04.05.2018 10:01

EU-Datenschutz-Grundverordnung - Unternehmen müssen handeln

Ab dem 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DS-GVO) europaweit unmittelbar in Kraft. Damit steht eine weitreichende Änderung der Rechtslage bevor, die auch für alle Unternehmen gilt. Wir haben für Sie wichtige Bereiche der Neuerungen zusammengestellt. Bei Fragen oder Anmerkungen in diesem Zusammenhang sprechen Sie uns gerne an.

Gemäß Art. 4 Abs. 1 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine natürliche Person ist identifizierbar, wenn diese Informationen Angaben liefern, die bei Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, direkt oder indirekt Einblicke in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität ermöglichen.

Hierzu zählen insbesondere die folgenden Daten:

·        Allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer, Foto, Ausbildung, Familienstand, Staatsangehörigkeit, religiöse oder politische Einstellungen, Sexualität, Gesundheitsdaten, Vorstrafen etc.)

·       Kennnummern Sozialversicherungsnummer, Steueridentifikationsnummer, Krankenversicher- ungs­nummer, Personalausweisnummer etc.)

·        Bankdaten (Kontonummern, Kreditinformationen, Kontostände etc.)

·        Online-Daten (IP-Adresse, Standortdaten etc.)

·        Physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße etc.)

·       Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten etc.)

·        Kundendaten (Bestellungen, Adressdaten, Kontodaten etc.)

·        Werturteile (Leistungsbeurteilungen, Arbeitszeugnisse etc.)

·        Sachliche Verhältnisse (Einkommen, Kapitalvermögen, Schulden, Eigentum)

 

Die Änderungen, die die neue Gesetzeslage mit sich bringt, sind teilweise gravierend und betreffen durch die neuen Anforderungen an die Einwilligungserklärungen für die Verarbeitung und Speicherung der personenbezogenen Daten von Kunden und Geschäftspartnern insbesondere zentrale Bereiche, wie etwa die Auftragsverarbeitung.

Bisher gab es das so genannte Listenprivileg, das Unternehmen gestattet, Adressen und Daten zu sammeln, um diese für Werbezwecke zu vermarkten. In der DSGVO findet dieses Listenprivileg keine Erwähnung mehr. Besonders für Privatadressen, also mit personenbezogenen Daten, könnte dies Schwierigkeiten bedeuten. Aber auch Firmenadressen enthalten oft personenbezogene Daten, wie beispielsweise einen Ansprechpartner, als Zusatzinformation, die dem Datenschutz unterliegen.

Des Weiteren sind künftig neue Datenschutzgrundsätze wie „Datenschutz durch Technik (data protection by design)“ und „datenschutzfreundliche Voreinstellungen (data protection by default)" zu beachten. Sie spiegeln sich neben verschärften Informations- und Dokumentationspflichten auch in den neuen Anforderungen an einer „Datenschutz-Folgenabschätzung (data protection impact assessment)“ wider.

Dabei wurden die Sanktionen für Datenschutzverstöße massiv verschärft: Bisher bewegte sich der Bußgeldrahmen im Bereich von bis zu 300.000 Euro, wobei die in der Praxis verhängten Bußgelder meist deutlich darunterlagen. Künftig drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu 4% des weltweit erzielten Jahresumsatzes eines Unternehmens (es gilt der jeweils höhere Betrag).

Die Fülle von Änderungen im Detail und die ggf. damit verbundenen potentiellen Sanktionen lassen Unternehmen keine andere Wahl als im Rahmen des Risikomanagements ihre Datenverarbeitungs-prozesse rechtzeitig und umfassend zu analysieren und auf Änderungsbedarf „abzuklopfen". Alle notwendigen Änderungen zur gesetzeskonformen Anpassung sind rechtzeitig vor dem 25. Mai 2018 umzusetzen.

 Im Folgenden wollen wir Ihnen einen Überblick geben, in welchen Bereichen sich diese auf Ihr Unternehmen auswirken:

 1.    Räumlicher Anwendungsbereich ausgeweitet – auch Online-Anbieter betroffen

Die gesetzliche Rechtswirksamkeit des europäischen Datenschutzrechts wird europaweit auf alle Unternehmen ausgeweitet: Selbst ohne europäische Niederlassung ist die DS-GVO in Zukunft anwendbar, wenn ein Unternehmen in Europa Waren oder Dienstleistungen - auch unentgeltlich – anbietet oder das Verhalten von EU-Bürgern anhand ihrer Daten auswertet, etwa im Rahmen von Online-Tracking.

Handlungsbedarf:

Außerhalb der EU ansässige Unternehmen bzw. ihre Niederlassungen, die bisher das deutsche Datenschutzrecht ignorieren konnten, sollten überprüfen, ob sie künftig den Anforderungen der DS-GVO genügen müssen. Dies dürfte künftig nahezu praktisch jeden Online-Dienste-Anbieter betreffen.

