Die EU-Datenschutz-Grundverordnung – was ist neu?
Bekannte Grundsätze bleiben erhalten und werden weiterentwickelt
Die Datenschutz-Grundverordnung (DSGVO) schreibt im Wesentlichen die bisherigen datenschutzrechtlichen Grundprinzipien fort und entwickelt sie weiter.
Die Grundsätze des „Verbots mit Erlaubnisvorbehalt“, der „Datenvermeidung und Datensparsamkeit“, der „Zweckbindung“ und der „Transparenz“ prägen die DSGVO weiterhin.
Das Prinzip der Datensicherheit ist weiter verankert in Art. 5 Abs. 1 lit. f und Art. 32 DSGVO. Um dem Stand der Technik Rechnung zu tragen, kann nun ggf. eine Pseudonymisierung oder Verschlüsselung erforderlich sein.
Bei der Übermittlung von Daten an Drittstaaten, werden die Regelungen der Datenschutzrichtlinie mit einigen neuen Akzenten übernommen. Sie ist nur zulässig, wenn Verantwortliche und Auftragsverarbeiter die niedergelegten Bedingungen erfüllen und sonstige Bestimmungen der DSGVO beachten (Art. 44 DSGVO). (Positive Entscheidung der EU-Kommission über angemessenes Schutzniveau (Art. 45 DSGVO) oder andere geeignete Garantien für durchsetzbare Rechte und wirksame Rechtsbehelfe im Drittland).
Betroffenenrechte werden weiterhin durch Transparenz, proaktive Benachrichtigungspflichten (Art. 13, 14 DSGVO), Auskunftsrechte (Art. 15 DSGVO), Berichtigungsrechte, Löschungsansprüche insbesondere das „Recht auf Vergessenwerden“ (Art. 17 Abs. 2 DSGVO), Einschränkung der Verarbeitung und Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowie allgemeine Widerspruchsrechte nach Art. 21 Abs. 1 DSGVO gewährleistet.
Wichtige Neuerungen
Manches wird praxisgerechter und einfacher werden. Einiges kommt jedoch an neuen Pflichten vor allem auf Unternehmer zu.
One-Stop-Shop
In der Datenschutz-Grundverordnung wird ein „One-Stop-Shop-Mechanismus“ für Unternehmen eingeführt, die Niederlassungen in mehreren EU-Mitgliedstaaten führen und dort Datenverarbeitung betreiben. Für Unternehmen wird es einfacher als bisher, ihre datenschutzrechtlichen Angelegenheiten zu klären: bei grenzüberschreitenden Datenverarbeitungen wird nur die Aufsichtsbehörde am jeweiligen Hauptsitz des Unternehmens zuständig sein.
Auftragsdatenverarbeitung
Auch die Auftragsdatenverarbeitung (bisher § 11 BDSG) wird europaweit einheitlich geregelt und angepasst. Eine vertragliche Regelung ist weiterhin die Grundvoraussetzung für die Verarbeitung personenbezogener Daten. Diese kann bald im elektronischen Format abgeschlossen werden. Außerdem kann zukünftig eine Auftragsdatenverarbeitung außerhalb der Europäischen Union stattfinden (Art. 3 DSGVO).
Einwilligung
Grundvoraussetzungen für eine wirksame Einwilligung sind nach wie vor die freie Entscheidung des Betroffenen, ausführliche sowie erkennbare und bestimmte Information des Betroffenen, Schriftform und Widerruflichkeit der Einwilligungserklärung. Das sog. „Koppelungsverbot“ wird besonders berücksichtigt in Art. 7 Nr. 4 DSGVO. Der Abschluss eines Vertrages darf nicht von der Verarbeitung weiterer Daten abhängig gemacht werden, die für die eigentliche Vertragsdurchführung gar nicht benötigt werden. Das bedeutet für Online-Händler, dass eine Einwilligung nicht mehr in Form eines sog. Opt-Outs Modells eingeholt werden kann, sondern eine aktive Handlung des Nutzers unerlässlich wird (Opt-In).
Bußgelder und Sanktionen für Unternehmen
Neu im Datenschutz-Schadensrecht sind der Direktanspruch des Betroffenen gegen den Auftragsverarbeiter (Art. 82 Abs. 1 DSGVO) und die Beweislastumkehr für Datenschutzverletzungen. Außerdem werden Sanktionen für Datenschutzverstöße drastisch erhöht. Während bisher nach § 43 BDSG Bußgelder von bis zu 300.000 Euro möglich waren, wird die maximale Geldbuße bis zu 20 Millionen Euro oder 4% des Jahresumsatzes betragen (Art. 58 DSGVO).
Fazit
Auf die Unternehmen kommen mit der Verordnung zahlreiche neue Dokumentations-, Melde- und Genehmigungspflichten zu. Dazu gehören unter anderem Datenfolgenabschätzungen, Umsetzung datenschutzfreundlicher Voreinstellungen, Beachtung des Datenschutz bei Entwicklung neuer Produkte und die neuen Verbraucherrechte.
Viele Regelungen sind aber sehr allgemein formuliert und können zu einer gewissen Rechtsunsicherheit führen. Dennoch wird auf dem Fundament des BDSG aufgebaut und dem technischen Wandel, wenn auch bedingt, Rechnung getragen.
Unternehmen sollten ihre Datenschutzmaßnahmen frühzeitig anpassen. Hierzu gehört auch eine Anpassung der Verträge über die Auftragsdatenverarbeitung.
Sie interessiert das Thema und wünschen nähere Informationen?
Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber