Fachartikel & News

Ein­füh­rung in die EU-DSGVO

Am 25. Mai 2018 tritt die neue EU-Daten­schutz­grund­ver­ord­nung (DSGVO) in Kraft. Dadurch wer­den unmit­tel­bar das bis­he­rige Bun­des­da­ten­schutz­ge­setz (BDSG) und die EU-Daten­schutz­richt­li­nie (Richt­li­nie 95/46/EG) abge­löst.


Zeit­gleich tritt ein dazu­ge­hö­ri­ges deut­sches Ergän­zungs­ge­setz (Daten­schutz-Anpas­sungs- und -Umset­zungs­ge­setz – DSAn­pUG) in Kraft, das die DSGVO zum Teil modi­fi­ziert und kon­kre­ti­siert.

Die DSGVO wird durch die noch in Abstim­mung befind­li­che EU-E-Pri­vacy-Ver­ord­nung, die eben­falls am 25. Mai 2018 in Kraft tre­ten soll und Inter­net- und Tele­me­di­en­dienste betrifft, ergänzt.

Keine Ände­rung der Grund­prin­zi­pien

Die DSGVO schreibt die bekann­ten daten­schutz­recht­li­chen Grund­prin­zi­pien fort. Die Grund­sätze des „Ver­bots mit Erlaub­nis­vor­be­halt“, der „Daten­spar­sam­keit“, der „Zweck­bin­dung“ und der „Trans­pa­renz“ haben auch zukünf­tig Bestand.

Im Mit­tel­punkt des Daten­schut­zes steht auch in Zukunft die Daten­si­cher­heit. So kann eine Pseud­ony­mi­sie­rung oder Ver­schlüs­se­lung erfor­der­lich sein. Ver­al­tete Ver­schlüs­se­lungs­stan­dards kön­nen sogar mit Buß­gel­dern in Höhe von bis zu 2 % des Vor­jah­res­um­sat­zes belegt wer­den. Daten­ver­ar­bei­tung und auch Auf­trags­ver­ar­bei­tung ist in Dritt­staa­ten wei­ter­hin nur zuläs­sig, wenn dort ein ange­mes­se­nes Daten­schutz­ni­veau gewähr­leis­tet ist.

Betrof­fe­nen­rechte wer­den durch Trans­pa­renz, pro­ak­tive Benach­rich­ti­gungs­pflich­ten, Aus­kunfts-, Berich­ti­gungs- und Löschungs­an­sprü­che gewähr­leis­tet. Eine beson­dere Aus­prä­gung des Löschungs­an­spruchs stellt das „Recht auf Ver­ges­sen­wer­den“ dar.

Wich­tige Neue­run­gen

Jede Stelle muss zukünf­tig nach­wei­sen kön­nen, dass sie ein Gesamt­kon­zept zur Ein­hal­tung des Daten­schut­zes besitzt, das sie regel­mä­ßig kon­trol­liert und wei­ter­ent­wi­ckelt.

Nach der DSGVO müs­sen Unter­neh­men per­so­nen­be­zo­gene Daten auf Antrag in einem gän­gi­gen und maschi­nen­les­ba­ren For­mat ent­we­der an den User oder gleich an ein ande­res Unter­neh­men über­ge­ben kön­nen. Neben die­sem Recht auf Daten­über­trag­bar­keit wer­den Betrof­fene ein all­ge­mei­nes Wider­spruchs­recht gegen eine an sich recht­mä­ßige Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten, die im öffent­li­chen Inter­esse liegt, in Aus­übung öffent­li­cher Gewalt oder auf­grund des berech­tig­ten Inter­es­ses des Ver­ant­wort­li­chen oder eines Drit­ten erfolgte, erhal­ten. Der Ver­ant­wort­li­che darf dann die Daten nur noch ver­ar­bei­ten, wenn er zwin­gende berech­tigte Gründe für die Ver­ar­bei­tung nach­wei­sen kann, die die Inter­es­sen, Rechte und Frei­hei­ten des Betrof­fe­nen über­wie­gen.

