EU-Datenschutzgrundverordnung

EU-Datenschutz-Grundverordnung

Da bisher viele Unterschiede zwischen den einzelnen nationalen Datenschutzregelungen bestanden, wurde von Datenschützern wohltuend zur Kenntnis genommen, dass sich Europäische Kommission, Parlament und die EU Mitgliedstaaten am 15.12.2015 auf den Rahmen einer neuen Datenschutzgesetzgebung geeinigt haben.

Ein einheitliches Datenschutzrecht in Europa, das zudem das Datenschutzniveau stabilisiert, wird von den Bundesbürgern weitestgehend positiv aufgenommen. Das hohe Datenschutzniveau, fordert allerdings eine uneingeschränkte Umsetzungsbereitschaft aller datenverarbeitenden Stellen, die auf dem europäischen Markt tätig sind.

Um dem Grundgedanke der Verordnung mehr Geltung zu verleihen, gibt es zukünftig einen höheren Bußgeldrahmen bei Datenschutzverstößen. So können bei Datenschutzverstößen – je nach Schwere und Dauer des Verstoßes – künftig Bußgelder in Multimillionenhöhe verhängt werden. Dies schafft auch für deutsche Unternehmen und öffentliche Stellen eine ausreichende Motivationsgrundlage, um in u.a. regelmäßige Compliance Audits durchzuführen.

Datenverarbeitung in Übersee und DSGVO
Auch die außerhalb der EU stattfindende Verarbeitung personenbezogener Daten, welche EU-Bürger betrifft, hat sich in Zukunft an den Bestimmungen der DSGVO zu orientieren. Selbst amerikanische Unternehmen sollen sich insoweit veranlasst sehen, sich dem europäischen Datenschutzniveau anzupassen, soweit diese in datenschutzrelevanter Weise im europäischen Raum auftreten.

Vorgesehen ist nach DSGVO eine zentrale Zuständigkeit der Aufsichtsbehörden am Ort der Hauptniederlassung eines Unternehmens. Daneben können Betroffene Datenschutzverstöße aber auch bei der Landesaufsichtsbehörde ihres Landes melden.

Rechte der Betroffenen

Durch die DSGVO stehen den Betroffenen mehr Rechte zu. Sie haben ein Informationsrecht, ein Auskunftsrecht, ein Recht auf Löschung und Berichtigung und ein Recht auf Datenübertragbarkeit.

Das Informationsrecht ist in Art. 13 und 14 DSGVO geregelt.

Inhalt der Informationspflicht
Hiernach sind Unternehmen verpflichtet, die Betroffenen über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Dabei müssen die Informationen leicht erkennbar und in verständlicher Alltagssprache formuliert sein. Grundsätzlich wird die Schriftform oder eine elektronische Form vorausgesetzt.

Nach dem Auskunftsrecht (Art. 15 DSGVO) hat der Betroffene ein Recht auf Auskunft über die Verarbeitung seiner personenbezogenen Daten. Die Pflichten zur Auskunft treffen jetzt auch die Auftragsverarbeiter. Neu ist auch, dass sowohl der Auftraggeber als auch der Auftragsverarbeiter für Verstöße haften. Zusätzlich gehört zu dem Auskunftsrecht auch das Recht auf Löschung und Berichtigung der Daten. Dieses Recht wird durch das Recht auf „Vergessenwerden“ (Art. 17 DSGVO) erweitert.

Art. 20 DSGVO bringt ein neues Betroffenenrecht – das Recht auf Datenübertragbarkeit. Das Recht auf Datenübertragbarkeit besagt, dass ein Betroffener verlangen kann, die ihn berührenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Das ermöglicht dem Betroffenen auch, ihre verarbeiteten Daten einem Dritten für die Verarbeitung übermitteln zu können. Durch dieses Recht soll die Kontrolle der Datenverarbeitung gestärkt werden.

Pflichten für Unternehmen

Unternehmen haben eine Dokumentationspflicht, eine Meldepflicht bei Datenpannen, eine Pflicht zur Datenschutz-Folgenabschätzung, eine Pflicht zur Umsetzung technisch-organisatorischen Sicherheitsmaßnahmen und unter Umständen eine Pflicht zur Bestellung eines Datenschutzbeauftragten.

Die Dokumentationspflicht wird durch Verzeichnisse von Verarbeitungstätigkeiten (Art. 30 DSGVO) durchgesetzt. Dieses Verzeichnis ist den Verfahrensverzeichnissen nach dem BDSG gleichzustellen. Die Neuerungen bestehen darin, dass Unternehmen mit weniger als 250 Beschäftigten nicht für jedes Verarbeitungsverfahren, sondern nur für Verfahren, die ein erhebliches Risiko für die Betroffenen bieten, die nicht nur gelegentlich angewendet werden, oder sensitive Daten umfassen ein solches Verzeichnis erstellen müssen. Dabei werden die Verzeichnisse nur noch zu internen Zwecken geführt. Es gibt in dieser hinsicht kein „Jedermanns-Recht“ an Verfahrensverzeichnisinhalten mehr.

Die Verletzung des Schutzes personenbezogener Daten löst eine Meldepflicht aus. Diese lässt sich in die Meldepflicht gegenüber Aufsichtsbehörden und gegenüber den Betroffenen unterteilen. Bei der Meldepflicht gegenüber Aufsichtsbehörden müssen der Verstoß und die getroffenen Maßnahmen umfassend dokumentiert werden. Auch die Auswirkungen der Panne und die ergriffenen Maßnahmen sind zu dokumentieren. Die Betroffenen müssen zusätzlich benachrichtigt werden, wenn die Datenpanne ein hohes Risiko für sie darstellt. Dabei ist auf leicht verständliche Sprache zu achten.

Anstelle der Vorabkontrolle steht nun die Datenschutz – Folgenabschätzung. Sie ist verpflichtend, wenn durch die Verarbeitung der Daten ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Sie ist durch den verantwortlichen Verarbeiter durchzuführen.

Weiter nennt Artikel 32 DSGVO technisch – organisatorische Maßnahmen. Ziel dieser Maßnahmen ist die Gewährleistung eines angemessenen Schutzniveaus. Dabei muss die Umsetzung durch geeignete technische und organisatorische Maßnahmen getroffen werden.

Zu letzt müssen Unternehmen, zu deren Kernaktivitäten die umfangreiche, regelmäßige Überwachung von Betroffenen und die umfangreiche Verarbeitung sensitiver Daten zählen, zukünftig einen Datenschutzbeauftragten bestellen. Es kommt also nicht mehr auf die Zahl der Beschäftigten an. Da aber nicht viele Unternehmen diese Voraussetzungen erfüllen werden, hat der Gesetzgeber eine sogenannte Öffnungsklausel gemacht, die ihm trotzdem eine Pflicht zum Datenschutzbeauftragten ermöglicht.

Fazit

Die EU – Datenschutzgrundverordnung dient der Verschärfung des Datenschutzrechts über die nationalen Grenzen hinaus. Dennoch werden durch die Öffnungsklauseln die nationalen Rechte nicht ganz Untergehen. Der Vorteil an der DSGVO ist auch der erleichterte Rechtsweg. Hier können Betroffene ihre Rechte bei naheliegenden Behörden durchsetzen.