• Standorte
  • Presse
  • Impressum
  • Kontakt
  • DE
  • UPC
  • Kanzlei
    • Schwerpunkte
    • Geschichte
    • Leitbild
    • Awards & Rankings
  • Tätigkeitsfelder
    • Rechtsgebiete
    • Branchen
  • Team
  • Aktuelles & Termine
    • Aktuelles
    • Termine
    • UPC-Update
    • IP-Update
    • Brexit-Update
    • Publikationen
    • B&B Bulletin
  • Karriere
    • Arbeiten bei uns
    • Lernen Sie uns kennen
    • Stellenangebote
  • Menü Menü
EXPERTEN FINDEN
  • UPC
  • Kanzlei
    • Schwerpunkte
    • Geschichte
    • Leitbild
    • Awards und Rankings
  • Tätigkeitsfelder
    • Rechtsgebiete
    • Branchen
  • Unser Team
  • Aktuelles & Termine
    • Aktuelles
    • Termine
    • UPC-Update
    • IP-Update
    • Brexit-Update
    • Publikationen
    • B&B Bulletin
  • Karriere
    • Arbeiten bei uns
    • Lernen Sie uns kennen
    • Stellenangebote
  • Kontakt
  • Standorte
  • Impressum
  • Presse
  • Experten finden
  • DE

Countdown zur Daten­schutzgrundverordnung

7. November 2017/in Sonderausgabe November 2017, Datenschutzrecht

In weniger als sieben Monaten am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung in Kraft. Diese bringt neben einer Reihe neuen Pflichten und veränderten Vorgaben für datenverarbeitende Unternehmenauch erheblich verschärfte Bußgeldvorschriften mit sich. Mit unserer Informationsreihe „Countdown zur Datenschutzgrundverordnung“ möchten wir als Grundlage für eine rechtzeitige Überprüfung der eigenen Datenverarbeitungsprozesse einen Überblick zu den praktisch relevantesten Neuerungen im zukünftigen Datenschutzrecht geben.

Unternehmen, die persönliche Daten ihrer Mitarbeiter oder Kunden in der Europäischen Union erheben oder nutzen, sollten sich den 25. Mai 2018 im Kalender markieren, und dies am besten in roter Farbe, denn an diesem Tag wird ein juristischer Hebel umgelegt:

Das alte Datenschutzrecht geht, das neue kommt. Für Unternehmen geht hiermit ein erheblicher Umstellungsbedarf einher, und wer bislang das Thema Datenschutzrecht nicht auf der Agenda hatte, sollte dies spätestens jetzt nachholen. Betroffen sind nicht nur Unternehmen, bei denen der Umgang mit personenbezogenen Daten Gegenstand ihres Geschäftsmodells ist, sondern letztlich jedes Unternehmen.

Den 25. Mai 2018 im Kalender zu markieren genügt aber nicht, denn die Umstellungzum neuen Datenschutzrecht muss vorbereitet werden. Da die Datenschutzgrundverordnung keine Übergangsfrist vorsieht, müssen zum Stichtag sämtliche Datenverarbeitungsvorgänge den neuen Vorschriften entsprechen.

In diesem Sonderartikel möchten wir überblicksweise einige wichtige Aspekte und neue Regelungen anreißen. In den nächsten Newsletterausgaben werden wir unter der Überschrift „Countdown zur DSGVO“ einzelne besonders relevante Themen, aus denen sich unbedingter Umstellungsbedarf ergibt, näher beleuchten.

Neue Gesetze, neues Datenschutzrecht

Grundlage des neuen Datenschutzrechts ist die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO), die ab dem 25. Mai 2018 in sämtlichen EU-Mitgliedsstaaten einheitlich anzuwenden ist. Durch die unmittelbare Anwendbarkeit der DSGVO in sämtlichen EU-Mitgliedsstaaten sollen die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht, also das EU-Datenschutzrecht harmonisiert werden.

