Die Erfüllung der Anforderungen des neuen Datenschutzrechtes ist umso wichtiger, da die Haftung
verschärft und die Bußgelder für Verstöße erhöht wurden. Somit sollte jeder, der mit
Datenverarbeitung (Speichern von Vertragsdaten, Anlegen einer Kundenkartei, Mitarbeiterdaten, Email-Marketing etc.) in Berührung kommt, sich vor Inkrafttreten der neuen
Regelungen hiermit auseinandersetzen:
Am 14. April 2016 wurde die Datenschutz-Grundverordnung (DS-GVO) vom EU Parlament verabschiedet. Sie tritt im Mai 2018 in Kraft. Eine der wichtigsten Folgen dieser Verordnung ist, dass ab 2018 ein einheitliches Datenschutzrecht in der gesamten EU gelten soll.
Das bedeutet, das die bisherigen landesrechtlichen Regelungen (insbesondere die Regelungen des BDSG und TMG) zunächst einmal hinter den Regelungen der DS-GVO zurücktreten. Allerdings erlaubt die DS-GVO den Mitgliedsstaaten an einigen Stellen abweichende Sonderregelungen zu treffen, jedoch nur, wenn diese den Datenschutz intensivieren. Somit ergibt sich ein einheitlicher Mindeststandard in der ganzen EU, den Sie als Unternehmensinhaber/ Unternehmer zumindest in den nachfolgend dargestellten Grundzügen kennen sollten.
Dieser Beitrag soll nun dazu dienen, einen kurzen Überblick über die wichtigsten Neuerungen zu geben.
Wann und wo gilt die DS-GVO?
Die DS-GVO gilt für die Verarbeitung personenbezogener Daten, also solcher Daten, die im Bezug zu bestimmten oder bestimmbaren Personen stehen. Eine Definition findet sich in Art. 4 Nr. 1 DS-GVO. Nicht erfasst sind nach wie vor die Datenverarbeitung für persönliche und familiäre Tätigkeiten.
Räumlich gesehen folgt die DS-GVO dem „Marktortprinzip“ und gilt damit für jeden, der Waren in der EU anbietet bzw. die Absicht hat, sich an Verbraucher in der EU zu wenden. Da sie auch schon bei der Beobachtung des Verhaltens von Personen in der EU greift, ist jede Form des Webtrackings erfasst, soweit Personen aus der EU betroffen sind.
Wann ist die Datenverarbeitung grundsätzlich erlaubt?
Die Rechtmäßigkeit der Datenverarbeitung richtet sich nach Art. 6 DS-GVO. Der derzeit geltende Grundsatz des Verbots mit Erlaubnisvorbehalt wird beibehalten. D.h. eine Verarbeitung ist grundsätzlich dann zulässig, wenn eine Einwilligung des Betroffenen oder eine gesetzliche Ermächtigung hierzu vorliegt. Daneben tritt der Erlaubnisgrund der Verarbeitung auf Basis überwiegender Interessen.
Ändern sich die Anforderungen an eine wirksame Einwilligung?
Wie sind Sie bisher vorgegangen, wenn Sie personenbezogene Daten "sammeln", speichern und nutzen wollten, etwa um eine Kundenkartei anzulegen, Vertragsunterlagen zu systematisieren oder eine Email-Marketing-Aktion zu starten? Der Vertragspartner musste zuvor der Speicherung seiner Daten zustimmen, meist findet sich eine Erklärung hierzu in den Vertragsunterlagen.
Bisherige Voraussetzungen für eine wirksame Einwilligung nach § 4 a BDSG waren: eine freie Entscheidung, eine ausführliche, erkennbare Information, die Schriftform und die Widerruflichkeit.
Dies entspricht im Wesentlichen auch den Anforderungen nach der DS-GVO.
Bezüglich der Freiwilligkeit ist insbesondere das ausdrückliche Kopplungsverbot in Art. 7 Absatz 4 DS-GVO zu beachten, wonach der Abschluss eines Vertrages nicht von der Erlaubnis der weiteren Verarbeitung der Daten abhängig gemacht werden darf. Auch muss die Möglichkeit bestehen, in verschiedene Datenverarbeitungsvorgänge getrennt einzuwilligen, ansonsten wird eine fehlende Freiwilligkeit vermutet.
