Die Datenschutzgrundverordnung – ein Überblick

Die Datenschutzgrundverordnung ist in aller Munde. Doch was heißt dies eigentlich konkret für datenverarbeitende Unternehmen? Schließlich gab es Datenschutz auch schon vorher.

I. Allgemeines

Mit der Datenschutzgrundverordnung, die am 25. Mai 2018 unmittelbar in ganz Europa gilt, tritt das bisherige nationale Datenschutzrecht in den Hintergrund. Die wesentlichen Punkte regelt hingegen die Datenschutzgrundverordnung (DSGVO) selbst. Zwar gibt es sog. Öffnungsklauseln, die der nationale Gesetzgeber füllen darf, es handelt sich hierbei aber eher um Spezifizierungen von DSGVO- Regelungen.

Mangels gerichtlicher Entscheidungen dürfte es Jahre dauern, bis genau definiert ist, welches konkrete Verhalten datenschutzrechtlich rechtskonform ist. Dennoch ist Verantwortlichen und Auftragsdatenverarbeitern dringend zu empfehlen, sich mit den neuen Anforderungen der DSGVO vertraut zu machen. Hilfreich sind insoweit auch die Erwägungsgründe zur DSGVO. Diese sind integrale Bestandteile der Verordnung.

II. Grundanforderungen nach der DSGVO

Die Grundanforderungen an den Verantwortlichen sind sowohl in Artikel 5 Abs. 2 als auch in Art. 24 Abs. 1 geregelt. Nach Artikel 5 Abs. 2 DSGVO hat der Verantwortliche Sorge für die Einhaltung der in Artikel 5 Abs. 1 geregelten Grundsätze zu sorgen. Hierbei handelt es sich um:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz

1. Zweckbindung
2. Datenminimierung
3. Richtigkeit der Daten
4. Speicherbegrenzung
5. Integrität und Vertraulichkeit

Neu ist insoweit, dass der Verantwortliche nicht nur für die Einhaltung verantwortlich ist, sondern die Einhaltung dieser Grundsätze auch nachweisen können muss (Rechenschaftspflicht). Aufgrund dieser Rechenschaftspflicht ergibt sich der dringende Handlungsbedarf von Unternehmen, die sich datenschutzrechtlich noch nicht sicher aufgestellt haben. In Zukunft müssen Unternehmen, die personenbezogene Daten erheben, nachweisen können, dass sie die Regelungen der DSGVO eingehalten haben. Eine beweissichere Dokumentation wird damit zwingend erforderlich.

Artikel 24 Abs. 1 DSGVO definiert, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen muss, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt.

III. Die Kernbereiche der DSGVO

Die Pflichten der DSGVO kann in drei Kategorien unterteilt werden:

1. Die Rechtmäßigkeit der Datenverarbeitung
2. Die Sicherung der Betroffenenrechte
3. Das Handling mit Datenschutzpannen

1. Die Rechtmäßigkeit der Datenverarbeitung

Wann ist die Datenverarbeitung personenbezogener Daten nach der DSGVO rechtmäßig?

Zunächst ändert sich nichts, d. h. nach wie vor bedarf jede Datenverarbeitung einer Rechtsgrundlage. Ohne Rechtsgrundlage ist die Datenverarbeitung schlicht verboten. Es gilt weiterhin wie bisher das Prinzip des Verbots mit Erlaubnisvorbehalt.

Rechtmäßig ist die Datenverarbeitung gemäß Artikel 6 Abs. 1 DSGVO vereinfacht gesagt, wenn

1. eine Einwilligung der betroffenen Person vorliegt;
2. die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist;
3. um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
4. die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt;
5. die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Jede Datenverarbeitung bedarf folglich einer Rechtsgrundlage. Gleichzeitig hat der Verantwortliche die in Artikel 5 Abs. 1 DSGVO geregelten Grundsätze einzuhalten und die betroffene Person ausreichend über die Datenverarbeitung zu informieren (Artikel 12 DSGVO – Transparenz). Der Verantwortliche muss zudem nachweisen können, dass er ausreichende technische und organisatorische Maßnahmen zum Schutz vor Datenschutzverletzungen getroffen hat (Artikel 24, Artikel 32 DSGVO).

Zu diesen Maßnahmen gehört u. a. die sorgfältige Auswahl und Vertragsgestaltung mit Auftragsdatenverarbeitern (Artikel 28 DSGVO) sowie die Dokumentation, der Datenverarbeitungsprozesse (Artikel 30 DSGVO). Die Dokumentation soll u. a. Auskunft darüber geben, auf welcher Rechtsgrundlage die Daten verarbeitet wurden, wie lange diese gespeichert werden und welche konkreten Schutzmaßnahmen (Zugriff, Zugang, etc.) es gibt. Werden personenbezogene Daten in Drittländer übermittelt, sind die Voraussetzungen des Artikels 40 DSGVO einzuhalten.

