In weniger als sieben Monaten am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung in Kraft. Diese bringt neben einer Reihe neuen Pflichten und veränderten Vorgaben für datenverarbeitende Unternehmenauch erheblich verschärfte Bußgeldvorschriften mit sich. Mit unserer Informationsreihe „Countdown zur Datenschutzgrundverordnung“ möchten wir als Grundlage für eine rechtzeitige Überprüfung der eigenen Datenverarbeitungsprozesse einen Überblick zu den praktisch relevantesten Neuerungen im zukünftigen Datenschutzrecht geben.
Unternehmen, die persönliche Daten ihrer Mitarbeiter oder Kunden in der Europäischen Union erheben oder nutzen, sollten sich den 25. Mai 2018 im Kalender markieren, und dies am besten in roter Farbe, denn an diesem Tag wird ein juristischer Hebel umgelegt:
Das alte Datenschutzrecht geht, das neue kommt. Für Unternehmen geht hiermit ein erheblicher Umstellungsbedarf einher, und wer bislang das Thema Datenschutzrecht nicht auf der Agenda hatte, sollte dies spätestens jetzt nachholen. Betroffen sind nicht nur Unternehmen, bei denen der Umgang mit personenbezogenen Daten Gegenstand ihres Geschäftsmodells ist, sondern letztlich jedes Unternehmen.
Den 25. Mai 2018 im Kalender zu markieren genügt aber nicht, denn die Umstellungzum neuen Datenschutzrecht muss vorbereitet werden. Da die Datenschutzgrundverordnung keine Übergangsfrist vorsieht, müssen zum Stichtag sämtliche Datenverarbeitungsvorgänge den neuen Vorschriften entsprechen.
In diesem Sonderartikel möchten wir überblicksweise einige wichtige Aspekte und neue Regelungen anreißen. In den nächsten Newsletterausgaben werden wir unter der Überschrift „Countdown zur DSGVO“ einzelne besonders relevante Themen, aus denen sich unbedingter Umstellungsbedarf ergibt, näher beleuchten.
Neue Gesetze, neues Datenschutzrecht
Grundlage des neuen Datenschutzrechts ist die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO), die ab dem 25. Mai 2018 in sämtlichen EU-Mitgliedsstaaten einheitlich anzuwenden ist. Durch die unmittelbare Anwendbarkeit der DSGVO in sämtlichen EU-Mitgliedsstaaten sollen die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht, also das EU-Datenschutzrecht harmonisiert werden.
Die Regelungen der DSGVO ersetzen unmittelbar das noch bis zum 24. Mai 2018 geltende Bundesdatenschutzgesetz (BDSG); dieses tritt außer Kraft und ist ab diesem Tag nicht mehr anwendbar. Obschon die DSGVO bezweckt, das Datenschutzrecht innerhalb der Europäischen Union zu vereinheitlichen, enthält es an verschiedenen Stellen sogenannte „Öffnungsklauseln“, die es den EU-Mitgliedsstaaten erlauben, hinsichtlich einzelner Aspekte unterschiedliche Wege zu gehen, das heißt bestimmte Bereiche individuell auszugestalten. Dies erfolgt in Deutschland durch ein grundlegend neues Bundesdatenschutzgesetz, das auch so heißen und wieder mit BDSG abgekürzt werden wird.
Ab dem 25. Mai 2018 werden also die Regelungen der DSGVO einerseits und die des neuen BDSG andererseits gleichzeitig zu berücksichtigen sein.
Was wird sich ändern?
Viele datenschutzrechtliche Mechanismen und Grundsätze, die aus dem bisherigen Datenschutzrecht bekannt sind, finden sich auch im neuen Datenschutzrecht.
Dies gilt beispielsweise für den auch künftig geltenden Grundsatz des Verbots mit Erlaubnisvorbehalt: Die Benutzung personenbezogener Daten ist weiterhin grundsätzlich verboten und nur dann erlaubt, wenn die Datenverarbeitung entweder von einer Einwilligung des Betroffenen oder aber (ausnahmsweise) von einer ausdrücklichen gesetzlichen Erlaubnis gedeckt ist.
Das neue Datenschutzrecht bringt aber auch eine ganze Reihe von Änderungen mit sich, von denen nachfolgend exemplarisch nur einige genannt werden sollen:
Räumliche Anwendbarkeit
Die DSGVO ist in räumlicher Hinsicht auch auf außereuropäische Datenverarbeiter anwendbar, wenn Daten von EU-Bürgern betroffen sind und die Datenverarbeitung im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen oder aber zur Beobachtung des Verhaltens von EU-Bürgern erfolgt. Ein in den USA ansässiges Unternehmen beispielsweise, das Daten von EU-Bürgern erhebt und verarbeitet, unterfällt zukünftig unmittelbar dem EU-Datenschutzrecht.
Rechenschaftspflicht / Accountability
Ab Ende Mai 2018 trifft die Unternehmen ein erhöhtes Maß an Verantwortlichkeit beim Umgang mit personenbezogenen Daten. Unternehmen haben eine nicht delegierbare Verantwortung im Hinblick auf die Einhaltung der datenschutzrechtlichen Bestimmungen. Das Unternehmen muss dabei nicht nur die Einhaltung der datenschutzrechtlichen Bestimmungen (die sogenannte Datenschutz-Compliance) gewährleisten, sondern auch jederzeit in der Lage sein, dies im Rahmen einer echten Rechenschaftspflicht gegenüber Behörden nachzuweisen. Unternehmen treffen zukünftig weitreichende Risikoanalyse- und auch Dokumentationspflichten. So haben Unternehmen z. B. Verzeichnisse über sämtliche Datenverarbeitungsvorgänge mit gesetzlich vorgegebenen Angaben zu führen sowie unter bestimmten Voraussetzungen sogenannte Datenschutz-Folgenabschätzungen (Privacy Impact Assessments, PIA) vorzunehmen.