Die DSGVO stärkt die Rechte der Auf­sichts­be­hör­den. Für inter­na­tio­nale Orga­ni­sa­tio­nen ist nur noch die Daten­schutz-Auf­sichts­be­hörde an ihrem Haupt­sitz in der EU zustän­dig („feder­füh­rende Auf­sichts­be­hörde“). Betrof­fene kön­nen sich an ihre jeweils nächst­ge­le­gene Auf­sichts­be­hörde wen­den, die das Anlie­gen dann wei­ter­lei­ten muss. Die Behör­den müs­sen sich unter­ein­an­der abstim­men.

Auch die Sank­ti­ons­mög­lich­kei­ten der Auf­sichts­be­hör­den wer­den erheb­lich aus­ge­dehnt: Der Buß­geld­rah­men wird deut­lich erhöht und kann bis zu 20 Mio. Euro oder 4 % des gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes betra­gen, je nach­dem, wel­cher Betrag höher ist.

Neu im Daten­schutz-Scha­dens­recht sind der Direkt­an­spruch des Betrof­fe­nen gegen den Auf­trags­ver­ar­bei­ter und eine Beweis­last­um­kehr für Daten­schutz­ver­let­zun­gen.

Her­aus­ra­gende Bedeu­tung des tech­ni­schen und orga­ni­sa­to­ri­schen Daten­schut­zes haben die Rege­lun­gen zu Pri­vacy by Design und Pri­vacy by Default: Daten­schutz muss inte­gra­ler Bestand­teil der Ent­wick­lung sein (Daten­schutz durch Tech­nik­ge­stal­tung). Zusätz­lich muss der maxi­male Daten­schutz die Grund­ein­stel­lung sein und nicht mehr nur eine Option (Daten­schutz­freund­li­che Vor­ein­stel­lun­gen).

Auch die Auf­trags­da­ten­ver­ar­bei­tung wird euro­pa­weit ein­heit­lich gere­gelt und ange­passt. Eine ver­trag­li­che Rege­lung ist wei­ter­hin als Grund­vor­aus­set­zung für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten erfor­der­lich. Neu ist, dass auch der Auf­trags­ver­ar­bei­ter ein „Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten“ füh­ren muss.

Auch in Zukunft müs­sen alle Unter­neh­men, die min­des­tens zehn Per­so­nen mit auto­ma­ti­sier­ter Daten­ver­ar­bei­tung beschäf­ti­gen, einen Daten­schutz­be­auf­trag­ten bestel­len. Bei einer umfang­rei­chen Ver­ar­bei­tung beson­ders sen­si­ti­ver per­so­nen­be­zo­ge­ner Daten greift die Bestell­pflicht auch dann, wenn das ent­spre­chende Unter­neh­men unter der 10-Per­so­nen-Grenze liegt.

Zukünf­tig müs­sen alle Daten­schutz­ver­let­zun­gen gemel­det wer­den, sofern ein Daten­schutz­ri­siko besteht. Die Mel­dung muss inner­halb von 72 Stun­den nach Kennt­nis bei der Auf­sichts­be­hörde ein­ge­reicht wer­den. Auch die Betrof­fe­nen sind „ohne unan­ge­mes­sene Ver­zö­ge­rung“ zu benach­rich­ti­gen.

Das bis­he­rige Instru­ment der „Vor­ab­kon­trolle“ weicht dem Kon­zept der Daten­schutz-Fol­gen­ab­schät­zung. Beinhal­tet die Art der Daten­ver­ar­bei­tung ein hohes Risiko für die Rechte und Frei­hei­ten, muss das Unter­neh­men vor Beginn der Daten­ver­ar­bei­tung eine Daten­schutz-Fol­gen­ab­schät­zung vor­neh­men.

Fazit

Die DSGVO erhöht die recht­li­chen, betrieb­li­chen und tech­nisch-orga­ni­sa­to­ri­schen Anfor­de­run­gen an den Daten­schutz. Hin­ge­gen wer­den die Ver­brau­cher­rechte gestärkt.


Bei Fra­gen spre­chen Sie uns gerne an.


This is a unique website which will require a more modern browser to work! Please upgrade today!