2.    Einwilligungserklärungen – Anforderungen modifiziert

Die Einwilligung Ihrer Kunden und Geschäftspartner ist eines der zentralen Instrumente zur Gewährleistung der rechtskonformen Datenverarbeitung. Fehlerhafte Einwilligungserklärungen können zur Widerrechtlichkeit der Datenverarbeitung führen und empfindliche Geldbußen zur Folge haben.

Modifiziert wird im neuen Recht, in welcher Form der Betroffene seine Einwilligung in die Datenverarbeitung abgeben kann. Nach Art. 4 Ziff. 11 DS-GVO genügt jede eindeutig so auszulegende Handlung. Auch eine entsprechende Einstellung des Browsers kann im Einzelfall genügen. Inwiefern die Einwilligungen den neuen Anforderungen genügen, ist zu prüfen. Es wird darüber hinaus auch verschärfte Anforderungen geben, etwa an die Freiwilligkeit der Erklärung.

Handlungsbedarf:

Die von Ihren Kunden und Geschäftspartnern bereits eingeholten Einwilligungen zur Speicherung und Verarbeitung ihrer Daten müssen auf ihre Gültigkeit überprüft werden. Bisher verwendete Formulare zur Einholung künftiger Einwilligungen sind mit den Vorgaben des neuen Rechts abzugleichen und müssen hieran angepasst werden. Gleiches gilt u.a. für die Datenschutzerklärung auf der Website des Unternehmens.

3. Auftragsverarbeitung - Cloud, Outsourcing, Wartung und Co. - künftig auch Auftragnehmer in der Pflicht

Von hoher praktischer Bedeutung ist das Thema Auftragsdatenverarbeitung, „Auftragsverarbeitung“. Ohne Auftragsverarbeitung wären Outsourcing, Cloud-Computing, die meisten IT Services und der Datenfluss in Konzernen rechtlich nicht möglich.

Die DS-GVO enthält einen vom bisherigen Recht abweichenden Katalog von Anforderungen, die ein Vertrag über Auftragsverarbeitung erfüllen muss, sowie verstärkt Anforderungen an solche Vereinbarungen, die sich direkt aus dem Gesetz ergeben.

Neu unter der DS-GVO ist die (zivilrechtliche) Haftung von Auftragsverarbeitern (Auftragnehmern): Sie sind – anders als bisher – künftig gegenüber dem Betroffenen direkt mitverantwortlich und haften gemeinsam mit ihrem Auftraggeber für etwaige Datenschutzrechtsverstöße.

Zudem besteht – nun auch für den Auftragsverarbeiter – die Möglichkeit von empfindlichen Geldbußen von bis zu 10 Millionen Euro oder 2% des Jahresumsatzes im Falle von Verstößen gegen die neuen Vorschriften für die Auftragsverarbeitung. Zum Vergleich: Bisher gilt für derartige Verstöße ein Bußgeldrahmen von bis zu 50.000 Euro.

 Diese können künftig sowohl dem Verantwortlichen als auch dem Auftragsverarbeiter auferlegt werden, Art. 83 Abs. 4 a) DS-GVO. Während es nach bisheriger Rechtslage nahezu ausschließlich Sache des Auftraggebers ist, sich um eine ordnungsgemäße, vertragliche Grundlage der Auftragsverarbeitung zu kümmern, betrifft dies nun auch die Auftragsverarbeiter selbst. Dies ist eine erhebliche Neuerung für alle Auftragsverarbeiter wie zum Beispiel Cloud-Anbieter, externe Rechenzentren, IT-Dienstleister und Software-Implementierungspartner!

Handlungsbedarf:

In jedem Fall müssen die im Unternehmen vorhandenen Verträge über Auftragsverarbeitung dahingehend überprüft werden, ob sie den Anforderungen der DS-GVO genügen und gegebenenfalls überarbeitet werden müssen. Insbesondere Auftragsverarbeiter müssen die mit der Auftragsverarbeitung verbundenen Haftungs- und Sanktionsrisiken ins Auge fassen und berücksichtigen.

 4.      Datenübermittlung ins EU-Ausland

Wie das BDSG sieht die DS-GVO vor, dass eine Übermittlung von Daten in das EU-Ausland besonders gerechtfertigt werden muss. Dies ist ohne weiteres möglich, wenn die EU-Kommission für einen bestimmten Staat beschlossen hat, dass dort ein datenschutzrechtlich angemessenes Schutzniveau herrscht. Falls ein solcher Beschluss nicht vorliegt, bietet die DS-GVO einen ganzen Satz weiterer Instrumentarien zur Rechtfertigung der Datenübermittlung.

Noch ungewiss ist, ob bisher verwendete Mittel wie Standardvertragsklauseln oder Binding Corporate Rules in ihrer jetzigen Form auch künftig genügen werden.