Die Regelungen der DSGVO ersetzen unmittelbar das noch bis zum 24. Mai 2018 geltende Bundesdatenschutzgesetz (BDSG); dieses tritt außer Kraft und ist ab diesem Tag nicht mehr anwendbar. Obschon die DSGVO bezweckt, das Datenschutzrecht innerhalb der Europäischen Union zu vereinheitlichen, enthält es an verschiedenen Stellen sogenannte „Öffnungsklauseln“, die es den EU-Mitgliedsstaaten erlauben, hinsichtlich einzelner Aspekte unterschiedliche Wege zu gehen, das heißt bestimmte Bereiche individuell auszugestalten. Dies erfolgt in Deutschland durch ein grundlegend neues Bundesdatenschutzgesetz, das auch so heißen und wieder mit BDSG abgekürzt werden wird.

Ab dem 25. Mai 2018 werden also die Regelungen der DSGVO einerseits und die des neuen BDSG andererseits gleichzeitig zu berücksichtigen sein.

Was wird sich ändern?

Viele datenschutzrechtliche Mechanismen und Grundsätze, die aus dem bisherigen Datenschutzrecht bekannt sind, finden sich auch im neuen Datenschutzrecht.

Dies gilt beispielsweise für den auch künftig geltenden Grundsatz des Verbots mit Erlaubnisvorbehalt: Die Benutzung personenbezogener Daten ist weiterhin grundsätzlich verboten und nur dann erlaubt, wenn die Datenverarbeitung entweder von einer Einwilligung des Betroffenen oder aber (ausnahmsweise) von einer ausdrücklichen gesetzlichen Erlaubnis gedeckt ist.

Das neue Datenschutzrecht bringt aber auch eine ganze Reihe von Änderungen mit sich, von denen nachfolgend exemplarisch nur einige genannt werden sollen:

Räumliche Anwendbarkeit

Die DSGVO ist in räumlicher Hinsicht auch auf außereuropäische Datenverarbeiter anwendbar, wenn Daten von EU-Bürgern betroffen sind und die Datenverarbeitung im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen oder aber zur Beobachtung des Verhaltens von EU-Bürgern erfolgt. Ein in den USA ansässiges Unternehmen beispielsweise, das Daten von EU-Bürgern erhebt und verarbeitet, unterfällt zukünftig unmittelbar dem EU-Datenschutzrecht.

Rechenschaftspflicht / Accountability

Ab Ende Mai 2018 trifft die Unternehmen ein erhöhtes Maß an Verantwortlichkeit beim Umgang mit personenbezogenen Daten. Unternehmen haben eine nicht delegierbare Verantwortung im Hinblick auf die Einhaltung der datenschutzrechtlichen Bestimmungen. Das Unternehmen muss dabei nicht nur die Einhaltung der datenschutzrechtlichen Bestimmungen (die sogenannte Datenschutz-Compliance) gewährleisten, sondern auch jederzeit in der Lage sein, dies im Rahmen einer echten Rechenschaftspflicht gegenüber Behörden nachzuweisen. Unternehmen treffen zukünftig weitreichende Risikoanalyse- und auch Dokumentationspflichten. So haben Unternehmen z. B. Verzeichnisse über sämtliche Datenverarbeitungsvorgänge mit gesetzlich vorgegebenen Angaben zu führen sowie unter bestimmten Voraussetzungen sogenannte Datenschutz-Folgenabschätzungen (Privacy Impact Assessments, PIA) vorzunehmen.

„Joint Controllership“ und Auftragsdatenverarbeitung

Generell ist die Verantwortlichkeit beim Umgang mit personenbezogenen Dateneine „goldene Kuh“ des Unionsdatenschutzrechts. Für Datenverarbeitungsvorgänge können durchaus auch mehrere gemeinschaftlich verantwortlich sein („Joint Controllership“).

Eine gerade im digitalen Umfeld alltägliche Konstellation ist die Auftragsdatenverarbeitung, bei der ein Unternehmen (Auftraggeber) ein anderes Unternehmen (Auftragnehmer) mit der weisungsgebundenen Verarbeitung von personenbezogenen Daten beauftragt. Die Anwendungsfälle sind mannigfaltig und umfassen z. B. einfache Hostingverträge, IT-Wartungsverträge, HR-Dienstleistungen und Zahlungsdienstleistungen. Praktisch jedes Unternehmen, das externe Dienstleistungen in Anspruch nimmt, hat heute mit entsprechenden Konstellationen zu tun.

