Datenschutzgrundverordnung

Es ist soweit: Am 14.04.2016 wurde die „Datenschutzgrundverordnung“ durch das europäische Parlament beschlossen. Der Datenschutz steht damit ab 2018 vor tiefgreifenden Änderungen, Betriebe und Datenschützer haben nun noch gut 1 Jahr Zeit, um sich auf die Änderungen einzustellen.

Bereits im Juni 2015 kam die bis dahin stockende „Datenschutzgrundverordnung“ einen wesentlichen Schritt voran durch den einigenden Beschluss der EU-Justizminister. Damit wurde die Datenschutzgrundverordnung auch in der Öffentlichkeit ein Stück weit bekannter. Im Dezember 2015 kam dann der „Durchbruch“ in dem man sich auf einen Verordnungstext einigen konnte, seit April 2016 stand die finalisierte und beschlossene Fassung der Datenschutzgrund hinsichtlich der verschiedenen Sprachen fest, wobei Ende Oktober 2016 einige redaktionelle Änderung publiziert wurde.

Unternehmen sollten sich auf die Datenschutzgrundverordnung einstellen und ihre Prozesse umstellen. Der vorliegende Beitrag soll als erster kleiner Stichwort-Beitrag mit einer sehr kurzen Einführung dienen.

Rechtlicher Hintergrund der DSGVO

Kurz: Das existierende Datenschutzrecht ist alt. Das mag alleine nicht tragisch sein, das in die Jahre gekommene BGB dient uns heute noch als herausragende gesetzgeberische Lösung (freilich wurde es sorgfältiger erarbeitet als man es heute vom Gesetzgeber gewohnt ist). Allerdings stammen die heutigen Datenschutzregeln aus einer Zeit noch bevor es das Internet und digitale Zeitalter in der heutigen Form gab: Das Bundesdatenschutzgesetz datiert im Kern auf das Jahr 1990, die EU-Richtlinie zum Datenschutz auf das Jahr 1995.

Um nun eine umfassende europaweite Reform zu erreichen, hat die EU eine „Verordnung“ erlassen, die „Datenschutzgrundverordnung“. Während eine Richtlinie erst durch Gesetze der Mitgliedsstaaten jeweils umgesetzt werden muss – und diese Gesetze damit nicht immer gleichlautend sind, sondern sich nur im Rahmen der Richtlinie bewegen – wäre eine Verordnung in allen Mitgliedsstaaten im gleichen Wortlaut unmittelbar bindend.  Diese Verordnung wurde nun durch die „Datenschutzgrundverordnung“ (DSGVO) Realität.

Das aktuelle rechtliche Gefüge ist dabei differenziert und kann ganz kurz so beschrieben werden: Es gibt die EU-Datenschutzrichtlinie, die durch das Bundesdatenschutzgesetz umgesetzt wird. Das BDSG gilt für Bundesbehörden und Privatunternehmen. Für Landesbehörden gelten allerdings die Datenschutzgesetze der Bundesländer, hier existiert überall ein eigenes Landesdatenschutzgesetz, häufig (etwa in NRW) mit starken Parallelen zum BDSG. Daneben gibt es einige datenschutzrechtliche Regelungen für Sonderfälle, etwa im TMG (u.a. für Webseiten) oder TKG (für Telekommunikationsleistungen).

Wortlaut der Datenschutzgrundverordnung

Der genaue Wortlaut war lange Zeit im fluss, da hier eine Vielzahl von Anregungen und Kritik zu berücksichtigen war. Am 11. Juni 2015 war hier der aktuelle Stand der Datenschutzgrundverordnung zu finden, die erheblichen Lücken in dem Text sprechen dabei für sich. beispielhaft für die Vielzahl von Streitpunkten soll diese Synopse sein, die inhaltlich aber ohnehin überholt ist. Seit Februar 2016 lag ein erster Text vor, im April 2016 erschien dann die beschlossene deutsche Fassung der Datenschutzgrundverordnung (die am Ende dieses Beitrags hinterlegt ist).

Als erster Überblick sollte das „Poster“ von Hansen-Oest zudem ausreichen sowie ein Blick in die kurze Aufbereitung bei LTO. Die wichtigste Änderungen durch die Datenschutzgrundverordnung (DSGVO) sind aus meiner Sicht insbesondere:

  • Festschreiben des Recht auf Vergessenwerden;
  • Verarbeitung der Daten nur nach ausdrücklicher Einwilligung der betroffenen Person;
  • Recht auf Datenübertragbarkeit (an einen anderen Dienstleister)
  • Recht der Betroffenen, bei Verletzung des Schutzes der eigenen Daten darüber informiert zu werden;
  • Datenschutzbestimmungen müssen in klarer und verständlicher Sprache erläutert werden, und
  • bei Verstößen wird härter durchgegriffen; im Fall eines Unternehmens werden Strafen von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt.

