Datenschutz: Auswirkungen der EU-Datenschutz-Grundverordnung
28.12.2015
[IITR – 28.12.15] Mit der EU-Datenschutzgrundverordnung (DSGVO) soll das europäische Datenschutzrecht vereinheitlicht werden. Die Neuregelung löst das bisherige Konzept einer europäischen Datenschutzrichtlinie (diese legte bislang die datenschutzrechtlichen Grundprinzipien fest) und darauf aufbauender einzelstaatlicher Datenschutzregelungen ab und ersetzt dies durch eine in allen EU-Mitgliedsstaaten direkt geltende EU-Datenschutzgrundverordnung (DSGVO).
[EU-Datenschutz-Grundverordnung: Englische Fassung]
Datenschutz-Grundprinzipen im Kern beibehalten
Die EU-Datenschutzgrundverordnung (DSGVO) schreibt im Kern die bisherigen datenschutzrechtlichen Grundprinzipien fort. Die Grundsätze der „Datenvermeidung und Datensparsamkeit“, der „Zweckbindung“, des „Verbots mit Erlaubnisvorbehalts“ und der „Transparenz“ finden sich auch im neuen Regelungskonzept wieder (vgl. vertiefend Artikel 5 „Grundsätze für die Verarbeitung personenbezogener Daten“ der EU-Datenschutzgrundverordnung DSGVO).
Insbesondere um das „Verbot mit Erlaubnisvorbehalt“ war zuletzt stark gestritten worden (nun festgeschrieben in Artikel 6 „Rechtmäßigkeit der Verarbeitung“ der EU-Datenschutzgrundverordnung DSGVO). Danach sind Datenverarbeitungsvorgänge nur zulässig, wenn die Person zugestimmt hat oder die Datenverarbeitung zur Vertragserfüllung erforderlich ist oder alternativ eine andere in der Vorschrift genannte Ausnahme eingreift. Dieser Regelungsansatz limitiert gerade Anwendungen und Auswertungsmöglichkeiten im Big Data-Bereich. Hier wird sich die Praxis noch stärker als bislang um den Einbau datenschutzfreundlicher Verarbeitungstechniken kümmern müssen (vgl. auch Artikel 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ der EU-Datenschutzgrundverordnung DSGVO).
Auswirkungen für produzierende Unternehmen
Für produzierende Unternehmen in Deutschland werden die Auswirkungen der EU-Datenschutzgrundverordnung DSGVO überschaubar bleiben (wenngleich die Regelungslage an Komplexität gewinnt und daher zumindest zu Beginn ein erhöhter Aufwand für die Umstellung auf die neuen rechtlichen Vorgaben zu erwarten ist). Bislang bereits aus dem Bundesdatenschutzgesetz bekannte Mindest-Standards für die betriebliche Praxis werden im Wesentlichen fortgeführt:
- Werden Datenverarbeitungsvorgänge ausgelagert müssen die Details in einem begleitenden Auftragsdatenverarbeitungsvertrag festgehalten werden (Artikel 28 „Auftragsverarbeiter“ der EU-Datenschutzgrundverordnung DSGVO)
- Zentrale Verfahren müssen schriftlich dokumentiert werden (Artikel 30 „Verzeichnis von Verarbeitungstätigkeiten“ der EU-Datenschutzgrundverordnung DSGVO)
- Unternehmen müssen einen Datenschutzbeauftragten bestellen (die EU-Datenschutzgrundverordnung DSGVO sieht eine Bestellverpflichtung vor, wenn der Focus der Tätigkeit auf der Datenverarbeitung liegt oder wenn Mitgliedstaaten zusätzlich eine Bestellpflicht vorsehen) (Artikel 37 „Benennung eines Datenschutzbeauftragten“ der EU-Datenschutzgrundverordnung DSGVO)
- Die mit der Datenverarbeitung befassten Beschäftigten sind im Datenschutz durch den Datenschutzbeauftragten zu schulen (Artikel 39 „Aufgaben des Datenschutzbeauftragten“ der EU-Datenschutzgrundverordnung DSGVO)
- Das Unternehmen hat ausreichende Ressourcen für eine dem Stand der Technik entsprechende IT-Landschaft zur Verfügung zu stellen (Artikel 32 „Sicherheit der Verarbeitung“ der EU-Datenschutzgrundverordnung DSGVO)
- Im Fall von bestimmten Datenverlustszenarien müssen die Betroffenen sowie die Datenschutz-Aufsichtsbehörden informiert werden (Artikel 33 „Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde“ und Artikel 34 „Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person“ der EU-Datenschutzgrundverordnung DSGVO)
Verhältnis zum nationalen Recht
Die Diskussion der kommenden Jahre wird auch die Frage des Verhältnisses zum nationalen Recht begleiten.