Eine Auftragsdatenverarbeitung (gemeinhin in Deutschland mit ADV abgekürzt), wie sie in der Praxis sehr häufig auf der Grundlage des bisherigen § 11 BDSG praktiziert wird, wird es auch unter Geltung der DSGVO unter der Bezeichnung „Auftragsverarbeitung“ geben. Sie kann anders als bisher sogar auch außerhalb der EU stattfinden. Die Mechanismen der ADV und der Auftragsverarbeitung sind dem Grunde nach sehr vergleichbar, allerdings gibt es auch Unterschiede:

Wenngleich auch künftig die Hauptverantwortlichkeit für die Einhaltung der datenschutzrechtlichen Bestimmungen bei dem Auftraggeber liegen wird, nimmt die DSGVO den Auftragnehmer weitaus stärker in die Haftung als dies unter Geltung des jetzigen BDSG der Fall ist. Gegenüber Betroffenen haftet der Auftragnehmer gemeinsam mit dem Auftraggeber für Datenschutzverstöße während der Datenverarbeitung im Auftrag.

Die Änderungen haben damit sowohl aus Sicht des Auftraggebers als auch aus Sicht des Auftragnehmers Auswirkungen auf die Vertragsausgestaltung; bestehende Verträge müssen ersetzt, zumindest aber überarbeitet werden.

Informationspflichten und Stärkung der Betroffenenrechte

Betroffene, also Personen, deren Daten verarbeitet werden, müssen künftig deutlich ausführlicher über die Datenverarbeitungsvorgänge sowie die Betroffenenrechte informiert werden. Transparenz und Information bilden eine wichtige Säule des Datenschutzrechts. Verbraucher werden unter Geltung der DSGVO auch deutlich umfassender geschützt als zuvor. So steht den Betroffenen z. B. ein „Recht auf Vergessenwerden“ ebenso zu wie ein Recht auf „Datenportabilität“.

Die Ausweitung der Informationspflichten hat unmittelbaren Einfluss auf die Praxis. Dies fängt bereits bei den datenschutzrechtlichen Hinweisen auf der Homepage an, die überarbeitet und ergänzt werden müssen. Aber auch die Anforderungen an eine „informierte“ Einwilligung, die von vielen Unternehmen als Grundlage für eine Erhebung und Nutzung von Kundendaten genutzt wird, werden erhöht, so dass die bestehenden Einwilligungsprozesse überprüft werden müssen.

Sanktionen und Meldepflichten

Der Verordnungsgeber meint es ernst und will dies auch verstanden wissen, was sich in den Sanktionsmöglichkeiten widerspiegelt. Verstöße gegen die DSGVO können ab dem 25. Mai 2018 mit Geldbußen von bis zu EUR 20 Millionen oder, im Fall eines Unternehmens, von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden. Hierdurch sollen auch Großkonzerne zur Datenschutz-Compliance angehalten werden. Verletzungen des Schutzes personenbezogener Daten (sog. „Datenpannen“) sind den Aufsichtsbehörden, unter besonderen Umständen sogar sämtlichen Betroffenen, unverzüglich zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Die verbleibende Zeit

Bis zur Umstellung auf das neue Datenschutzrecht verbleiben noch knapp sieben Monate. Diese Zeit sollte dazu genutzt werden, die datenschutzrechtlichen Konzepte und Prozesse auf ihre Vereinbarkeit mit der DSGVO hin zu prüfen und mit Blick auf die Rechenschaftspflichten zu dokumentieren. Ferner sind bestehende Verträge und bereits erteilte Einwilligungen im Hinblick auf die neue Rechtslage zu analysieren und anzupassen.

In Anbetracht des erheblich gesteigerten Sanktionsrisikos, aber auch mit Blick auf drohende Abmahnungen von Wettbewerbern, empfehlen wir allen betroffenen Unternehmen, die bislang keine entsprechenden Maßnahmen getroffen haben, umgehend damit zu beginnen und die betrieblichen Datenschutzbeauftragten mit den erforderlichen zeitlichen Mitteln für die rechtzeitige Umstellung der Datenverarbeitungsprozesse auszustatten.

