Die Datenschutzgrundverordnung (DS-GVO) – Ein praxisnaher Ausblick

Ein Thema das 2018 mit Sicherheit jedes Unternehmen bis hin zum inhabergeführten Kleinstunternehmen beschäftigen wird ist die ab dem 25.05.2018 unmittelbar in Geltungskraft tretende europäische Datenschutzgrundverordnung (DS-GVO); dies jedenfalls dann, wenn der Umgang mit personenbezogenen Daten eine nicht nur völlig untergeordnete Rolle in den Geschäftsabläufen des jeweiligen Unternehmens spielt.

Für uns als eine im IT- und Medienrecht spezialisierte Kanzlei ist es zur Vorbereitung der Beratung unserer Mandanten essentiell, sich dem umfangreichen Regelwerk praxisbezogen und insbesondere unter der Betrachtung zu nähern, welche datenschutzrechtlichen Pflichtaufgaben spätestens bis zum Geltungsdatum von der Privatwirtschaft erfüllt werden müssen, dh. inwieweit die bisherige unternehmensinterne Datenschutzpraxis zwingend modifiziert werden muss – vor dem Hintergrund verschärfter Sanktionsmöglichkeiten etwaiger Datenschutzverstöße und einer wachsenden Datenschutzsensibilität der EU-Bürger eine äußerst relevante Problematik.

I. Was ist die DS-GVO, warum kommt sie und wie wirkt sie in das Deutsche Datenschutzrecht hinein:

Die DS-GVO ist eine Rechtsverordnung des europäischen Gesetzgebers, welche am 14.04.2016 als eine „Verordnung des Rates und des europäischen Parlaments zum Schutz natürlicher Personen“ verabschiedet wurde.

Zielsetzung der Verordnung ist es, die von den Mitgliedstaaten der EU und der EU selbst schon seit Jahrzehnten verfolgte Harmonisierung der unterschiedlichen nationalen Datenschutzgesetze auf einem hohen Datenschutzniveau endlich zu erreichen. Dies war mit den bisher zwei entscheidenden EU-Richtlinien, nämlich der sogenannten „Datenschutzrichtlinie“ (95/36/EG v. 24.10.1995) und der noch engeren, bereichspezifischen „Datenschutzrichtlinie für elektronische Kommunikation“ (2002/58/EG v. 31.07.2002) in Verbindung mit dem nationalen Datenschutzrecht der Mitgliedstaaten (in Deutschland das BDSG) nicht geglückt.

Neben diesem Vereinheitlichungsziel gehört zu den Grundsteinen bzw. -absichten der DS-GVO vorrangig auch die Modernisierung des Datenschutzrechts unter Berücksichtigung technologischer Entwicklungen, die Zuständigkeitskonzentration auf nur eine Datenschutzbehörde (One-Stop-Shop) und die ausgewogene Berücksichtigung aller Grundrechte.

Die DS-GVO setzt im Gegensatz zu den früheren Richtlinien kraft ihrer Rechtsnatur als Europäische Verordnung unmittelbar geltendes Recht in den Mitgliedstaaten ohne dass es noch einer Umsetzung in nationales Recht bedarf.

Das in Deutschland seit über 20 Jahren geltende Bundesdatenschutzgesetz wird schlagartig ab dem Geltungstag der DS-GVO von dieser abgelöst und außer Kraft gesetzt. Gleichwohl ist die Verordnung so beschaffen, dass den nationalen Gesetzgebern die umfangreiche Aufgabe zukommen wird, die teils gewollt sowie teils ungewollt vagen Regelungen der DS-GVO zu konkretisieren und quasi mit Leben zu füllen. Dies betrifft beispielhaft etwa den Arbeitnehmerdatenschutz oder die Auftragsdatenverarbeitung.

Deshalb wird der Bundesgesetzgeber die DS-GVO unmittelbar ab dem 25.05.2018 mit einem neuen BDSG (BDSG-neu) flankieren und das alte BDSG ersetzen.

Für Unternehmen – gleich ob privater oder öffentlich-rechtlicher Natur – sind daher sowohl die DS-GVO direkt als auch die neu bzw. sonstigen weitergeltenden nationalen Datenschutzgesetze zu beachten.

II. Was ändert sich – Was bleibt gleich ?

Das materielle Kernprinzip des „Verbots mit Erlaubnisvorbehalt“ des bisherigen Datenschutzrechts bleibt erhalten. Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, wenn nicht die Einwilligung des Betroffenen oder ein Gesetz die Datenverarbeitung explizit erlaubt.