Eine Änderung ergibt sich aber bezüglich der Form der Einwilligung, denn die DS-GVO verlangt keine Schriftform. Allerdings muss die Einwilligung nachweisbar sein. Erforderlich ist hierfür eine eindeutige Handlung, was wohl im Regelfall eine aktive Handlung durch den Betroffenen voraussetzt. Eine stillschweigende Zustimmung oder ein Opt-Out-Verfahren wird demnach, im Gegensatz zur Linie der derzeitigen BGH-Rechtsprechung, nicht mehr möglich sein.
Es bleibt also bei der Empfehlung, die Einwilligung schriftlich einzuholen.
Keine Änderung ergibt sich bezüglich der Widerruflichkeit der Einwilligung, welche nach wie vor auch eine vorherige Aufklärung über das Widerrufsrecht voraussetzt.
Neu geregelt aber ist die Einwilligungsfähigkeit von Kindern: Hierbei ist bis zu einem Alter von 16 Jahren auf die Einwilligung durch die Erziehungsberechtigten abzustellen, wobei es den Mitgliedsstaaten erlaubt ist, die Grenze auf 13 Jahre herabzusenken.
Ergeben sich neue Pflichten im Umgang mit den Betroffenen?
Ja, denn ein Ziel der DS-GVO ist es, die Datenschutzrechte der Betroffenen zu verbessern.
Die Informations- und Auskunftsrechte der Betroffenen werden gegenüber dem bisher geltenden Recht (insb. §§ 4 Abs. 3 und 33 BDSG) gestärkt und den Unternehmern umfassendere Pflichten auferlegt.
Der Transparenzgrundsatz zählt nach Art. 5 Abs. 1 DS-GVO zu den wesentlichen Grundsätzen der Verordnung. Daher müssen die Betroffenen grundsätzlich über die Datenverarbeitung informiert werden, dies muss „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ (Art. 12 Abs. 1 DS-GVO) erfolgen. Zudem haben die Betroffenen ein Auskunftsrecht, ob und wenn ja, welche personenbezogenen Daten verarbeitet werden. Für die Unternehmen folgt daraus, dass sie dafür Sorge tragen müssen, diese Auskünfte dem Betroffenen in nachvollziehbarer Weise zugänglich machen zu können, im Zweifelsfalle auf dessen Nachfrage.
Weitergehend ist auch das Recht auf Löschen von Daten und Vergessenwerden im Vergleich zum bisher geltenden § 35 BDSG, insbesondere sind die Ausnahmeregelungen enger gefasst. Personenbezogene Daten müssen ohne unangemessene Verzögerung gelöscht werden, es sei denn einer der in Art. 17 Absatz 1 DS-GVO genannten Gründe liegt vor. Wurden die Daten öffentlich gemacht, so besteht eine Pflicht für den Datenverarbeiter nach Art. 17 Absatz 2 DS-GVO, den Löschungsantrag weiterzuleiten.
Hinzu kommt das Recht der Betroffenen darauf, eigene Daten zu einem anderen Anbieter übertragen zu dürfen (Art. 20 DS-GVO), was zum Beispiel das Recht umfasst, ein einmal angelegtes Profil in einem sozialen Netzwerk zu übertragen oder Chatverläufe und Emails zu exportieren. Dadurch soll der Wettbewerb gestärkt und der Anreiz, bei einem Anbieter zu verbleiben, um die Daten nicht zu verlieren (sog. „Lock-In-Effect“) verringert werden.
Welche weiteren Pflichten ergeben sich für die Unternehmen?
Für Unternehmen verschärfen sich die Dokumentations- und Nachweispflichten: So sind die Unternehmen nach Art. 24 DS-GVO verpflichtet „geeignete technische und organisatorische Maßnahmen“ zu installieren, was bedeutet, dass sie in der Lage sein müssen, nachweisen zu können, dass sie die Anforderungen der DS-GVO erfüllen.
