EU-DSGVO

Die EU-Datenschutzgrundverordnung ist eine Verordnung zur Vereinheitlichung des Datenschutzrechts in allen EU-Mitgliedstaaten. Sie regelt die Verarbeitung personenbezogener Daten durch Unternehmen, Behörden und datenverarbeitende Stellen. Betroffen sind nach dem Marktprinzip:

• Unternehmen in der Europäischen Union
• Außereuropäische Unternehmen, die am europäischen Markt tätig sind oder Daten von EU-Bürgern verarbeiten

Die EU-DSGVO trat im Frühjahr 2016 in Kraft. Während der Übergangsfrist bis 25. Mai 2018 hatten die Auftragsverarbeiter Zeit, sich auf die datenschutzrechtlichen Regelungen vorzubereiten. Die bisherige EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) von 1995 wird durch die DSGVO ersetzt. Die in der Richtlinie beschriebenen Mindeststandards sollten von den EU-Mitgliedstaaten durch nationale Gesetze umgesetzt werden. Die Grundverordnung gilt unmittelbar für alle EU-Mitgliedstaaten. Geringfügige länderspezifische Abweichungen sind durch Öffnungsklauseln möglich, die nationale Regelungen zulassen. In Deutschland wurde das Bundesdatenschutzgesetz (BDSG) überarbeitet. Mit Geltung der EU-DSGVO wird das neue BDSG (BGSD (neu)) das alte Recht (BDSG (alt)) ablösen.

Ziele der DSGVO

Die DSGVO dient dem Schutz von personenbezogenen Daten (Art. 1 Abs. 1 DSGVO). Personenbezogene Daten (Art. 4 Abs. 1 DSGVO) sind Informationen, die Personen bestimmbar machen und Rückschlüsse auf ihre persönlichen oder sachlichen Verhältnisse zulassen. Nach Art. 4 Abs. 4 2 DSGVO umfasst die Verarbeitung mehrere Bereiche, z. B. das Erfassen, Erheben, Speichern, Auslesen, Abfragen, Übermitteln oder Löschen von Daten. Die Betroffenenrechte werden durch die DSGVO gestärkt und Unternehmen müssen entsprechende Pflichten übernehmen.

Grundsätzlich ist die Verarbeitung personenbezogener Daten genehmigungspflichtig: Die Verarbeitung von Daten ist untersagt, es sei denn, es liegt eine ausdrückliche gesetzliche Erlaubnis oder Einwilligung der betroffenen Person vor. Art. 5 DSGVO legt 6 Grundsätze für die Verarbeitung personenbezogener Daten fest:

• Rechtmäßigkeit der Datenverarbeitung: Die Daten müssen rechtmäßig und für die betroffenen Personen transparent erhoben / verarbeitet werden.
• Zweckbindung der Daten: Die verarbeiteten Daten müssen für einen bestimmten Zweck bestimmt sein und dürfen nicht zu einem anderen Zweck verarbeitet werden - zum Beispiel Daten von Bewerbern zu Einstellungszwecken. Zu unterschiedlichen Zwecken erhobene Daten dürfen nicht einfach zusammengeführt werden (z. B. persönliche Daten und Bankdaten eines Bankangestellten).
• Datenminimierung: Der Umfang der Datenverarbeitung wird auch durch den Zweck begrenzt: Daten dürfen nicht aufbewahrend oder verdächtig gespeichert werden. Die Unternehmen müssen sich fragen, ob sie diese Daten wirklich benötigen (z. B. 3 verschiedene Telefonnummern von ein und derselben Person). Nicht mehr benötigte Daten sind zu löschen.
• Korrektheit: Die Daten müssen sachlich richtig und aktuell sein. Fehlerhafte Daten müssen korrigiert oder gelöscht werden.
• Begrenzung der Speicherung: Die Daten müssen so gespeichert werden, dass eine Identifizierung der Person nur für die für den Zweck der Verarbeitung erforderliche Zeit möglich ist.
• Integrität und Vertraulichkeit: Die Datenverarbeitung muss die Sicherheit personenbezogener Daten gewährleisten: Daten müssen vor unbefugtem Zugriff, Verlust oder unfreiwilliger Zerstörung geschützt werden. Mögliche Schutzmaßnahmen sind der Einsatz von Festplatten und verschlüsselten Dateisystemen, die Transportverschlüsselung des E-Mail-Verkehrs (TSL / SSL) und die Pseudonymisierung von Office-Dokumenten.