Zu den wichtigsten und praxisrelevantesten Modernisierungen, sprich Änderungen zählen:

Marktortprinzip: Die DS-GVO gilt auch für außereuropäische Unternehmen, wenn diese Waren oder Dienstleistungen im europäischen Markt anbieten.

– Deutlich erweiterte Transparenz: Die im Sinne der DS-GVO verpflichteten Datenverarbeiter treffen eine Vielzahl unterschiedlicher und in großen Teilen proaktiver Informations-, Dokumentations-, und Nachweispflichten zu allen Aspekten der Datenverarbeitung und Datensicherheit.

– Datenschutz-Folgenabschätzung: Datenverarbeitungen mit spezifischen Risiken müssen vorab einer Folgenabschätzung hinsichtlich der Gefahren, Risiken und Auswirkungen für den Betroffenen unterzogen werden

– Privacy by Design / Default: Produkte müssen schon vom Hersteller so datensparsam wie möglich entwickelt und restriktiv hinsichtlich der Datenerhebung voreingestellt werden.

– Auftragsdatenverarbeitung: Die Pflichten und Verantwortlichkeiten des Auftragsdatenverarbeiters (Bsp.: Betreiber von Cloud-Diensten, Rechenzentren, sonstigen IT-Dienstleistern) werden deutlich erweitert, bis hin zu einer eigenen Schadensersatzhaftung

– Datensicherheit: Die Anforderungen der Verantwortlichen an die Gewährleistung einer angemessenen und zumutbaren Datensicherheit im technischen Sinne werden erkennbar ausgebaut und angehoben.

– Selbstregulierung und Zertifizierung: Die DS-GVO sieht die Schaffung anerkannter Verhaltensregeln und Zertifizierungsverfahren für die Verantwortlichen vor. Hiermit können sich die verantwortlichen Datenverarbeiter die Rechtskonformität ihrer Datenschutzpraxis bestätigen lassen.

Hiermit wurden bewusst nur einige, weitgreifende Änderungen ohne Anspruch auf Vollständigkeit angesprochen.

III. Die bedeutsamsten Pflichten für Unternehmen.

Bisher hielten sich die datenschutzrechtlichen Verpflichtungen, der diesbezügliche Arbeitsaufwand und die rechtlich als auch wirtschaftlichen Risiken für durchschnittliche deutsche Unternehmen im Regelfall in einem sehr überschaubaren Rahmen, sofern man besonders datenintensive und -sensible Unternehmen wie etwa die Gesundheits- oder IT-Branche außer Betracht lässt.

Gerade für kleinere Gewerbetreibende und Dienstleister genügte es bisher zumeist, die Datenverarbeitung schlicht rechtmäßig, dh. mit Einwilligung oder gesetzlicher Erlaubnis, zu betreiben und sonst lediglich auf datenbezogene Anfragen von Betroffenen oder der Datenschutzbehörde zu reagieren, was faktisch nie oder nur sehr selten vorkam. Für Internetauftritte gilt es bisher zusätzlich noch die Datenschutzerklärung gemäß § 13 Abs.1 TMG vorzuhalten.

Mit der DS-GVO werden nun aber umfangreiche proaktive Pflichten im Bereich Dokumentation, Erklärungen, Risikoabschätzungen und Datensicherheit begründet, welche generell und damit unabhängig vom Einzelfall erfüllt und jederzeit in ihrer Umsetzung nachgewiesen werden können müssen.

Die Erstellung eines den gesamten Datenverkehrs erfassenden Datenschutzkonzeptes in Verbindung mit einem strukturierten Datenschutzmanagement dürfte zwar einen beachtlichen Erstaufwand verursachen. Da in der Folgezeit jedoch nur noch die Änderungen in der Datenverarbeitung zu prüfen, abzusichern und in die bestehenden Dokumentationen sowie das Datenschutzmanagement aufzunehmen wären, müsste sich der Daueraufwand schließlich wieder auf ein überschaubares Maß zurückfahren lassen.

Zu den wesentlichen proaktiven (Neu-)Pflichten zählen:

1. grundlegende Dokumentations- und Rechenschaftspflicht.

