Gleicher Datenschutz für 28 EU-Länder

Was nun auf Unternehmen zukommt

28.04.2016 von Regina Mühlich
Vier Jahre lang heftig diskutiert und debattiert, wurde sie jetzt verarbschiedet: die neue EU-Datenschutzverordnung. Auf Privatverbraucher und insbesondere Unternehmen kommen einige Änderungen zu.

Im April 2016 erfolgte die Zustimmung seitens des EU-Rats und des EU-Parlaments zur neuen Datenschutzverordnung. Am 04. Mai 2016 wurde sie im Amtsblatt veröffentlicht. Die EU-Datenschutzgrundverordnung tritt damit am 25. Mai 2016 in Kraft und gilt ab 25. Mai 2018. Dann gelten für alle EU-Länder die gleichen Datenschutzstandards.

Es war dringend an der Zeit: Die bisherigen Datenschutzregeln stammen aus dem Jahr 1995. Zu weiten Teilen veraltet, wurden sie in den einzelnen Ländern der Gemeinschaft auch unterschiedlich umgesetzt. Wie geht es aber nun weiter? Was bleibt, was verändert sich? Welche Verbesserungen oder Herausforderungen bringt die EU-DSGVO mit sich?

Der neue EU-Datenschutz nimmt Unternehmen stärker in die Pflicht, die Daten ihrer Kunden zu schützen.
Foto: jijomathaidesigners - shutterstock.com

Eines jedenfalls steht fest: Betroffen sind von den Änderungen alle! Unternehmen, für die es schon jetzt ratsam ist zu prüfen, welche Änderungen relevant sind, wo Anpassungsbedarf besteht sowie welche Ressourcen notwendig werden, um dem neuen Standard gerecht zu werden. Aber auch jeder Einzelne, sowohl als Teil der Wirtschaft als auch als Privatperson, insbesondere als Nutzer des Internets, sollte sich damit auseinandersetzen.

Regelung mit Durchgriffswirkung

Die Vereinheitlichung nationaler Gesetze zum Umgang mit personenbezogenen Daten ist das große Hauptanliegen der neuen Verordnung. Entsprechend heißt es in Artikel 99 "…..Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedsstaat." Der bisherige Flickenteppich nationaler Regelungen gehört damit der Vergangenheit an. Als allgemeine Regelung mit unmittelbarer innerstaatlicher Geltung, verfügt die neue EU- DSGVO über eine "Durchgriffswirkung". Diese grundsätzliche Vollharmonisierung ersetzt nationales Datenschutzrecht.

Übergangsfrist und Öffnungsklauseln für nationale Umsetzung

Zwei Jahre, bis 25. Mai 2018, haben die einzelnen Länder jetzt Zeit, die EU-Verordnung mit ihrer nationalen Gesetzgebung in Einklang zu bringen. In bestimmten Bereichen gibt es Öffnungsklauseln für den nationalen Gesetzgeber, die es vor Inkrafttreten der EU-Datenschutzgrundverordnung zu regeln gilt.

Die Liste reicht von Gesundheit und Forschung über den Arbeitnehmerdatenschutz und den Datenschutzbeauftragten bis hin zu Berufsgeheimnissen. Auch die Bedeutung des zukünftigen EU-Datenschutzrechts für Unternehmen und Betriebe im Detail, sprich für den für die Verarbeitung Verantwortlichen (im BDSG bisher die verantwortliche Stelle), zählt dazu.

Was ändert sich mit dem neuen Recht für Unternehmen?

Ob das EU-Datenschutzgesetz wirklich strenger als das bisherige deutsche Recht ist, wird kontrovers diskutiert. Wie so oft kommt es auf den Blickwinkel des einzelnen Unternehmens an. Die EU schraubt an vielen Stellen:

1. Bußgelder

Waren sie bisher kaum ein Thema, macht Brüssel bei den Sanktionen nun Ernst. Sie sollen "wirksam und abschreckend" sein (Art. 83). Halten sich Unternehmen oder ein Betrieb nicht an die neuen Vorgaben, drohen empfindliche Geldbußen, beispielsweise bei Verstößen gegen Organisationsregeln bis zu zwei Prozent des Umsatzes oder zehn Millionen Euro - je nachdem, welche Summe höher ist. Bei Verstößen gegen Zulässigkeit und Rechte der Betroffenen sollen zukünftig Bußgelder bis 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes verhängt werden. Der Bußgeldkatalog ist bindend. Die Aufsichtsbehörden haben keinen Ermessensspielraum.

