Datenschutz-Grundverordnung : Einigung erzielt! Änderungen im Überblick

Datenschutz-Grundverordnung: Einigung erzielt

Die langjährigen Diskussionen zur Ausgestaltung des neuen EU-Datenschutzrechts haben ein Ende gefunden. Nunmehr wurde zur </span>EU-Datenschutz-Grundverordnung </span>  im Rahmen der Trilog-Treffen der EU-Organe gefunden. Der Entwurf wurde am 16.12.2015 durch den LIBE-Ausschuss angenommen. Das Gesetz soll europaweit verbindliche und einheitliche Regelungen für den Datenschutz in Europa schaffen.

Die Datenschutz-Grundverordnung wird vielfältige Änderungen für Unternehmen nach sich ziehen, die voraussichtlich im 1. Quartal 2018 in Kraft treten werden. Die Zustimmung von Rat und Parlament erscheint als bloße Formsache. Die nationalen Regelungen wie das BDSG müssen in der Zeit bis 1. Quartal 2018 an die Datenschutz-Grundverordnung angepasst werden.

Datenschutz-Grundverordnung: Überblick zu den wichtigsten Änderungen

Erweiterte Transparenz- und Informationspflichten (Art. 12): Die Datenschutz-Grundverordnung sieht erweiterte Transparenz- und Informationspflichten von Unternehmen gegenüber Betroffenen vor. So stellt Art. 14 eine Liste von Informationen auf, die bei einer Datenverarbeitung dem Betroffenen mitgeteilt werden müssen. Bei einer Zweckänderung ist der Betroffene bereits zu informieren, bevor mit der Verarbeitung begonnen wird (Abs. 1b). Zusätzlich dazu haben Betroffene – wie bislang – ein Auskunftsrecht gegenüber datenverarbeitenden Stellen.
Data Protection Impact Assessments (Art. 33 f.): Die neue Verpflichtung zu einer eigenen Prüfung des Datenschutzniveaus gewinnt gegenüber der Vorabkontrolle an Bedeutung. Durchzuführen ist das Impact Assessment, wenn es bei der Nutzung von „neuen Technologien“ wahrscheinlich ist, dass hohe Risiken für die Persönlichkeits-rechte entstehen. Zugeschnitten ist die Regelung insbesondere auf Big Data und die Verarbeitung großer Mengen an höchstpersönlichen Daten, geht insgesamt aber deutlich weiter. Die Aufsichtsbehörden sollen Listen erstellen, welche Datenverarbeitungen hier für relevant gehalten werden (Abs. 2a). Unternehmen sehen sich hier deutlich vertieften Dokumentationspflichten ausgesetzt.
Werbliche Nutzung von Daten: Die Datenverarbeitung soll künftig zwar weiterhin die „berechtigten Interessen der verantwortlichen Stelle“ berücksichtigen (Art. 6 Abs. 1 lit. f DSGVO), jedoch soll laut Erwägungsgrund 38 verstärkt auf die „berechtigten Erwartungen“ der Betroffenen abgestellt werden. Eindeutig ist daher nur, dass Werbung zulässig ist nach Einwilligung des Betroffenen (Art. 6 Abs. 1 lit. a DSGVO).
One-Stop-Shop: International tätige Unternehmen werden grundsätzlich nur der Aufsichtsbehörde am Hauptsitz des Unternehmens unterliegen (Art. 46, 54a DSGVO). Dies ist zu begrüßen, da den Unternehmen so vielfach ein einzelner Ansprechpartner zur Verfügung steht.
Verantwortlichkeit (“Accountability“): Neu sind Regelungen, wonach – ähnlich von Compliance-Vorschriften – Unternehmen dokumentieren müssen, wie sie die Einhaltung der Datenschutzvorschriften umsetzen (Art. 5 Abs. 2 DSGVO). Kann keine saubere Dokumentation vorgelegt werden, drohen Nachteile im Prozess oder gegenüber Betroffenen.
Risikobasierter Ansatz der Datenverarbeitung: Die Datenschutz-Grundverordnung geht im Kern davon aus, dass Regelungen zur Datenverarbeitung nicht streng festgelegt sein sollen, sondern stattdessen vielfach eine Interessenabwägung stattfinden soll. Dies führt zu Rechtsunsicherheit, da unklar ist, wie Gerichte und Aufsichtsbehörden eine Datenverarbeitung bewerten werden.
Berücksichtigung neuer Rechte für Betroffene: Die Datenschutz-Grundverordnung sieht für Betroffene verschiedene Rechte vor, wie z. B. das Recht auf Datenportabilität (Art. 18) oder das Recht auf Vergessenwerden (Löschungsrecht, Art. 17). Unternehmen müssen hier intern Prozesse implementieren, um diesen Anforderungen gerecht zu werden.
Beschäftigtendatenschutz: Es ist vorgesehen, dass im Beschäftigtendatenschutz einzelstaatliche Regelungen in Kraft bleiben können (Art. 82 DSGVO). Daher werden voraussichtlich die bestehenden deutschen Regelungen weiter Bestand haben. Auch Betriebsvereinbarungen bleiben möglich, müssen jedoch an die Vorgaben der Datenschutz-Grundverordnung angepasst werden.
Datenschutzbeauftragte: Zwingend ist die Bestellung eines Datenschutzbeauftragten nur, wenn die Kernaktivitäten einer Stelle eine “ständige und systematische Kontrolle der Betroffenen in großem Umfang erfordern” oder besondere personenbezogene Daten in großem Umfang erhoben werden (Art. 35 ff.). Darüber hinaus können die Einzelstaaten die Bestellung von Datenschutzbeauftragten national regeln. Es ist zu erwarten, dass in Deutschland auch weiterhin betriebliche Datenschutzbeauftragte verpflichtend sein werden.
Bußgelder: Als maximale Bußgelder bei Datenschutzverstößen werden nunmehr Beträge von höchstens 100 Mio. € oder 4 % des weltweiten Jahresumsatzes einer Unternehmensgruppe vorgesehen (Art. 79 Abs. 3 DSGVO-E). Die Einhaltung von Datenschutzvorschriften wird daher umso wichtiger.

Kurze Übergangsfrist – sofortiger Handlungsbedarf

Angesichts der vielfältigen sich ergebenden Änderungen sind zwei Jahre Umsetzungsfrist eine kurze Zeit. Datenverarbeitende Stellen sollten sich umgehend informieren und möglichst frühzeitig mit der Umsetzung der neuen Regelungen beginnen.

Gerne unterstützen wir Sie bei der Umsetzung der neuen Regelungen und bieten hierzu auch Inhouse-Seminare an. Wenden Sie sich hierzu an Rechtsanwalt Dr. Drewes  unter drewes@paulyparter.de