Der Verantwortliche muss folglich ausreichend dokumentieren und bei Bedarf nachweisen, dass er die Anforderungen erfüllt hat.

Zusammenfassend hat er Folgendes zu beachten

1. Wurden die Daten rechtmäßig erhoben? Gab es eine Rechtsgrundlage? (Artikel 6 Abs. 1 DSGVO)

- Einwilligung?

- Vertragserfüllung?

- Berechtigtes Interesse?

- Schutz lebenswichtiger Interessen?

- Wahrung öffentlicher Interessen?

2. Zu welchem Zweck werden die Daten erhoben? Ist der Zweck ausreichend dokumentiert und werden wirklich nur die Daten erhoben, die zur Zweckerreichung notwendig sind? Wurde dieser Zweck dem Betroffenen transparent mitgeteilt?

- Direkterhebung => Wurde der Betroffene bei der Datenerhebung umfassend über die Verarbeitung seiner Daten informiert? Artikel 13 DSGVO

- Mittelbare Erhebung über Dritte => Wurde der Betroffene innerhalb angemessener Frist über die Erlangung der personenbezogenen Daten informiert? Artikel 14 DSGVO

3. Werden wirklich nur die notwendigen Daten verarbeitet, die für den angestrebten Zweck erforderlich sind?

4. Sind die Daten korrekt und können unrichtige Daten umgehend korrigiert oder gelöscht werden?

5. Werden die Daten nur so lange gespeichert, wie dies zur Erfüllung des festgelegten Zwecks erforderlich ist? Wurde geregelt, wann welche Daten unter Berücksichtigung der Rechtsgrundlage gelöscht werden dürfen?

2. Die Sicherung der Betroffenenrechte

Die DSGVO räumt dem Betroffenen umfangreiche Rechte ein. Diese sind:

• das Recht auf Widerruf einer Einwilligung, Art. 7 Abs. 3
• das Recht auf Auskunft, Art. 15
• das Recht auf Berichtigung der Daten, Art. 16
• das Recht auf Löschung der Daten, Art. 17
• das Recht auf eingeschränkte Verarbeitung, Art. 18
• das Recht auf Datenübertragbarkeit, Art. 20
• das Recht auf Widerspruch, Art. 21
• das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden

Unternehmen müssen folglich ihr Management im Hinblick auf geltend gemachte Betroffenenrechte anpassen. Wird der Verantwortliche auf Antrag des Betroffenen nicht tätig, hat es den Betroffenen unter Angabe der entsprechenden Gründe zu unterrichten. Die Unterrichtung hat gemäß Art. 12 Abs. ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags zu erfolgen.

Anderenfalls muss der Verantwortliche die notwendigen Maßnahmen ergreifen und den Betroffenen über die entsprechenden Maßnahmen unterrichten. Hier muss der Verantwortliche unverzüglich, spätestens innerhalb eines Monats zu unterrichten. Eine Fristverlängerung um weitere zwei Monate ist bei besonders komplexen Sachverhalten möglich.

3. Handling von Datenschutzpannen

Kommt es trotz Schutzmaßnahmen zu einer Verletzung von Datenschutzrechten, muss der Verantwortliche bestimmten Melde- und Benachrichtigungspflichten nachkommen. Diese sind in Art. 33 und Art. 34 geregelt.

Grundsätzlich hat der Verantwortliche bei Verletzungshandlungen die zuständige Aufsichtsbehörde unterrichten. Dies gilt nicht, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt.

Meldungen müssen unverzüglich, möglichst innerhalb von 72 Stunden gemacht werden. Die Mindestinhalte sind in Art. 33 Abs. 3 DSGVO geregelt.

Darüber hinaus obliegt dem Verantwortlichen die Dokumentation der Datenpanne.

Besteht zudem ein hohes Risiko für die Rechte und Freiheit der betroffenen Personen, sind diese von der Datenpanne zu unterrichten.

Zusammenfassend sollte Folgendes beachtet werden

Der Verantwortliche sollte einen Reaktionsplan im Hinblick auf Datenpannen entwickeln. Dieser sollte folgende Punkte umfassen:

• Identifikation der Datenpanne
• Einordnung / Risikoanalyse
• Prüfung der geeigneten Maßnahmen
• Prüfung, ob eine Meldung an die Aufsichtsbehörde erfolgen muss
• Prüfung, ob die Betroffenen informiert werden müssen
• Ggfs. Meldung andie Aufsichtsbehörde
• Ggfs. Benachrichtigung der Betroffenen

Aus dem Vorgenannten ergeben sich umfangreiche Umstrukturierungserfordernisse für datenverarbeitende Unternehmen.

So muss beispielsweise bereits bei der Erhebung der Daten der Zweck der Datenerhebung festgelegt werden.

Gerne stehe ich Ihnen bei Beratungsbedarf zum Thema Datenschutzrecht zur Verfügung.