So sieht die Verordnung an einer ganzen Reihe zentraler Regelungspunkte die Möglichkeit vor, durch nationales Recht Sonderregelungen zu schaffen. Auch die EU-Datenschutzgrundverordnung DSGVO wird daher das Datenschutzrecht in der Europäischen Union nicht vollständig harmonisieren. Dieser Kompromiss war zuletzt in den Trilog-Verhandlungen insbesondere mit dem EU-Rat notwendig geworden, der in großem Umfang entsprechende Abweichungsmöglichkeiten in die Verhandlungen eingebracht hatte (die vorliegende EU-Datenschutzgrundverordnung DSGVO ist eher ein Rechtskonstrukt zwischen Richtlinie und Verordnung).
Bei einer Reihe von Themen sind nationale Abweichungen möglich, wobei die Frage derzeit noch offen ist, in welchem Umfang der nationale Gesetzgeber in Deutschland von diesen Möglichkeiten Gebrauch machen wird. Im Folgenden finden Sie eine durch uns erstellte Auswahl der Abweichungsmöglichkeiten:
- Details zur Definition der „verantwortlichen Stelle“ (Artikel 4 Nr. 7 „Begriffsbestimmungen“ und Artikel 26 „Gemeinsam für die Verarbeitung Verantwortliche“ der EU-Datenschutzgrundverordnung DSGVO)
- Details zur Definition des „Empfängers“ (Artikel 4 Nr. 9 „Begriffsbestimmungen“ der EU-Datenschutzgrundverordnung DSGVO)
- Ausgestaltung gesonderter nationaler Erlaubnistatbestände zur Verarbeitung personenbezogener Daten (Artikel 6 „Rechtmäßigkeit der Verarbeitung“ der EU-Datenschutzgrundverordnung DSGVO)
- Absenkung der Altersgrenze zur Einwilligung durch Kinder auf bis zu 13 Jahre (Artikel 8 „Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft“ der EU-Datenschutzgrundverordnung DSGVO)
- Ausgestaltung gesonderter nationaler Erlaubnistatbestände zur Verarbeitung besonderer Arten personenbezogener Daten (Artikel 9 „Verarbeitung besonderer Kategorien personenbezogener Daten“ der EU-Datenschutzgrundverordnung DSGVO)
- Nationale Spezialregelung/Einschränkung der Informationsansprüche des Betroffenen (Artikel 14 „Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden” der EU-Datenschutzgrundverordnung DSGVO)
- Einschränkung des Rechts auf Datenlöschung des Betroffenen (Artikel 17 „Recht auf Löschung (“Recht auf Vergessenwerden”)” der EU-Datenschutzgrundverordnung DSGVO)
- Einschränkung des Verbots der automatisierten Einzelentscheidungen (Artikel 22 „Automatisierte Entscheidungen im Einzelfall einschließlich Profiling” der EU-Datenschutzgrundverordnung DSGVO)
- Anwendungseinschränkungen sämtlicher Betroffenenrechte (nach den Artikeln 12 bis 20) einschließlich der Datenschutzgrundprinzipien (Artikel 5) und der Informationspflicht im Datenverlustfall (Artikel 33) (Artikel 23 „Beschränkungen” der EU-Datenschutzgrundverordnung DSGVO)
- Schaffung nationaler Datenverarbeitungsvorgaben für Auftragsdatenverarbeitungsnehmer (Artikel 29 „Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters“ der EU-Datenschutzgrundverordnung DSGVO)
- Verschärfung zur Durchführung von Vorabkontrollverfahren für neue datenverarbeitende Systeme (Artikel 35 „Datenschutz-Folgenabschätzung“ der EU-Datenschutzgrundverordnung DSGVO)
- Erweiterung der Bestell-Voraussetzungen eines Datenschutzbeauftragten (Artikel 37 „Benennung eines Datenschutzbeauftragten“ der EU-Datenschutzgrundverordnung DSGVO)
- Erleichterung von Datentransfers an Stellen außerhalb der europäischen Union (Artikel 49 „Ausnahmen für bestimmte Fälle“ der EU-Datenschutzgrundverordnung DSGVO)
- Schaffung von nationalen Ausnahmen von Regelungsgrundsätzen bei Datenverarbeitungsvorgängen für journalistische Zwecke (Artikel 85 „Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit“ der EU-Datenschutzgrundverordnung DSGVO)
- Spezifische Ausgestaltung bei Verwendung einer nationalen Identifizierungsnummer (Artikel 87 „Verarbeitung der nationalen Kennziffer“ der EU-Datenschutzgrundverordnung DSGVO)
- Schaffung nationale Spezialregelungen bei der Verarbeitung von Beschäftigtendaten (Artikel 88 „Datenverarbeitung im Beschäftigungskontext“ der EU-Datenschutzgrundverordnung DSGVO)
- Schaffung von nationalen Ausnahmen von Regelungsgrundsätzen bei Datenverarbeitungsvorgängen für archivarische Zwecke (Artikel 89 „Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken“ der EU-Datenschutzgrundverordnung DSGVO)
- Schaffung besonderer nationaler Geheimhaltungsverpflichtungen (Artikel 90 “Geheimhaltungspflichten“ der EU-Datenschutzgrundverordnung DSGVO)
Zum anderen wird in Deutschland möglicherweise die Frage aufgeworfen werden, in welchem Verhältnis die EU-Datenschutzgrundverordnung DSGVO zu den vom Bundesverfassungsrecht im Recht auf informationelle Selbstbestimmung festgehaltenen Grundrecht steht und ob die verfassungsrechtlichen Vorgaben insoweit ausreichend Beachtung gefunden haben.