Keine Auswirkung der Datenschutzgrundverordnung auf bereits vorhandene Einwilligungen

Die Datenschutzrichtlinie 95/46/EG soll durch die DSGVO aufgehoben werden. Allerdings ist ausdrücklich gewollt, dass einmal zulässige Datenerhebungen auf Grund einer regelgerechten Einwilligung nicht nachträglich nochmals eine Einwilligung entsprechend der Verordnung einholen müssen; dazu aus Erwägungsgrund 171:

Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht (…)

Es ist also eine gewisse Konsistenz angepeilt. Dabei ist durchaus zu bemerken, dass die konkreten Vorgaben des deutschen BDSG mitunter strenger sind als die sehr allgemeinen Formulierungen der Datenschutzgrundverordnung, etwa bei der Einwilligung, die in Artikel 7 eher umschrieben wird, während sie im §4a BDSG konkrete „harte“ Kriterien hat.

Literatur zur Datenschutzgrundverordnung

Nach langem austesten habe ich mich für die BDSG-Kommentierung von Schaffland/Wiltfang entschieden. Es ist ein Loseblattkommentar der laufend aktualisiert wird und nicht nur den aktuellen Entwurf der DSGVO beinhaltet, sondern in jedem Kommentarabschnitt des BDSG darauf verweist, wie/wo sich der entsprechende Gedanke in der DSGVO findet. Damit konnte ich mir einen brauchbaren Zugang zur DSGVO erarbeiten, an dieser Stelle daher eine kurze Empfehlung dieses Werkes. Des Weiteren war die DSGVO von Härting meiner erste Wahl um die Unterschiede für die hiesige Praxis heraus zu arbeiten.

Welche Umstellungen sind durch die Datenschutzgrundverordnung zu erwarten

Ich arbeite aktuell an einer Übersichts-Beitragsreihe zu den Änderungen durch die Datenschutzgrundverordnung, die voraussichtlich im Dezember 2016 erscheinen und ab dann schrittweise hier verlinkt werden wird. 

Sicherlich ist jedenfalls zu erwarten, dass zukünftig mehr Kontrolle als rein passive Beratung der Datenschutzbehörden im Raum steht. Es kann also durchaus sein, dass Unternehmen zukünftig gut beraten sind, präventiv Geld in datenschutzrechtliche Beratungen zu investieren als dies bisher der Fall ist, da man bei Verstößen faktisch nicht mit Sanktionen rechnen muss. Dies ist m.E. eines der Kernanliegen der Datenschutzgrundverordnung, so dass man hier durchaus eine gewisse Prognose treffen kann. Weiterhin ergeben sich folgende Aspekte durch die Datenschutzgrundverordnung:

  • Modifikation der Auftragsdatenverarbeitung zur Auftragsverarbeitung (Art. 28 DSGVO)
  • Restrukturierung der Verfahrensverzeichnisse (Art. 30 DSGVO)
  • Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
  • Meldepflichten (Art. 33 DSGVO)
  • Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und Prozessdokumentation (Art. 5 DSGVO)
  • Stärkung des Datenschutzbeauftragten (Art. 39 DSGVO)
  • Betroffenenrechte: Informationspflichten (Art. 12 DSGVO) und Umsetzung (Art. 20 DSGVO), insbesondere bei Formularen (Art. 7 DSGVO)

Wann kommt die Datenschutzgrundverordnung

Am 14.04.2016 wurde die finale Fassung beschlossen, so dass knapp 2 Jahre später, ab 01.01.2018 ihre Rechtskraft im Raum steht.

Rechtsanwalt & Fachanwalt für IT-Recht Jens Ferner

Rechtsanwalt & Fachanwalt für IT-Recht Jens Ferner

Fachanwalt für IT-Recht bei Anwaltskanzlei Ferner
Rechtsanwalt Jens Ferner, Fachanwalt für Informationstechnologierecht, berät Sie in sämtlichen vertraglichen, arbeitsrechtlichen, medienrechtlichen und strafrechtlichen Fragen. Erstberatung ab 35 Euro.
Rechtsanwalt & Fachanwalt für IT-Recht Jens Ferner

Zugehörige Downloads

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (9 votes, average: 5,00 out of 5)
Loading...