+49 30 285 058 56 berlin@res-media.net
Fachanwälte in Kooperation

Die neue Europäische Datenschutz-Grundverordnung – das kommt auf Sie zu

In sogenannten „Trilog-Verhandlungen“ haben die Mitglieder des Europäischen Parlaments, der EU-Kommission und des Ministerrates seit Juli 2015 über einen allgemeinverbindlichen Entwurf der neuen Europäische Datenschutz-Grundverordnung (DSGVO) beraten. Dieser finale Entwurf der Verordnung wurde jetzt schließlich am 15. Dezember 2015 beschlossen.
Bereits im Januar 2012 hatte die Europäische Kommission einen ersten Entwurf der EU-Datenschutzreform bekanntgegeben. Das Europäische Parlament präsentierte einen abgeänderten Entwurf im März 2014 und der Europäische Rat hatte im Juni 2015 dann einen nochmals abgeänderten Entwurf vorgestellt.
Mit Inkrafttreten der DSVGO – also nach Übersetzung in alle Ländersprachen der EU übersetzt und der Verkündigung im EU-Amtsblatt – ist eine zweijährige Übergangsfrist vorgesehen, bevor sie schließlich zur verbindlichen Anwendung gelangt. Die Verordnung wird somit voraussichtlich ab Anfang 2018 europarechtlich die aus dem Jahr 1995 stammende Richtlinie 95/46/EG (Datenschutzrichtlinie) sowie bundesrechtlich das Bundesdatenschutzgesetz (BDSG) ersetzen, da sie ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedsstaaten Geltung erlangt. Von der Verordnung abweichende nationale Regelungen sind rechtlich unzulässig.

  • Was ist Zweck der Verordnung?

Ziel der Verordnung ist es nach Artikel 1 DSGVO, eine europäische Vereinheitlichung der Regeln  für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen zu schaffen. Hierdurch soll ein gerechter Ausgleich zwischen dem allgemeinen freien Datenverkehr und dem individuellen Schutz personenbezogener Daten innerhalb der Union gewährleistet werden.

  • Für wen gilt die Verordnung?

Die Verordnung regelt sachlich alle Umstände bezüglich der Verarbeitungsprozesse personenbezogener Daten. Räumlich gilt die Verordnung für alle in der EU ansässigen Unternehmen. Erfasst werden dabei aber auch ausländische Dienstleister oder in deren Auftrag tätige Unternehmen, die keine Niederlassung in der EU haben, ihre (unentgeltliche oder entgeltliche) Tätigkeit jedoch auf die EU ausrichten, indem sie mit personenbezogenen Daten von in der EU ansässigen Personen arbeiten.
Daher sollten Unternehmen mit Standort, Kunden oder Mitarbeitern innerhalb Europas bereits schon jetzt damit beginnen, sich auf die neuen Anforderungen einzustellen. Nur so ist eine gesetzesonforme Umsetzung bei Inkrafttreten der Verordnung zeitnah möglich. Die Grundlage für eine solche Umsetzung kann geschaffen werden, indem Datenbestand, Datenflüsse und Datenverarbeitungsprozesse identifiziert und in einer Bestandsaufnahme bereits jetzt zusammengestellt werden.

  • Welche wichtigen inhaltlichen Änderungen wird es geben?

