Klaus-Peter Kuhnmünch

VDW

Kontaktdaten

Management

Tiefgreifende Änderung
im Datenschutzrecht

Die EU-Datenschutzgrundverordnung (DSGVO) verändert das Europäische Datenschutzrecht tiefgreifend. Der Datenschutz wird modernisiert und vereinheitlicht. Damit sollen auch Wettbewerbsverzerrungen zwischen europäischen Unternehmen beseitigt werden. Aufgrund des umfangreichen Anforderungskatalogs wird die Umsetzung für viele Unternehmen eine Herausforderung sein. Da jedes Unternehmen personenbezogene Daten verarbeitet, ist jedes Unternehmen von der DSGVO betroffen – unabhängig von der Branche.

Die EU-DSGVO konkretisiert und erweitert die bisherigen Forderungen der Datenschutzrichtlinie 95/46/EG. Alle Unternehmen und Organisationen, die mit personenbezogenen Daten arbeiten, müssen ihre Aktivitäten durch ein Datenschutzkonzept belegen. Die Verordnung bringt Veränderungen in den Bereichen Rechtsgrundlagen, Dokumentationspflicht, IT-Sicherheit, Beschäftigtendaten und Haftung mit sich. Bei Verstößen drohen empfindliche Bußgelder, die bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes betragen können. Die Verordnung gilt seit dem 25. Mai in allen Mitgliedstaaten der EU. Deutschland hat das Bundesdatenschutzgesetz zur Anpassung an die Vorgaben der DSGVO mit Wirkung zum 25. Mai aktualisiert.

Das Ziel ist die Vereinheitlichung des Datenschutzrechts in der EU. Allerdings enthält die Verordnung zahlreiche Öffnungsklauseln für nationale Alleingänge. Wahrscheinlich wird es in einzelnen Mitgliedstaaten Unterschiede in der Interpretation und der Durchsetzung der DSGVO geben.

Nach dem Zeitplan der EU-Kommission soll neben der DSGVO die ePrivacy-Verordnung gültig werden. Sie wird – nach dem ersten Entwurf vom Januar 2017 – spezielle Regelungen für die Verarbeitung personenbezogener Daten im Zusammenhang mit elektronischen Kommunikationsdiensten vorsehen.

Unternehmen, die innerhalb der EU grenzüberschreitend Daten verarbeiten, sollen hauptsächlich von der Aufsichtsbehörde ihres Unternehmenshauptsitzes reguliert werden.

Die DSGVO, die grundsätzlich auf Unternehmen mit Sitz in der EU Anwendung findet, betrifft auch Unternehmen außerhalb der EU, sofern sie Waren und Dienstleistungen auf dem europäischen Markt anbieten oder das Verhalten betroffener Personen beobachten (Marktortprinzip).

Die von der DSGVO betroffenen Unternehmen müssen einen Vertreter in der EU bestimmen, der im Zweifel für Verstöße gegen die DSGVO haftbar ist. Die Verordnung wird auch unmittelbar auf Auftragsverarbeiter angewendet. Dies ist eine bedeutende Veränderung, da Auftragsverarbeiter bisher unter der Datenschutzrichtlinie von den Regelungen ausgenommen waren. Die neuen Verpflichtungen für Auftragsverarbeiter werden zusammen mit signifikant höheren Sanktionen in der DSGVO die Verhandlungspositionen zwischen Kunden und Dienstanbietern verändern. Der Datenschutz ist somit nicht länger ein Problem des Kunden. Dienstanbieter werden künftig einen weitaus größeren Anteil bei der Suche nach einer regelkonformen Lösung übernehmen. Sie könnten versuchen, diese Verantwortung wieder an die Kunden zurückzuübertragen, indem sie beispielsweise für den Fall einer Sanktionierung aufgrund von Fehlern des Kunden Freistellungsklauseln im Vertrag vereinbaren wollen.

Nach der DSGVO sind personenbezogene Daten zu schützen. Diese Pflicht wird durch allgemeine Bedingungen konkretisiert. Es können auch verstärkte Maßnahmen, beispielsweise die Verschlüsselung von Daten, notwendig werden.

Verantwortliche müssen Datenschutzverletzungen an die zuständigen Aufsichtsbehörden melden, es sei denn, die Datenschutzverletzung führt voraussichtlich nicht zu einem Risiko für die Rechte natürlicher Personen.

Die Grundsätze der DSGVO müssen nicht nur befolgt, sondern deren Einhaltung auch dokumentiert und nachgewiesen werden.

Bei Verarbeitungsvorgängen, die ein hohes Risiko bergen, muss der Verantwortliche eine Datenschutzfolgenabschätzung durchführen und in bestimmten Fällen die Aufsichtsbehörde vor der Verarbeitung konsultieren.

Die DSGVO bewahrt größtenteils die bestehenden Rechte. Dazu zählen das Auskunftsrecht, das Recht auf Berichtigung fehlerhafter Daten und das Recht der Anfechtung von automatisierten Entscheidungen. Die Verordnung hält auch am Widerspruchsrecht für Zwecke des Direktmarketings fest. Das Recht auf Einschränkung der Verarbeitung wird aufgegriffen und teilweise erweitert.

Ferner gibt es bedeutende neue Rechte für natürliche Personen. Dazu gehören das „Recht auf Vergessenwerden“ und das Recht auf Datenübertragbarkeit. Diese neuen Rechtsbegriffe sind komplex und es ist noch nicht ersichtlich, welche praktischen Auswirkungen sie haben.

Die Einholung der Einwilligung von einer natürlichen Person ist lediglich eine von mehreren Möglichkeiten, die Verarbeitung von personenbezogenen Daten zu legitimieren.

Einwilligungen müssen nach wie vor ausdrücklich erklärt werden.

Natürliche Personen können ihre Einwilligung zu jeder Zeit widerrufen.

Durch die DSGVO erhöht sich der Umfang an Informationen, die eine Datenschutzerklärung zu enthalten hat. Diese Erklärungen müssen in knapper Form dargestellt werden und verständlich sein. Die DSGVO schreibt die Verwendung standardisierter Symbole bisher nicht ausdrücklich vor.

Die Übermittlung personenbezogener Daten in das außereuropäische Ausland ist nach der DSGVO grundsätzlich verboten, sofern nicht bestimmte Bedingungen erfüllt werden. Diese Bedingungen sind weitgehend mit denen der Datenschutzrichtlinie identisch.

Den Aufsichtsbehörden werden weitere umfangreiche Befugnisse zugestanden. Sie können Überprüfungen durchführen sowie Warnungen und temporäre oder permanente Datenverarbeitungsverbote erlassen.

Natürlichen Personen ist es möglich, Unternehmen auf Schadenersatz hinsichtlich erlittener materieller Schäden sowie immaterieller Schäden zu verklagen.

Quellen: Vortrag im VDW-Rechts- und Steuerausschuss, Rechtsanwalt Stephan Menzemer, Kanzlei Graf von Westphalen, Oktober 2017; BDI-Leitfaden DSGVO, Mai 2017

Titelbild: Timofeev Vladimir / Shutterstock.com

Kontakt

Klaus-Peter Kuhnmünch

Ansprechpartner im VDW
VDW – Verein Deutscher Werkzeugmaschinenfabriken
Frankfurt am Main
Tel. +49 69 756081-37
E-Mail senden

www.vdw.de