/wp-content/uploads/2022/04/boehmert_logo.svg 0 0 Petra Hettenkofer /wp-content/uploads/2022/04/boehmert_logo.svg Petra Hettenkofer2017-11-07 11:30:542022-08-24 13:38:22Countdown zur Daten­schutzgrundverordnung

Autor

Dr. Sebastian Engels

Inhalte

Menü

  • Kanzlei
  • Tätigkeitsfelder
  • Unser Team
  • Aktuelles & Termine
  • Karriere

Informationen

  • Presse
  • Kontakt
  • Impressum
  • Datenschutz
  • Allgemeine Mandatsbedingungen

Rechtsgebiete

  • Arbeitnehmererfinderrecht
  • Datenschutzrecht
  • Designrecht
  • Domainrecht
  • IT-Recht
  • Kartellrecht
  • Lizenzrecht
  • Markenrecht
  • Patentbewertung
  • Patent- & Gebrauchsmusterrecht
  • Patentverletzung
  • Produktpiraterie
  • Urheberrecht
  • Wettbewerbsrecht

© Copyright 2023– BOEHMERT & BOEHMERT

Nach oben scrollen
Cookie Einstellungen Cookie Einstellungen

Um einige Teile unserer Webseite anbieten zu können benötigen wir Ihre Zustimmung. Wir verwenden Cookies und andere Technologien (Tools) auf unserer Website. Einige von ihnen sind essenziell, während andere dazu dienen, Ihnen weiterführende Informationen anzubieten. Wir binden zum Beispiel externe Medien wie YouTube-Videos ein. Durch die Einbindung externer Medien werden vom jeweiligen Anbieter Ihre personenbezogenen Daten (z.B. IP-Adresse) verarbeitet. Solche externen Medien werden deshalb nur mit Ihrer Einwilligung eingebunden. Weitere Informationen über die Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung. Es besteht keine Verpflichtung, der Verarbeitung Ihrer Daten zuzustimmen, um die anderen Teile der Website nutzen zu können. Sie können Ihre Auswahl (=Einwilligung) jederzeit mit Wirkung für die Zukunft unter Einstellungen widerrufen oder anpassen. Bitte beachten Sie, dass aufgrund individueller Einstellungen möglicherweise nicht alle Funktionen der Website zur Verfügung stehen.

Cookie Einstellungen

Alle Cookies akzeptieren

Einstellungen speichern

Nur essenzielle Cookies akzeptieren

Individuelle Datenschutzeinstellungen

Cookie-Details Datenschutzerklärung Impressum

Cookie Einstellungen Cookie Einstellungen

Wir verwenden Cookies und andere Technologien (Tools) auf unserer Website. Einige von ihnen sind essenziell, während andere dazu dienen, Ihnen weiterführende Informationen anzubieten. Wir binden zum Beispiel externe Medien wie YouTube-Videos ein. Durch die Einbindung externer Medien werden vom jeweiligen Anbieter Ihre personenbezogenen Daten (z.B. IP-Adresse) verarbeitet. Solche externen Medien werden deshalb nur mit Ihrer Einwilligung eingebunden. Weitere Informationen über die Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung. Es besteht keine Verpflichtung, der Verarbeitung Ihrer Daten zuzustimmen, um die anderen Teile der Website nutzen zu können. Bitte beachten Sie, dass aufgrund individueller Einstellungen möglicherweise nicht alle Funktionen der Website zur Verfügung stehen. Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.

Alle Cookies akzeptieren Einstellungen speichern Nur essenzielle Cookies akzeptieren

Zurück

Cookie Einstellungen

Essenzielle Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.

Cookie-Informationen anzeigen Cookie-Informationen ausblenden

Name
Anbieter Borlabs GmbH, Impressum
Zweck Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Datenschutzerklärung https://de.borlabs.io/datenschutz/
Cookie Name borlabs-cookie
Cookie Laufzeit 1 Jahr
Name
Anbieter ibericode
Zweck Speichert die Einstellung der Besucher der Website hinsichtlich des Erscheinens der Infobox (i. e. Schließen der Box).
Cookie Name boxzilla_box_29477
Cookie Laufzeit 1 Stunde

Inhalte von Videoplattformen werden standardmäßig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner manuellen Einwilligung mehr.

Cookie-Informationen anzeigen Cookie-Informationen ausblenden

Akzeptieren
Name
Anbieter Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck Wird verwendet, um YouTube-Inhalte zu entsperren.
Datenschutzerklärung https://policies.google.com/privacy
Host(s) google.com
Cookie Name NID
Cookie Laufzeit 6 Monate

Datenschutzerklärung Impressum