2. Haftung betrieblicher Datenschutzbeauftragter

Eine Bestellpflicht besteht künftig, wenn die Bedingungen unter Kapitel 4 Abschnitt 4 Artikel 37 gegeben sind. Da eine nationale Öffnungsklausel existiert, wird Deutschland vermutlich Paragraf 4f des Bundesdatenschutzgesetzes übernehmen. Zu den bisherigen Aufgaben des Datenschutzbeauftragten - Sicherstellungs- und Hinwirkungsauftrag - wird jedoch ein Überwachungsauftrag hinzukommen.

Da der Datenschutzbeauftragte die Umsetzung datenschutzrechtlicher Vorschriften nicht selbst vornehmen kann, konnte er bislang auf die Einhaltung von Gesetz und Vorschriften zum Datenschutz nur hinwirken. Die EU-DSGVO verlangt zukünftig die Überwachung, dass alle Vorgaben und Regeln eingehalten werden. In der Konsequenz haften Unternehmer und Datenschutzbeauftragte nun auch persönlich.

3. Nachweispflicht und Unterrichtung

Die Unternehmen und Betriebe müssen, wie bisher auch, wirksame Datenschutzrichtlinien einführen und ihre Mitarbeiter schulen. Neu ist, dass die Einhaltung nachgewiesen werden muss. Ein effektives Datenschutz-Managementsystem inklusive Risikoanalysen, Strukturen, Prozessen, Kontrollen und Change Management wird notwendig. Des Weiteren müssen Unternehmen betroffene Personen über deren Datenverarbeitung künftig umfassender und früher informieren. Bei Nichtbeachtung drohen hohe Bußgelder.

4. Datenschutz-Folgeabschätzung

Neu ist auch die Pflicht zur Datenschutz-Folgeabschätzung (Art. 35). Wobei, so ganz neu ist das Thema nicht. §4d BDSG regelt dies bereits mit der Vorabkontrolle. Setzt ein Unternehmen eine neue Technik oder ein neues System zur Datenverarbeitung ein, sollen Risiken für betroffene Personen erkannt und bewertet werden. Angesichts der unterschiedlichen Interessen und Rollen der Beteiligten, sollen so Grundrechtsverletzungen verhindert werden. Die sechs Schutzziele, wie Verfügbarkeit, Integrität und Vertraulichkeit sowie aus den Datenschutzzielen die Nichtverkettbarkeit, Transparenz und Intervenierbarkeit, werden nicht nur aus der Unternehmensperspektive zur Sicherung der Geschäftsprozesse betrachtet.

Vielmehr geht es um die Organisation selbst, die Daten verarbeitet und als Risiko betrachtet wird. Wenn also eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge hat, muss das Unternehmen eine umfassende Vorprüfung vornehmen, dokumentieren und gegebenenfalls später mit der Datenschutzbehörde abstimmen.

5. Funktionsübertragung ade

Lange diskutiert wurde die Abgrenzungsfrage, wann die Tätigkeit eines Dienstleisters aus seiner technischen Unterstützung in die eigenverantwortliche Verarbeitung im Sinne des §3 Abs. 7 BDSG übergeht. Nach der neuen EU-Vorgabe, hat der für die Verarbeitung Verantwortliche grundsätzlich die Zwecke der Verarbeitung vorzugeben, dem Auftragsverarbeiter bleibt jedoch die Entscheidung über die Mittel. Dadurch werden die bisherigen Funktionsübertragungen in Zukunft regelmäßig unter die Auftragsverarbeitung fallen. (Art. 26 DS-GVO regelt die Auftragsverarbeitung in Verbindung mit Art. 24)

6. Weltweite Geltung

Die Datenschutzgrundverordnung soll nicht nur innerhalb der Europäische Union gelten, sondern weltweit. Auch Unternehmen im Ausland müssen den europäischen Datenschutz einhalten, wenn sie Daten von Personen aus der EU verarbeiten, diesen Personen Waren und Dienstleistungen anbieten.