Art. 25 Absatz 1 DS-GVO verpflichtet die Unternehmen zu einer verbraucher- und datenschutzfreundlichen Voreinstellung bei elektronischen Geräten, z.B. beim Smart-TV, Tablet, verknüpfte Systeme im Kfz, Smartphone etc. Dabei sind die Unternehmen gehalten, nur solche Daten zu erheben, deren Verarbeitung für den jeweiligen Zweck erforderlich ist. Das bedeutet, dass dieser Aspekt bereits bei der Entwicklung und Ausgestaltung von Produkten ausreichende Beachtung finden soll.
Eine Neuerung stellt die sogenannte Datenschutz-Folgeabwägung dar, welche in den Art. 35 ff. DS-GVO geregelt ist. Eine solche muss vorgenommen werden, wenn die Art und Weise der Datenverarbeitung wahrscheinlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der davon betroffenen Personen verursacht, wobei Art. 35 Absatz 3 DS-GVO selbst einige Beispiele nennt. Eine Rolle spielen wird die Datenschutz-Folgenabwägung insbesondere bei neuen Technologien.
Ergibt sich, dass ohne zusätzliche Datenschutzmaßnahmen ein hohes Risiko für eine Datenschutzverletzung besteht, muss gem. Art. 36 DS-GVO die Aufsichtsbehörde konsultiert werden.
Was passiert bei einer Datenschutzverletzung?
Zunächst einmal trifft den Verarbeiter nach Art. 33 DS-GVO bei einer Datenschutzverletzung grundsätzlich eine Meldepflicht, und dies unverzüglich und ohne unangemessene Verzögerung (binnen 72 Stunden). Nach Art. 34 DS-GVO muss auch der Betroffene von der Verletzung benachrichtigt werden, es sei denn es greift eine der in Art. 34 DS-GVO genannten Ausnahmen. Grundsätzlich ähnelt die Meldepflicht dem derzeit geltenden § 42a BDSG.
Für Verstöße sind nach der DS-GVO in Zukunft höhere Bußgelder möglich. Auch sind den Betroffenen nun ausdrücklich immaterielle Schäden zu erstatten, welche bisher von deutschen Gerichten nur sehr zurückhaltend anerkannt wurden.
Welche Neuerungen ergeben sich im Arbeitnehmerdatenschutz?
Bisher gilt in diesem Bereich § 32 I BDSG, welcher einen hohen Standard schafft. Die DS-GVO selber gibt kaum Regelungen vor, erlaubt aber in Art. 88 DS-GVO eine abweichende Sonderregelung. Sollte der Gesetzgeber in Deutschland also nicht tätig werden, bleibt es bei der bisherigen Rechtslage gem. § 32 I BDSG, Sie finden diesen hier: Klick hier.
Gibt es Neuerungen bezüglich des betrieblichen Datenschutzbeauftragten?
Zunächst einmal ist in Art. 37 DS-GVO die Bestellung eines betrieblichen Datenschutzbeauftragten nun EU-weit vorgesehen, allerdings nur unter engen Voraussetzungen. Da aber Art. 37 Absatz 4 DS-GVO den Mitgliedsstaaten Sonderregelungen erlaubt und in Deutschland mit § 4 f BDSG eine solche, datenschutzintensivere Sonderregelung bereits existiert, ist mit keiner Änderung der derzeit geltenden Rechtslage zu rechnen.
Fazit
Durch das neue Datenschutzrecht werden zusätzliche Anforderungen an Unternehmen gestellt, welche vorausschauend zu beachten sind.
Allerdings kann dieser Beitrag zunächst nur eine erste Übersicht vermitteln und ersetzt keine ausführliche Beschäftigung mit den neuen Regelungen. Zur Vertiefung und weitergehender Information (z.B. bezüglich der geänderten Behördenzuständigkeit, Änderungen im Bereich der Auftragsdatenverarbeitung und Videoüberwachung) sei auf die Homepage des Datenschutzbeauftragten und die dortige Informationsreihe zur EU-Datenschutzverordnung verwiesen: Klick hier
Die Erfüllung der Anforderungen ist umso wichtiger, als dass die Haftung verschärft und die Bußgelder erhöht wurden. Somit sollte jeder, der mit Datenverarbeitung in Berührung kommt, sich vor Inkrafttreten der neuen Regelungen damit auseinandersetzen.
Wir helfen Ihnen dabei gerne.
law. by adesse.
Keine Kommentare:
Kommentar veröffentlichen