„Joint Controllership“ und Auftragsdatenverarbeitung
Generell ist die Verantwortlichkeit beim Umgang mit personenbezogenen Dateneine „goldene Kuh“ des Unionsdatenschutzrechts. Für Datenverarbeitungsvorgänge können durchaus auch mehrere gemeinschaftlich verantwortlich sein („Joint Controllership“).
Eine gerade im digitalen Umfeld alltägliche Konstellation ist die Auftragsdatenverarbeitung, bei der ein Unternehmen (Auftraggeber) ein anderes Unternehmen (Auftragnehmer) mit der weisungsgebundenen Verarbeitung von personenbezogenen Daten beauftragt. Die Anwendungsfälle sind mannigfaltig und umfassen z. B. einfache Hostingverträge, IT-Wartungsverträge, HR-Dienstleistungen und Zahlungsdienstleistungen. Praktisch jedes Unternehmen, das externe Dienstleistungen in Anspruch nimmt, hat heute mit entsprechenden Konstellationen zu tun.
Eine Auftragsdatenverarbeitung (gemeinhin in Deutschland mit ADV abgekürzt), wie sie in der Praxis sehr häufig auf der Grundlage des bisherigen § 11 BDSG praktiziert wird, wird es auch unter Geltung der DSGVO unter der Bezeichnung „Auftragsverarbeitung“ geben. Sie kann anders als bisher sogar auch außerhalb der EU stattfinden. Die Mechanismen der ADV und der Auftragsverarbeitung sind dem Grunde nach sehr vergleichbar, allerdings gibt es auch Unterschiede:
Wenngleich auch künftig die Hauptverantwortlichkeit für die Einhaltung der datenschutzrechtlichen Bestimmungen bei dem Auftraggeber liegen wird, nimmt die DSGVO den Auftragnehmer weitaus stärker in die Haftung als dies unter Geltung des jetzigen BDSG der Fall ist. Gegenüber Betroffenen haftet der Auftragnehmer gemeinsam mit dem Auftraggeber für Datenschutzverstöße während der Datenverarbeitung im Auftrag.
Die Änderungen haben damit sowohl aus Sicht des Auftraggebers als auch aus Sicht des Auftragnehmers Auswirkungen auf die Vertragsausgestaltung; bestehende Verträge müssen ersetzt, zumindest aber überarbeitet werden.
Informationspflichten und Stärkung der Betroffenenrechte
Betroffene, also Personen, deren Daten verarbeitet werden, müssen künftig deutlich ausführlicher über die Datenverarbeitungsvorgänge sowie die Betroffenenrechte informiert werden. Transparenz und Information bilden eine wichtige Säule des Datenschutzrechts. Verbraucher werden unter Geltung der DSGVO auch deutlich umfassender geschützt als zuvor. So steht den Betroffenen z. B. ein „Recht auf Vergessenwerden“ ebenso zu wie ein Recht auf „Datenportabilität“.
Die Ausweitung der Informationspflichten hat unmittelbaren Einfluss auf die Praxis. Dies fängt bereits bei den datenschutzrechtlichen Hinweisen auf der Homepage an, die überarbeitet und ergänzt werden müssen. Aber auch die Anforderungen an eine „informierte“ Einwilligung, die von vielen Unternehmen als Grundlage für eine Erhebung und Nutzung von Kundendaten genutzt wird, werden erhöht, so dass die bestehenden Einwilligungsprozesse überprüft werden müssen.
Sanktionen und Meldepflichten
Der Verordnungsgeber meint es ernst und will dies auch verstanden wissen, was sich in den Sanktionsmöglichkeiten widerspiegelt. Verstöße gegen die DSGVO können ab dem 25. Mai 2018 mit Geldbußen von bis zu EUR 20 Millionen oder, im Fall eines Unternehmens, von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden. Hierdurch sollen auch Großkonzerne zur Datenschutz-Compliance angehalten werden. Verletzungen des Schutzes personenbezogener Daten (sog. „Datenpannen“) sind den Aufsichtsbehörden, unter besonderen Umständen sogar sämtlichen Betroffenen, unverzüglich zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die verbleibende Zeit
Bis zur Umstellung auf das neue Datenschutzrecht verbleiben noch knapp sieben Monate. Diese Zeit sollte dazu genutzt werden, die datenschutzrechtlichen Konzepte und Prozesse auf ihre Vereinbarkeit mit der DSGVO hin zu prüfen und mit Blick auf die Rechenschaftspflichten zu dokumentieren. Ferner sind bestehende Verträge und bereits erteilte Einwilligungen im Hinblick auf die neue Rechtslage zu analysieren und anzupassen.
In Anbetracht des erheblich gesteigerten Sanktionsrisikos, aber auch mit Blick auf drohende Abmahnungen von Wettbewerbern, empfehlen wir allen betroffenen Unternehmen, die bislang keine entsprechenden Maßnahmen getroffen haben, umgehend damit zu beginnen und die betrieblichen Datenschutzbeauftragten mit den erforderlichen zeitlichen Mitteln für die rechtzeitige Umstellung der Datenverarbeitungsprozesse auszustatten.