Datenschutzgrundverordnung 2018: Handlungsbedarf für Unternehmer?

Die Datenschutzgrundverordnung (DS-GVO) ist bereits am 25.5.2016 in Kraft getreten. Am 25.5.18 wird die Übergangsfrist zur Umsetzung der darin enthaltenen Regelungen auslaufen. Mit diesem Ablauf kommen einschneidende Änderungen auf jeden Unternehmer zu, der digitale Daten verarbeitet.

Der deutsche Gesetzgeber hat zusätzlich auch noch ein neues Bundesdatenschutzgesetz (BDSG) geschaffen, welches die Verordnung ergänzt und ebenfalls am 25.5.2018 in Kraft tritt.

Damit besteht dringender Handlungsbedarf für Unternehmer. Einige der wichtigen Aspekte dieser Änderungen soll dieser Beitrag aufzeigen.

Es ist verboten, was nicht erlaubt ist!

Vorab ist anzumerken, dass die DS-GVO an dem Verbot mit Erlaubnisvorbehalt festhält. Das bedeutet, das jedwede Erhebung von Daten, also Beschaffung Verarbeitung oder Übermittlung personenbezogener Daten einer ausdrücklichen gesetzlichen Erlaubnis bedarf. Dieses kann die DS-GVO selbst sein oder aber ein bereichspezifisches Gesetz wie das BDSG, oder aber eine Einwilligung der betroffenen Personen selbst. Der Gesetzgeber möchte damit dem „Big Data“ und dem Sammeln von Daten einen Riegel vorschieben und Unternehmen damit zur Datenvermeidung zwingen, bzw. sich genau mit den Daten auseinanderzusetzen, die von dem Unternehmen erhoben und verarbeitet werden.

Einwilligung der betroffenen Person

Die Einwilligung durch den Betroffenen in der DS-GVO ist nicht neu und wurde bereits vom BDSG vorgegeben, erforderte dabei jedoch die Schriftform. Für die Einwilligung nach Art. 7 DS-GVO ist so dann keine Schriftform mehr erforderlich, jedoch eine Nachweispflicht durch den Unternehmer (Verantwortlichen).

Sofern die Einwilligung jedoch mit anderen Sachverhalten verknüpft wird, ist eine klare Trennung vorzunehmen, da grundsätzlich ein Kopplungsgebot besteht. Der Betroffene muss also bewusst und eindeutig in die Erhebung, Verarbeitung und Weitergabe seiner Daten eingewilligt haben. Die Einwilligung muss freiwillig und auf Augenhöhe erfolgen und durch den Verantwortlichen nachgewiesen werden können. Indes ist der Kunde (Betroffene) vor Abgabe der Einwilligung davon in Kenntnis zu setzen, dass diese jederzeit widerrufen werden kann.

Sind besonders sensible Daten zu verarbeiten, so muss sich die Einwilligung ausdrücklich auf deren Verarbeitung beziehen.

Datenverarbeitung zur Vertragserfüllung

Die Verarbeitung von Daten ist auch rechtmäßig, wenn die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgt. Demnach liegt eine Erlaubnis zur Datenverarbeitung ebenfalls dann vor, wenn diese zur Erfüllung einer vertraglichen Verpflichtung des Unternehmers oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist und gerade auf Anfrage des Betroffenen erfolgt.

Datenschutzfolgenabschätzung und Verfahrensverzeichnisse

Wer personenbezogene Daten verarbeitet, hat dafür nicht nur eine Rechtsgrundlage vorzuweisen, sondern nach der DS-GVO auch besondere Verfahrensweisen zu beachten.

Gemäß Art. 35 DS-GVO ist eine „Datenschutz-Folgenabschätzung“ durchzuführen. Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so ist vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. Dabei sind ebenfalls nach Art. 30 DS-GVO Verfahrensverzeichnisse zu erstellen, die der Aufsichtsbehörde auf Nachfrage offengelegt werden müssen.