Die datenschutzrechtlichen Verantwortlichen trifft zunächst eine ganz grundlegende Dokumentations- und Rechenschaftspflicht gemäß Art.5 Abs.2 DS-GVO dahingehend, dass dieser jederzeit nachweisen können muss, dass er die Grundsätze für die Verarbeitung personenbezogener Daten einhält. Er muss mithin im Mindestmaß dokumentieren, dass jede Datenverarbeitung in seinem Geschäft bzw. Betrieb rechtmäßig, nach Treu und Glauben und in einer für den Betroffenen nachvollziehbaren Art und Weise erfolgt, ferner die Verarbeitung für festgelegte, eindeutige und legitime Zwecke erfolgt, dass sie für diese Zwecke angemessen und erforderlich ist, dass die Daten richtig und auf dem neuesten Stand sind, dass die Daten weitestgehend pseudonymisiert sind und dass eine angemessene Datensicherheit gewährleistet ist. Erweitert und begleitet wird diese Dokumentationspflicht um die Sicherstellung und Nachweisbarkeit zumutbarer technisch und organisatorischer Maßnahmen zur verordnungsgemäßen Datenverarbeitung.

Zwar müssen diese unter Umständen sehr umfangreichen Dokumentationen nicht ungefragt veröffentlicht werden, jedoch jederzeit griffbereit liegen, da andernfalls Bußgelder drohen.

2. Verzeichnis von Verarbeitungstätigkeiten

Als spezielle Ausprägung der vorbeschriebenen Dokumentationspflichten ist das nach Art.30 DS-GVO zu erstellende Verzeichnis von Verarbeitungstätigkeiten. Hierbei sind orientiert an den einzelnen Daten- und Empfängerkategorien verschiedenen Verarbeitungsvorgänge und Schutzmaßnahmen offenzulegen. Die Funktion des Verzeichnisses liegt in der Information des Datenschutzbeauftragten und der Datenschutzbehörde. Zwar sieht die Verordnung hinsichtlich dieser Pflicht eine Möglichkeit der Entlastung von kleinen und mittleren Unternehmen mit weniger als 250 Mitarbeitern vor. Jedoch dürfte dies in der Praxis kaum zum Tragen kommen.

3.  Informationen bei bzw. vor Datenerhebung

Im Gegensatz zu den generellen Dokumentationspflichten stehen die proaktiven Informations- und Aufklärungspflichten gegenüber dem jeweils von der Datenverarbeitung Betroffenen gemäß Art. 12-14 DS-GVO.

Dabei unterscheidet die Verordnung zwischen der Datenverarbeitung direkt beim Betroffenen und der indirekten Datenerhebung über Dritte.

Im erstgenannten Fall (Art.13) ist dem Betroffenen bei Datenerhebung eine Reihe von Informationen zu erteilen. Diese beinhalten etwa Kontaktdaten des Verantwortlichen und Datenschutzbeauftragten, Zwecke und Rechtsgrundlagen der Verarbeitung, Datenempfänger, Dauer der Datenspeicherung, Hinweis auf das Widerspruchsrecht und die weiteren Rechte des Betroffenen. Zu den Einzelheiten verweisen wir auf die Vorschrift.

Nur wenn der Betroffene bereits über die Informationen verfügt, können diese seitens des Verantwortlichen unterbleiben. Allerdings trifft letztgenannten hierzu eine Beweispflicht, sodass er im Zweifel auf die Informationserteilung nicht verzichten sollte.

Art. 14 DS-GVO normiert weitestgehend übereinstimmende Pflichten bei Datenerhebung über Dritte, wobei natürlich die Mitteilung der Quelle der Daten eine besondere Rolle spielt. Im Gegensatz zur Direkterhebung der Daten beim Betroffenen sind zusätzliche Ausnahmefälle für die Informationspflicht vorgesehen. Dies beinhaltet ein Entfallen der Informationspflicht, wenn sich diese als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.

Die Informationen nach Art. 13, 14 DS-GVO sind vor Datenverarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, vgl. Art. 12 DS-GO.

Aus hiesiger Sicht wird damit die Pflicht umfassender Datenschutzerklärungen für nahezu jeden Fall der Datenverarbeitung im Unternehmen begründet, wie diese bisher vornehmlich für Telemediendienste nach § 13 Abs.1 TMG vorgeschrieben war.

4. Datenschutz-Folgenabschätzung bei riskanten Verarbeitungen

Für Datenverarbeitungen mit bestimmten Risiken ist künftig die Durchführung einer Datenschutz-Folgenabschätzung für den datenschutzrechtlich Verantwortlichen verbindlich vorgeschrieben, vgl. Art.35 DS-GVO. Gemeint sind damit hohe Risiken für die Rechte und Freiheiten natürlicher Personen infolge der Art und Weise, des Zwecks, des Umfangs und der Umstände der Datenverarbeitung. Die DS-GVO nimmt dieses Risiko etwa bei der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten an.