Inhaltlich bringt die Verordnung einige signifikante Neuerungen und verbindliche Vorgaben mit sich, die insbesondere für Unternehmen wichtig sind:
Pflicht zur Transparenz (Artikel 12 DSGVO)
Die für die Datenverarbeitung verantwortlichen Stellen sind verpflichtet, allgemein verständliche und leicht zugängliche Datenschutzerklärungen zu erstellen. In diesen haben sie über die Umstände der Datenverarbeitung (wie etwa die Dauer der Speicherung der verarbeiteten Daten) zu informieren und die Betroffenen über deren Rechte zu belehren. Außerdem haben die Stellen mittels eines elektronischen Verfahrens den Betroffenen die Möglichkeit einzuräumen, diese Rechte auch direkt geltend machen zu können.
Werden die Daten automatisiert verarbeitet, müssen den betroffenen Personen diese bei Nachfrage elektronisch zur Verfügung gestellt werden.
Recht auf Löschung (Artikel 17 DSGVO)
Grundsätzlich dürfen personenbezogene Daten nur mit Einwilligung des Betroffenen genutzt werden. Ähnliche Anforderungen gelten für das Erstellen von Nutzerprofilen.
Die Verordnung sieht nunmehr ein verbindliches Recht auf Berichtigung und Löschung vor, sofern personenbezogene Daten ohne entsprechende Einwilligung verwendet werden.
Auch die für die Veröffentlichung der Daten verantwortliche Stelle kann verpflichtet werden, alle notwendigen Maßnahmen zu ergreifen, die Daten bei Dritten löschen zu lassen.
Anforderungen an die verantwortlichen Stellen (Artikel 22 und 23 DSGVO)
Die für die zu gewährleistende Sicherheit der Daten verantwortlichen Stellen werden verpflichtet, geeignete organisatorische und technische Maßnahmen zu ergreifen, um die Einhaltung der Verordnung zu gewährleisten und die entsprechenden Arbeitsabläufe datenschutzfreundlich zu gestalten.
Folgenabschätzungen (Artikel 33 ff. DSGVO)
Der geplanten Datenverarbeitung vorausgehend, haben die für die Daten verantwortlichen Stellen regelmäßig Risikoanalysen und datenschutzrechtliche Folgenabschätzungen durchzuführen. Wird hierbei ein besonderes Sicherheitsrisiko festgestellt, ist die zuständige Datenschutzbehörde zu informieren, welche daraufhin entscheidet, ob die Datenverarbeitung genehmigt werden kann oder zu untersagen ist.
Datenschutzbeauftragter (Artikel 35 ff. DSGVO)
Die Verordnung sieht in bestimmten Fällen die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten vor.
Weitergabe von Daten an Drittländer (Artikel 40 ff. DSGVO)
Die Weitergabe personenbezogener Daten in ein Drittland oder an eine internationale Organisation kann nur erfolgen, wenn hierbei die Bestimmungen der Verordnung eingehalten und garantiert werden können. Die EU-Kommission überprüft Drittländer dementsprechend auf ihre Geeignetheit und kann die Angemessenheit des Schutzniveaus auch für einzelne Territorien (z.B. Bundestaaten) innerhalb eines Drittlandes feststellen.
Von einem Unternehmen individuell gestaltete Datenschutzrichtlinien (Binding Corporate Rules) können einen Datentransfer in Drittländer rechtfertigen, sofern sie zuvor von einer Datenschutzaufsichtsbehörde anerkannt und genehmigt wurden.
Auch bei Anfragen zur Übermittlung von Daten durch Behörden oder Gerichte von Drittstaaten sind zunächst die Datenschutzaufsichtsbehörden zu informieren. Diese entscheiden anschließend, inwieweit ein Datentransfer erfolgen darf.
Zusammenarbeit der einzelstaatlichen Datenschutzbehörden (Artikel 64 ff. DSGVO)
Alle Leiter der nationalen Datenschutzbehörden treffen sich in einem Gremium (European Data Protection Board). Dieses Gremium koordiniert die europaweite Zusammenarbeit der jeweiligen nationalen Behörden und entscheidet bei Zuständigkeitsstreitigkeiten unter den Mitgliedsstaaten. Sofern in dem als zuständig bestimmten Mitgliedsstaat mehrere Datenschutzbehörden bestehen, ist dann die Behörde zuständig, in dem die verantwortliche Stelle ihren Hauptsitz hat.
Verbandsklage (Artikel 73 ff. DSGVO)
Personen, deren Daten ohne Einwilligung widerrechtlich verwendet wurden, können sich in einem Verband zusammenschließen. Ein solcher Verband kann in Vertretung mindestens eines Betroffenen ein Verfahren vor Gericht oder bei den Datenschutzaufsichtsbehörden einleiten. Unternehmen sind folglich künftig bei Datenschutzverstößen sowohl privaten Schadensersatzklagen, als auch Sanktionen der Behörden ausgesetzt.
Schadensersatz (Artikel 77 DSGVO)
Der Betroffene kann den ihm entstandenen (materiellen oder immateriellen) Schaden sowohl gegenüber der für die Sicherheit der Daten verantwortlichen Stelle, als auch gegenüber dem Auftragsdatenverarbeiter geltend machen (Gesamtschuldnerhaftung). Von der Haftung kann sich der Anspruchsgegner befreien, indem er den Nachweis erbringt, dass der Schaden ohne sein Verschulden entstanden ist.
Sanktionen (Artikel 78 ff. DSGVO)
Die Verordnung sieht abhängig von der Art des Verstoßes Strafen in Höhe von 10 Millionen Euro oder zwei Prozent des Jahresumsatzes eines Unternehmens (Artikel 79 Absatz 3 DSGVO) bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes (Artikel 79 Absatz 3a DSGVO) vor, je nachdem, welcher Wert der höhere ist.

An den Anfang scrollen