Neue Rechte für betroffene Personen

Datenschutz klingt vordergründig, als müssten Daten geschützt werden. Doch vielmehr geht es um den Schutz all der Personen, welche diese Daten "verursachen". Die Schutzwürdigkeit der Persönlichkeitsrechte liegt dem Datenschutz zugrunde bzw. macht ihn überhaupt erst notwendig. Demzufolge ist es nur logisch, dass die neue EU-Datenschutzgrundverordnung insbesondere die Rechte der betroffenen Personen stärkt.

1. Recht auf Löschung

An erster Stelle sei das neue "Recht auf Vergessenwerden" (Art. 17) genannt. Es bedeutet, dass bei der Veröffentlichung von Daten angemessene, auch technische, Maßnahmen ergriffen werden müssen, um dritte Parteien über einen Löschungswunsch informieren zu können. Damit haben Nutzer zukünftig das Recht, Informationen leichter wieder löschen zu lassen. Auch der Empfänger, an den ein Unternehmen Daten weitergegeben hat, muss über eine Löschung informiert werden.

2. Recht auf Datenübertragbarkeit

Ein weiteres neues Recht stellt die Datenportabilität (Art. 18) dar. Sie begründet den Anspruch Betroffener auf eine Kopie verarbeiteter Daten, wobei die Übergabe in gängigem, strukturiertem Format erfolgen muss. Für Unternehmen wird die Umsetzung dieser Regelung sicherlich aufwändig und auch teuer werden. Die Datenportabilität gilt auch, wenn beispielsweise ein Arbeitsverhältnis endet.

3. Koppelungsverbot

Vertragliche Zusatzleistungen dürfen nicht mehr daran geknüpft werden, dass die betroffene Person in die Verarbeitung der Daten einwilligt. Dies betrifft vor allem das gängige Procedere "Dienst gegen Daten".

4. Arbeitnehmerdatenschutz

Für den Arbeitnehmerdatenschutz (Art. 88) gibt es eine nationale Öffnungsklausel. Es bleibt abzuwarten, wie die Bundesregierung mit der Öffnungsklausel hinsichtlich des Arbeitnehmerdatenschutzes umgeht. Es ist davon auszugehen, dass § 32 BDSG"Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses" weitestgehend unverändert bleibt. Betriebsvereinbarungen sind weiterhin eine Alternative, setzen jedoch eine gute Zusammenarbeit mit dem Betriebsrat voraus.

Firmen müssen ihre IT-Systeme nach dem Grundsatz der Erforderlichkeit und Zweckbindung gestalten: Beispielsweise sollen von vornherein nur so viele personenbezogene Daten gesammelt und verarbeitet werden, wie es zur Erreichung des Zweckes konkret notwendig ist. Wenn immer möglich, sind diese Daten zu pseudonymisieren. Insbesondere dem Grundsatz Datenschutz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) ist hier Genüge zu tun.

Das Wichtigste auf einen Blick

Unternehmen sind gut beraten, sich bereits jetzt auf das Inkrafttreten der neuen EU-Datenschutzgrundverordnung vorzubereiten. Unabhängig davon, wie Bestimmungen mit Öffnungsklauseln in der nationalen Umsetzung konkret ausformuliert werden, führt an der verschärften Regelung kein Weg vorbei.

Handlungsempfehlungen

Damit es kein "böses Erwachen" gibt, sollten die betrieblichen Vorarbeiten baldmöglichst anlaufen - im Einzelnen bedeutet dies:

Datenschutz ist kein Produkt, Datenschutz ist ein Prozess! Unter diesem Aspekt betrachtet, werden auch die Herausforderungen der neuen EU-Datenschutzgrundverordnung zu meistern sein.