Rechtskommentar: EU-DSGVO
Europäische Datenschutzgrundverordnung
Am 25.05.2018 tritt sie in Kraft, die Datenschutzgrundverordnung (DSGVO). Und nicht etwa mit einer mehrmonatigen Übergangsfrist, wie man dies sonst häufig von Gesetzen kennt, sondern mit einem sogenannten Fallbeileffekt. Um 0.00 Uhr am 25.05.2018 müssen alle von der DSGVO geforderten Umstellungen erfolgt, Dokumente angefertigt und ggf. Betroffene informiert sein. Die Bußgeldbestimmungen sind deutlich schärfer als im bisherigen Bundesdatenschutzgesetz (BDSG).
Warum das Ganze?
Die Bezeichnung „Datenschutz“ mag dabei etwas irreführend sein, denn geschützt werden nicht die Daten, sondern die Rechte der Person, der diese Daten zuzuordnen sind. Diese Personen werden von der DSGVO als „Betroffene“ bezeichnet.
Laut der Definition im Gesetzestext sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispiele hierfür sind der Name, die Anschrift und das Geburtsdatum einer Person, aber auch seine ethnische Herkunft, seine Religionszugehörigkeit oder Gesundheitsdaten.
Ziel der DSGVO ist es, die Rechte dieser natürlichen Personen europaweit auf ein einheitliches Niveau anzuheben. Die Betroffenenrechte sind einer der Punkte, die die größte Veränderung im Vergleich zum derzeit noch gültigen BDSG darstellen. Sie werden erheblich ausgeweitet und sind im Verletzungsfalle sogar mit einem Schadensersatzanspruch abzugelten. Die wesentlichen Rechte der Betroffenen sind:
- Umfangreiche Information bei der Datenerhebung
- Auskunftsrechte
- Berichtigungsrechte
- Löschungsrechte
- Das Recht auf Einschränkung der Verarbeitung
- Das Recht auf Datenübertragbarkeit
- Das Recht auf Widerspruch bei einwilligungsloser Verarbeitung
- Schutz vor automatisierten Entscheidungen im Einzelfall, einschließlich Profiling
Was muss getan werden?
Um diesen Rechten der Betroffenen gerecht zu werden, legt die DSGVO Grundsätze fest, die bei der Datenverarbeitung zu beachten sind. Dabei handelt es sich um die Grundsätze der
- Rechtmäßigkeit
- Fairness
- Transparenz
- Zweckbindung
- Datensparsamkeit
- Sachliche Richtigkeit
- Begrenzte Speicherung
- Datensicherheit, Integrität und Vertraulichkeit
- Verantwortlichkeit
- Datenschutzfreundliche Technikgestaltung und
- Datenschutzfreundliche Voreinstellungen
Die wichtigsten dieser Grundsätze dürften wohl der Grundsatz der Rechtmäßigkeit und der Transparenz sein. Auch nach der Gesetzesänderung bleibt es dabei, dass die Verarbeitung von Daten grundsätzlich verboten ist, es sei denn es gibt einen ausdrücklichen Erlaubnistatbestand. Diese Tatbestände sind in der DSGVO abschließend geregelt.
Um der geforderten Transparenz nachzukommen, haben die betroffenen Unternehmen eine Reihe von Dokumenten zu erstellen und insbesondere die getroffenen Maßnahmen zu dokumentieren. Ein Teil der Dokumente ist nur ab einer bestimmten Unternehmensgröße zu erstellen oder wenn besonders sensible Daten verarbeitet werden, andere sind hiervon unabhängig.
Zudem ist von bestimmten Unternehmen auch ein Datenschutzbeauftragter zu bestellen, der dann die Geschäftsführung berät und erster Ansprechpartner für die Behörden und die betroffenen Personen ist.
Welche Unternehmen sind davon betroffen?
Anwendbar ist die DSGVO auf jedes Unternehmen, welches Geschäfte in der Europäischen Union betreibt. Auf den Sitz des Unternehmens kommt es dabei nicht an. Auch unerheblich ist, falls die Daten gegebenenfalls in einem Drittland verarbeitet werden. Sobald ein Unternehmen Daten im Geltungsbereich der DSGVO verarbeitet, ist es diesem Gesetz unterworfen.
Was heißt Datenverarbeitung?
Datenverarbeitung in diesem Sinne ist jeder Vorgang, den man sich im Umgang mit Daten vorstellen kann, z.B.:
- Erheben
- Organisieren
- Speichern
- Anpassen
- Löschen
- …
Was passiert bei Verstößen?
Wer die Vorschriften der DSGVO ignoriert oder nur fehlerhaft befolgt, läuft Gefahr, dass ein Bußgeld verhängt wird. Die Höhe dieser Bußgelder ist im Vergleich zum BDSG drastisch gestiegen. Die Behörden können ein maximales Bußgeld von 20.000.000 € oder 4 % des konzernweiten Jahresumsatzes verhängen. Es ist ausdrücklich normiert, dass jeder Verstoß zu ahnden ist und jedes zu verhängende Bußgeld zwar dem Verstoß angemessen, aber für das betroffene Unternehmen doch spürbar ist.
Außerdem sind bereits in diesem Jahr die Verstöße gegen das geltende Datenschutzrecht in das Unterlassungsklagegesetz aufgenommen worden. Das bedeutet, dass auch Interessengemeinschaften wie die Verbraucherzentrale oder die Wettbewerbszentrale Verstöße abmahnen können, ebenso wie Ihre Wettbewerber am Markt.
Fazit
Sollten Sie sich nicht sicher sein, ob in welchem Rahmen Sie betroffen sind und in wie weit Sie noch tätig werden müssen, lassen Sie sich unbedingt beraten. Die noch gut fünf Monate bis zum 25.05.2018 vergehen schneller als man denkt.
Link zur Webseite der Kanzlei Winterstein
Autorin:
Simone Winkler (MBA)
Rechtsanwältin | Fachanwältin für IT-Recht
Kanzlei Winterstein
www.kanzlei-winterstein.de