Rechte betroffener Personen

Im Zuge der EU-DSGVO wurden die Rechte des Einzelnen in Bezug auf die Verarbeitung seiner personenbezogenen Daten gestärkt. Den Betroffenen steht ein Auskunftsrecht über die Erhebung ihrer Daten zu (Art. 13 DSGVO), das heißt, sie haben das Recht, Auskunft darüber zu verlangen, ob und welche Daten ein Unternehmen verarbeitet. Im Falle einer Verarbeitung kann der Betroffene gemäß Art. 15 Abs. 1 DSGVO folgende Informationen zur Datenverarbeitung verlangen:

• Zweck der Verarbeitung
• Kategorien von Daten
• Empfänger der Daten oder Kategorien von Empfängern
• Dauer der Datenspeicherung oder Dauer-Kriterien (z.B. Bewerberdaten bis zur Stellenbesetzung)
• Herkunft der Daten, die nicht bei betroffenen Personen erhoben werden
• Bestehende automatisierte Entscheidungsfindung
• Profiling (Erstellung von Nutzerprofilen, z.B. zur Bewertung der Arbeitsleistung oder persönlicher Präferenzen einer Person)

Zusätzlich sind die betroffenen Personen über ihre Rechte zu informieren. In der Datenschutzgrundverordnung sind folgende Rechte verankert:

• Recht auf Berichtigung (Art. 16 DSGVO): Personen können die Berichtigung unrichtiger Daten und die Vervollständigung unvollständiger Daten verlangen.
• Recht auf Löschung (Art. 17 GDPR): Unter bestimmten Umständen kann eine Person die Löschung ihrer Daten verlangen
• Recht auf Einschränkung der Verarbeitung (Art. 18 GDPR): Betroffene Personen können eine Einschränkung der Datenverarbeitung verlangen, wenn die Verarbeitung beispielsweise unrechtmäßig ist und die Richtigkeit der Daten bestritten wird.
• Widerspruchsrecht (Art. 21 GDPR): Einzelpersonen können der Verarbeitung ihrer Daten widersprechen.
• Beschwerderecht bei einer Aufsichtsbehörde Art. 77 DSGVO): Personen haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten unrechtmäßig ist.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Nutzer können z.B. ihre Daten übertragen, wenn Sie den Anbieter wechseln (Datenübertragbarkeit). System-Anbieter müssen die Daten in einem maschinenlesbaren Format als Kopie verfügbar machen.

Pflichten für Datenverarbeiter

• Technische und organisatorische Maßnahmen: Gemäß Artikel 25 Absatz 1 DSGVO müssen Auftragsverarbeiter technische und organisatorische Maßnahmen zur Umsetzung der Grundsätze des Datenschutzes treffen – z. B. möglichst schnelle Pseudonymisierung von Daten und Reduzierung der Datenverarbeitung. Der Datenschutz soll durch frühzeitige Maßnahmen in der (Produkt-)Entwicklungsphase und durch datenschutzfreundliche Voreinstellungen umgesetzt wird. Daten sollen nur so lange gespeichert und verarbeitet werden, wie es für die Zwecke notwendig ist.
• Datenverarbeitung im Auftrag: Bei der Datenverarbeitung im Auftrag (Art. 28 DSGVO) sind bei der Auswahl des Auftragsverarbeiters technische und organisatorische Maßnahmen zu berücksichtigen. Gemäß Artikel 29 der DSGVO darf der Auftragsverarbeiter die Daten nur auf Anweisung und nicht für eigene Zwecke verarbeiten. In Artikel 28 Absatz 3 sind die Aspekte aufgeführt, die beim Abschluss eines Vertrags mit einem Unterauftragnehmer zu berücksichtigen sind.
• Benachrichtigung über Datenschutzverletzungen: Datenschutzverletzungen müssen der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden (Art. 33 DSGVO), wenn ein Risiko für die Rechte und Freiheiten der betroffenen Person besteht. Bei hohem Risiko ist auch die betroffene Person zu informieren (Art. 34 Abs. 1 DSGVO). Dokumentationspflicht (Art. 30 DSGVO): Auftragsverarbeiter müssen über ihre Verarbeitungstätigkeiten Buch führen. Dies sollte Folgendes beinhalten:
• Informationspflicht: Die für die Verarbeitung Verantwortlichen müssen die betroffenen Personen bei der Erhebung ihrer personenbezogenen Daten über die in Art. 13 DSGVO aufgeführten Punkte informieren. Wurden die Daten nicht bei der betroffenen Person erhoben, sind die Angaben nach Art. 14 DSGVO gilt.
• Datenschutz-Folgenabschätzung: Im Falle eines hohen Risikos der Datenverarbeitung muss eine Datenschutz-Folgenabschätzung durchgeführt werden (Art. 35 DSGVO), in der z.B. die Risiken für die betroffene Person bewertet und die geplanten Verarbeitungsvorgänge beschrieben werden.
• Datenschutzbeauftragter: Unternehmen mit wesentlichen Datenverarbeitungstätigkeiten müssen einen Datenschutzbeauftragten benennen (Art. 37 (1) GDPR).

Sanktionen bei Verstößen

Im Rahmen der DSGVO sind bei bestimmten Rechtsverstößen Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes möglich - der höhere Wert gilt. Bisher lag die im BDSG verankerte Haftungshöchstgrenze bei maximal 30.000 Euro. Die Bußgelder wurden erhöht, um abschreckend zu wirken. Darüber hinaus sieht das (neue) BDSG Geld- und Freiheitsstrafen vor – nach Art. 84 Abs. 1 DSGVO können EU-Mitgliedstaaten bei Verstößen eigene Sanktionen verhängen.