Die geplanten Verarbeitungsvorgänge sind systematisch zu beschreiben, nach ihrer Verhältnismäßigkeit und den Risiken für die benannten Rechte der Betroffenen zu überprüfen. Ferner ist ein Sicherheits- und Schutzverfahren zur Bewältigung dieser Risiken aufzustellen und nachzuweisen.

Erst wenn dies zuverlässig geschehen ist darf mit der geplanten, neuen Datenverarbeitungsmaßnahme begonnen werden.

5. Information bei Datenschutzpannen

Datenschutzrechtlich Verantwortliche haben Pannen oder Verstöße gegen den Datenschutz nach dieser Verordnung einschließlich deren Auswirkungen sowie den ergriffenen Abwehr-/Abhilfemaßnahmen für die Aufsichtsbehörden nachvollziehbar zu dokumentieren und unverzüglich – möglichst binnen 72 Stunden ab Kenntnis – der zuständigen Behörde zu melden. Verfristete Meldungen müssen gesondert begründet werden.

Bei besonders hohen Risiken für die persönlichen Rechte und Freiheiten der Betroffenen sind diese neben der Aufsichtsbehörde persönlich unverzüglich zu unterrichten.

Zu den Einzelheiten der Voraussetzungen und Folgen der Meldepflichten verweisen wir im Einzelnen auf die einschlägigen Vorschriften in den Art. 33, 34 DS-GVO.

6. Auftragsdatenverarbeitung

Im Bereich der Auftragsdatenverarbeitung verschärfen sich die Pflichten und persönliche Haftung der Auftragsdatenverarbeiter.

So dürfen weitere (Sub-)Auftragsdatenverarbeiter nur mit expliziter Genehmigung des Verantwortlichen in den Datenverarbeitungsprozess einbezogen werden.

Ferner haben sie ebenfalls ein Verzeichnis zu allen Kategorien für die im Auftrag durchgeführten Verarbeitungen ein Verzeichnis zu führen, vgl. Art. 30 Abs.2 DS-GVO.

Erstmalig ist auch direkte Schadensersatzhaftung des Auftragsdatenverarbeiters für materielle oder immaterielle Schäden der Betroffenen denkbar.

Überschreitet der Auftragsdatenverarbeiter die Grenzen der ihm im Rahmen des Auftrags erlaubten Datenverarbeitung gilt er hinsichtlich dieser Datenverarbeitungen als Verantwortlicher und kann entsprechend zur Rechenschaft gezogen werden.

Den praktischen Bedürfnissen der digitalen Welt und des Massengeschäfts wird die DS-GVO mit dem Entfallen des Schriftlichkeitserfordernisses für den Auftrag gerecht.

7. Datensicherheit

Die Pflichten zur Gewährleistung bestmöglicher Datensicherheit nehmen sichtbar zu. Das Schutzniveau muss verhältnismäßig zu den Risiken für die Rechte und Freiheiten der Betroffenen gewährleistet werden. Diese Gewährleistung soll die Vertraulichkeit der Datenverarbeitung, die Integrität der Daten, die Verfügbarkeit von Daten, Dienstleistungen und technischen Systemen und die Belastbarkeit gegen jegliche Störungen umfassen. Hierfür ist ein Datensicherheitskonzept aufzustellen.

IV. FAZIT

Die Datenschutzgrundverordnung bringt eine ganze Reihe von Neupflichten für Unternehmen mit sich und wird viele zwingen, sich überhaupt erstmalig ernsthaft mit den eigenen Datenverarbeitungsvorgängen auseinanderzusetzen.

Den für die Umsetzung verpflichteten Personen (z.B. Datenschutzbeauftragter) sollten rechtzeitig umfangreiche zeitliche und sachliche Kapazitäten zur Verfügung gestellt werden. Die juristische Gegenprüfung der ergriffenen Maßnahmen halten wir für ratsam, bei mittleren und größeren Unternehmen gar für zwingend.

Deutlich erhöhte Bußgeldrahmen sowie erweiterte Betroffenenrechte und Eingriffsbefugnisse der Datenschutzbehörden können bei Missachtung der Anforderungen der DS-GVO andernfalls zu empfindlichen Konsequenzen führen.

Unsere Kanzlei begleitet Sie gern durch diesen Prozess und setzt mit Ihnen gemeinsam einen lückenlosen Datenschutz in Übereinstimmung mit der Verordnung um.