Bestellung eines Datenschutzbeauftragten

Eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, wenn zu den Kerntätigkeiten des Unternehmens die umfangreiche oder regelmäßige systematische Überwachung von Daten zählen. Der Verantwortliche und der Auftragsverarbeiter haben einen Datenschutzbeauftragten zu benennen, soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung unterliegen, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.

Informationspflichten

Der Betroffene ist sowohl nach der DS-GVO, als auch nach dem BDSG über den Zweck der Verarbeitung seiner Daten, als auch über Namen und Kontaktdaten des verantwortlichen sowie seines Vertreters zu informieren. Art. 13 DS-GVO gibt dabei einen Informationskatalog vor, unter anderem die Informationspflicht des Verantwortlichen in Bezug auf den Datenschutzbeauftragten. Dabei ist der Betroffene auch in bestimmten Fällen auf die Widerrufsmöglichkeit seiner Einwilligung in die Verarbeitung seiner Daten zu belehren sowie darüber, dass ihm ein Beschwerderecht bei der Aufsichtsbehörde zusteht. Ebenfalls ist der Betroffene darüber zu belehren, dass sein Widerruf an der Rechtsmäßigkeit der bis dahin erfolgten Verarbeitung nichts ändert, worüber er ebenfalls zu belehren ist.

Meldungen von Verstößen an die Aufsichtsbehörde

Auch bisher mussten – unter bestimmten Voraussetzungen – Verletzungen des Datenschutzes an die aufsichtführende Behörde gemeldet werden. Diese Meldepflicht wurde nunmehr ergänzt und verschärft. Es müssen sowohl Betroffene, als auch die Behörden binnen 72 Stunden, nachdem die Verletzung bekannt wurde, über den Datenschutzverstoß informiert werden (Art. 33, 34 DS-GVO), es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

Sanktionen bei Datenschutzverstößen

Indes sind auch die umfangreichen Sanktionsmöglichkeiten beachtlich. Fast jeder Verstoß gegen die DS-GVO ist sanktioniert. Auch können die Aufsichtsbehörden nach Art. 83 Abs. 5 DS-DGVO ein Bußgeld – je nach Art des Verstoßes – von bis zu 20 Mio. Euro oder 4% des weltweiten Konzernumsatzes verhängen.

Handlungsbedarf für Unternehmer?

Ja, es besteht dringender Handlungsbedarf für Unternehmer, denn die DS-GVO bringt Neuerungen mit sich, die nicht zu vernachlässigen sind. Auch drohen Abmahngefahren sowie Bußgelder bei Nichteinhaltung der neuen – sowie auch alten – Datenschutzkriterien.

Die Neuerungen sollten dabei zu bewältigen sein. Dieses wird jedoch nur umsetzbar sein, so denn sich Unternehmer und deren Datenschützer alsbald mit der Umsetzung der DS-GVO sowie deren Anpassung im Unternehmen ernsthaft auseinandersetzen.

Der bisherige Datenschutz in Deutschland wird nicht nur materiell geändert, sondern auch zusätzlich durch ein schwer durchsichtiges Gesetzesgeflecht geprägt. Dabei werden noch Jahre vergehen, bevor eine praktische Umsetzung der DS-GVO durch Rechtssicherheit geprägt sein wird. Bis dahin bleiben viele Fragen und wenig Antworten durch den Gesetzgeber.

Die Hamburger Kanzlei Jöhnke & Reichow Rechtsanwälte hat sich auf die Bereiche des Wettbewerbsrechts und des Datenschutzes spezialisiert. Die Kanzlei informiert auch im Rahmen ihres Vermittler-Kongresses am 08.02.2018 ausführlich zum Thema DS-GVO. Näheres zur Veranstaltung erfahren Sie unter www.vermittler-kongress.de.

Rechtsanwalt Björn Thorben M. Jöhnke
Fachanwalt für Versicherungsrecht

Kanzlei Jöhnke & Reichow Rechtsanwälte in Partnerschaft mbB