Erfreulich aus Unternehmenssicht ist hingegen, dass die Auftragsverarbeitung künftig nicht mehr auf den europäischen Wirtschaftsraum beschränkt sein wird, sondern auch mit Dienstleistern außerhalb, etwa in den USA, möglich sein wird. Auftragsverarbeitung kann unter der DS-GVO also eine zusätzliche Option darstellen, weltweite Datenübermittlungen zu rechtfertigen.

Handlungsbedarf:

Sie sollten die Entwicklung der Diskussion verfolgen, insbesondere die zu erwartenden Stellungnahmen der Aufsichtsbehörden. Bisher gebräuchliche Instrumente zur Rechtfertigung der Datenübermittlung ins Ausland müssen rechtzeitig vor dem Inkrafttreten der DS-GVO auf ihre Tauglichkeit zur Weiterverwendung überprüft werden.

 5.      Verarbeitungsverzeichnis ersetzt Verfahrensverzeichnis

Schon aktuell führen Unternehmen regelmäßig ein Verfahrensverzeichnis, in dem alle Datenverarbeitungsprozesse abgebildet werden. Nunmehr wird die Führung eines sogenannten „Verarbeitungsverzeichnisses" verpflichtend, das gesetzlich festgelegte Informationen enthalten muss. Hier lohnt sich eine sorgfältige Entwicklung aus dem vorhandenen Verfahrensverzeichnis heraus, weil das Unternehmen damit auch seiner Rechenschaftspflicht genügen kann: Jeder Datenverarbeiter muss die Einhaltung des neuen Datenschutzrechts aktiv gegenüber der Aufsichtsbehörde nachweisen können.

 Handlungsbedarf:

Das in Ihrem Unternehmen bereits vorhandene Verfahrensverzeichnis muss auf Anpassungsbedarf hin überprüft werden. Der Umfang und Zweck der Speicherung und Verarbeitung personenbezogener Daten sowie die getroffenen Kontroll- und Schutzmaßnahmen sind detailliert darzulegen. Ein erhöhter Dokumentationsaufwand wird hier vor allem Auftragsverarbeiter treffen, die bislang zur Führung eines Verarbeitungsverzeichnisses für die im Auftrag verarbeiteten Daten nicht verpflichtet waren.

6.      Gesetzliche Rechtfertigung der Datenverarbeitung umgestaltet

Soweit keine Einwilligung des Betroffenen vorliegt, bedarf es auch unter der DS-GVO einer gesetzlichen Erlaubnis für die Datenverarbeitung. Der Katalog von Rechtfertigungsmöglichkeiten ist gegenüber dem BDSG grundlegend neu formuliert worden. Die Voraussetzungen für Scoring und Profiling etwa sind in der DS-GVO anders gefasst.

Handlungsbedarf:

Soweit Datenverarbeitungen bisher auf eine gesetzliche Grundlage gestützt wurden, etwa zum Zweck der Vertragsabwicklung nach § 28 BDSG, müssen diese Prozesse dahingehend untersucht werden, ob sie auch den Anforderungen der DS-GVO genügen.

7.      Neue Pflicht zur Datenschutz-Folgenabschätzung

Neu ist die Pflicht zur Datenschutz-Folgenabschätzung: Bewirkt eine Form der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen, so hat das Unternehmen bereits im Vorfeld der Verarbeitung eine Datenschutz-Folgenabschätzung durchzuführen. Das Gesetz nennt beispielhaft für eine potenziell riskante Datenverarbeitung das Profiling und die systematische Überwachung öffentlich zugänglicher Bereiche.

Handlungsbedarf:

Anhand des Verarbeitungsverzeichnisses müssen potenziell riskante Prozesse auf tatsächliche Risiken für die Betroffenen hin bewertet werden. Besteht demnach ein hohes Risiko für Rechte der Betroffenen, müssen die entsprechenden Prozesse der Aufsichtsbehörde vorab gemeldet werden.

8.      Erweiterte Informations- und Dokumentationspflichten

Die Informationspflichten gegenüber dem Betroffenen, was den Umgang mit seinen Daten angeht, werden ausgeweitet. Insbesondere muss der Betroffene nun darüber informiert werden, auf welcher Rechtsgrundlage Unternehmen seine Daten verarbeiten.

Handlungsbedarf:

Auch Ihr Unternehmen sollte überprüfen, ob die bisher praktizierte Information der Betroffenen dem neuen Recht genügt. Dies betrifft insbesondere Informationen über den Umgang mit personenbezogenen Daten in Datenschutzerklärungen oder in AGBs. Insbesondere diese außenwirksamen Regelungen sollten im Sinne des Risikomanagements unbedingt bis zum Inkrafttreten der DS-GVO (25.Mai 2018) angepasst werden, weil diese, Gegenstand von Datenschutzverbandsklagen sein können.

 Angesichts des Ausmaßes der Gesetzesänderung und der damit potentiell verbundenen Sanktionen empfehlen wir, Ihre Geschäftsprozesse (rechtzeitig) hinsichtlich der neuen Rechtslage zu analysieren und ggf. anzupassen.

 Bei Fragen oder Anmerkungen sprechen Sie uns gerne an.