnungsgemäßheit der Auftragsverarbeitung Sorge zu tragen. Gemäß Art. 83 Abs. 4 lit a) DSGVO sind Verstöße des Auftragsverarbeiters gegen einige dieser Vorschriften zudem bußgeldbewehrt.

Data Breach Notification

In das BDSG wurde mit § 42a BDSG erst spät eine Meldepflicht aufgenommen. In Artt. 33 f. DSGVO finden sich nun deutlich verschärfte Meldepflichten. Nach Art. 33 DSGVO müssen nämlich unverzüglich und „möglichst binnen 72 Stunden“ seit Kenntniserhalt Verletzungen des Schutzes personenbezogener Daten der Aufsichtsbehörde gemeldet werden. Überschreitungen des Zeitraums von 72 Stunden sind zu begründen. Nach Art. 34 DSGVO muss zudem der Betroffene benachrichtigt werden, wenn die Verletzung des Schutzes personenbezogener Daten „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat“.

Datenschutz-Folgenabschätzung

Neu ist auch das Institut der Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO. Danach muss dann, wenn ein Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, vorab eine Abschätzung der Folgen vorgenommen werden. Derartige Risiken werden insbesondere bei der Verwendung neuer Technologien angenommen, wenn diese aufgrund ihrer Art, ihres Umfangs, der Umstände oder ihres Zwecks ein Risiko für den Schutz der personenbezogenen Daten bedeutet. Die Aufsichtsbehörden dürfen ergänzende Listen erstellen, aus denen sich ergibt, für welche Verarbeitungsvorgänge Datenschutz-Folgenabschätzungen erforderlich sind und für welche nicht.

Eine Datenschutz-Folgenabschätzung hat zumindest das Folgende zu enthalten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung zu tragen ist.

Privacy-by-Design und Privacy-by-Default

Die DSGVO enthält mit Art. 25 DSGVO nun eine Regelung zur Gestaltung von Technik. Technik muss danach so gestaltet werden, dass sie vom Design her die Datenschutzgrundsätze, wie z. B. die Datenminimierung, technisch bereits beachtet (Privacy-by-Design) und zugleich datenschutzfreundliche Voreinstellungen (Privacy-by-Default) getroffen werden. Damit sind bereits im Stadium der Entwicklung von Hard- und Software die Anforderungen der DSGVO zu beachten.

Recht auf Datenübertragbarkeit („Datenportabilität“)

Neu ist auch die Regelung in Art. 20 DSGVO, wonach eine betroffene Person das Recht hat, die sie betreffenden personenbezogenen Daten, in einem strukturierten, gängigen und maschinenlesbaren Format heraus zu verlangen. Das Ziel der Regelung ist es, „Lock-In-Effekte“ im Hinblick auf einen bestimmten Anbieter zu vermeiden. Betroffene soll derart die Möglichkeit eröffnet werden, ihre personenbezogenen Daten zu einem anderen Anbieter „umziehen“ zu können.

E-Privacy-Verordnung

Bestimmte für den Bereich der elektronischen Kommunikation (also insbesondere den Internetbereich) maßgebliche Regelungen werden in einer (derzeit noch im fortgeschrittenen Entwurfsstadium befindlichen) E-Privacy-Verordnung geregelt werden. Dies betrifft z. B. die Erhebung von Daten aus Smartphones und den Umgang mit Cookies.

Fazit

Die DSGVO bringt zahlreiche Änderungen, die zum Teil eine grundlegende Neubewertung der bisherigen Ausgestaltung von Verarbeitungsvorgängen in Unternehmen bedeuten können. Selbst die Art und Weise der Erteilung von Einwilligungen kann unter dem Gesichtspunkt der Freiwilligkeit zu prüfen sein. Schon angesichts des erheblichen Bußgeldrahmens und auch der neuen Meldepflicht gegenüber den Betroffenen, die zu einer Schädigung des Außenauftritts eines Unternehmens führen können, sollten die Verarbeitungsvorgänge im Unternehmen genau geprüft und anhand der DSGVO zum Stichtag ihres Inkrafttretens (25.05.2018) ausgestaltet werden.