Ebenfalls diskussionswürdig erscheint die Frage, ob ein ursprünglich im Kern als Abwehrrecht des Einzelnen gegen staatliche Datensammlung gedachtes Verfassungsrecht nun in eine auf reine Regulierung privatwirtschaftlicher Datenverarbeitung zielende Regelung verfassungskonform münden kann.
Angesichts der Komplexität der EU-Datenschutzgrundverordnung DSGVO steht auch die Frage im Raum, ob diese das verfassungsrechtlich geforderte Mindestmaß an Rechtssicherheit (insb. Rechtsklarheit) erfüllt.
Änderungen insbesondere für datengetriebene Unternehmen und Konzerne
Relevante Anpassungen ergeben sich insbesondere für datengetriebene Unternehmen. So werden insbesondere die folgenden regulativen Anpassungen zu berücksichtigen sein:
- Das bisher in der EU-Datenschutzrichtlinie geltende (und zuletzt vom EuGH bereits deutlich abgeschwächte) Territorialitätsprinzip wird im Ergebnis durch ein Marktortprinzip ersetzt. Richtet sich ein Angebot damit an einen bestimmten nationalen Markt unterliegt dies damit auch der nationalen Datenschutz-Aufsicht (Artikel 4 „Begriffsbestimmungen“ der EU-Datenschutzgrundverordnung DSGVO).
- Die Voraussetzungen zur Verarbeitung personenbezogener Daten werden häufig auf „berechtigte Interessen“ gestützt werden können und damit in der Tendenz eher gesenkt (vgl. Härting in “Reasonable expectations of privacy”: Wie sich die DSGVO dem US-Recht annähert); dies gilt in gleicher Weise für die Datenverarbeitung im Konzern, die dadurch erleichtert wird.
- Die Tätigkeit der Datenschutz-Aufsichtsbehörden soll harmonisiert werden. Durch die Schaffung eines „Europäischen Datenschutzausschusses“ soll eine einheitliche Stelle zur Auslegung des europäischen Datenschutzrechts geschaffen werden (Artikel 64 „Stellungnahme [des] Ausschusses“ der EU-Datenschutzgrundverordnung DSGVO)
- Der Bußgeldrahmen wird drastisch erhöht. Im Extremfall können bis zu 4 % des weltweiten Jahresumsatzes gefordert werden. Eine Strafzahlung die in dieser Höhe in der Praxis mangels Angemessenheit vermutlich eher selten zur Anwendung kommen dürfte, in der öffentlichen Diskussion aber für hohe Aufmerksamkeit gesorgt hat (Artikel 83 „Allgemeine Bedingungen für die Verhängung von Geldbußen“ der EU-Datenschutzgrundverordnung DSGVO).
- Schaffung einer europaweiten Verpflichtung zur Bestellung eines Datenschutzbeauftragten, wenn das Geschäftsmodell im Kern auf der Verarbeitung personenbezogener Daten beruht oder nationale Vorgaben zusätzliche Bestellpflichten konstituieren (Artikel 37 „Benennung eines Datenschutzbeauftragten“ der EU-Datenschutzgrundverordnung DSGVO).
- Bei Verarbeitung von Daten im Auftrag wird der Auftragsdatenverarbeitungsnehmer (stärker als bislang nach dem Bundesdatenschutzgesetz der Fall) in die datenschutzrechtliche Verantwortung genommen (z.B. Artikel 32 „Sicherheit der Verarbeitung“ der EU-Datenschutzgrundverordnung DSGVO; Artikel 83 „Allgemeine Bedingungen für die Verhängung von Geldbußen“ der EU-Datenschutzgrundverordnung DSGVO).
- Schaffung legislativer Vorgaben für Datenschutz-Zertifizierungen auf europäischer Ebene (Artikel 42 „Zertifizierung“ der EU-Datenschutzgrundverordnung DSGVO) und die Verpflichtung, datenschutzfreundliche Technik bereits zu Beginn zu implementieren (Artikel 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ der EU-Datenschutzgrundverordnung DSGVO).
Strukturierung des weiteren Vorgehens
Unternehmen sind gehalten, die Zeit bis zur Gültigkeit des neuen europäischen Datenschutzrechts ab dem 25. Mai 2018 zu nutzen, die eigenen Datenverarbeitungsprozesse auf Anpassungsbedarf zu überprüfen. Bei der Neueinführung von Systemen sollten zudem gleich die neuen EU-Datenschutzregelungen soweit möglich mit berücksichtigt werden.
[Update: der Beitrag wurde zuletzt am 26. September 2016 aktualisiert.]
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.