Zusammenfassung der grundlegenden Neuerungen der EU-Datenschutz-Grundverordnung (Auszug)
- Written by Stephanie Vogel
- Published in Rechtliches
- Leave a reply
- Permalink
Bei der ab 25. Mai 2016 umzusetzenden EU-Datenschutz-Grundverordnung hat der nationale Gesetzgeber aufgrund der sog. Öffnungsklauseln einen gewissen Umsetzungsspielraum. Diesbezüglich wurden bereits gutachterliche Stellungnahmen angefertigt und ein erster Entwurf des Bundesdatenschutzgesetz-Anpassungsgesetzes bereitgestellt.
Wie die konkrete Ausgestaltung vorgenommen wird und welcher konkrete Anpassungsbedarf auf Unternehmen zukommt – bleibt allerdings abzuwarten. Wir haben für Sie bereits im Vorfeld die wesentlichen Änderungen in Tabellenform kurz zusammengefasst.
Wenn Sie nähere Informationen wünschen bzw. konkrete Fragen bzgl. der bei Ihnen verarbeiteten Daten haben stehen wir Ihnen gerne für Rückfragen zur Verfügung.
| Artikel | Beschreibung/Handlungsbedarf |
| KAPITEL 1 Allgemeine Bestimmungen | |
| Art. 1 Gegenstand und Ziele | Im Rahmen der fortschreitenden Harmonisierung wurden die Regelungen zum Datenschutz neben dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten auf den freien Verkehr solcher Daten erweitert. |
| Art. 2 Sachlicher Anwendungsbereich | Der Anwendungsbereich erstreckt sich auf automatisierte und nicht automatisierte Daten.
Es werden nun grundsätzlich auch Daten erfasst, welche in einem Dateisystem gespeichert werden sollen (z. B. Daten auf Papierunterlagen). |
| Art. 3 Räumlicher Anwendungsbereich | Es gilt das sog. Marktortprinzip. Sofern durch ein Unternehmen in einem Mitgliedstaat auf dem Markt eine Datenverarbeitung stattfindet erweitert sich der Anwendungsbereich. |
| Art. 4 Begriffsbestimmungen | Die Auflistung der personenbezogenen Daten wurde ausgedehnt (z. B. Kennnummern, Standorte, physiologische/genetische/psychische/wirtschaftliche Merkmale). Weiterhin werden besondere Datenkategorien beschrieben z. B. Profilingdaten und genetische Daten. Nähere Angaben zum Schutzumfang werden allerdings nicht gegeben.
Es ist zu überprüfen, ob die beschriebenen Begrifflichkeiten auf die Datenverwendung im Unternehmen zutreffend sind. |
| KAPITEL II Grundsätze | |
| Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten | Es wird auf die Grundsätze „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz“ abgestellt und das Zweckerfordernis konkretisiert. Grundsätzlich wird dabei auf die Maßgaben des § 28 BDSG zur geschäftsmäßigen Datenverarbeitung verwiesen. Einbezogen wird zudem die Erforderlichkeit bei personenbezogenen Daten von Kindern. Der in § 4 Abs. 2 BDSG statuierte Direkterhebungsgrundsatz findet sich nicht in der Datenschutzgrundverordnung. Es wird aber argumentiert, dass sich nach Treu und Glauben ein ähnlicher Ansatz erkennen lässt.Zu beachten ist, dass auch eine Änderung des Zwecks der Datenerhebung möglich ist, wenn dieser kompatibel ist. |
| Art. 7 Bedingungen für die Einwilligung | Eine Einwilligung muss ausdrücklich durch eine „eindeutige und bestätigende Handlung“ mit angemessenem Hinweis auf den Verarbeitungskontext erteilt werden. Weiterhin soll im Rahmen des sog. Kopplungsverbots verhindert werden, dass Daten zur „Bezahlung“ genutzt werden können.
Es sollen zukünftig noch differenziertere Einwilligungen nach Datenverarbeitungsphasen abgegeben werden können. |
| Art. 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft | Bei Jugendlichen unter 16 Jahren müssen die Eltern eine Einwilligung abgeben und ab 16 Jahren kann eine Einwilligung rechtens sein. |
| Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten | Ausweitung der Rechte des Betroffenen z. B. durch konkrete Festlegungen von allgemeinen Anforderungen an eine transparente Behandlung von personenbezogenen Daten.
Es werden strengere Anforderungen an die Einstufung von besonders sensiblen Daten gestellt z. B. biometrische Daten. Ausnahmen können sich in bestimmten Bereichen ergeben z. B. Soziale Sicherheit, Sozialschutz, öffentliches Interesse, Gesundheitsschutz, Forschung und Statistik. Gegebenenfalls kann trotz gesetzlichem Erlaubnistatbestand eine schriftliche Einwilligung erforderlich sein. |
| KAPITEL III Rechte der Betroffenen | |
| Art. 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person | Es werden Fristen für die Beantwortung von Betroffenenanfragen festgelegt und Reaktionen bei exzessiven oder unbegründeten Anfragen durch Betroffene. Die Beantwortung ist in leicht verständlicher Art zur Verfügung zu stellen (ggf. auch mittels Bildschirmsymbolen als Hilfestellung).
Berücksichtigung Regelungen bei Betroffenenanfragen in der Praxis. |
| Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden | Es sind zusätzliche Informationspflichten zu erfüllen z. B. Benennung des Datenschutzbeauftragten zur Erleichterung der Kommunikation für die Betroffenen.Beachtung – sofern relevant – aus organisatorischer Sicht die Angabe der Kontaktdaten des Datenschutzbeauftragten. |
| Art. 17 Recht auf Vergessenwerden | Es wird eine Löschpflicht eingeführt unter Einsatz von geeigneten Technologien z. B. für veröffentlichte Links.Ausnahmeregelungen ergeben sich z. B. im Rahmen der freien Meinungsäußerung, gesundheitsrelevanter Informationen und Verteidigung von Rechtsansprüchen. |
| Art. 18 Recht auf die einschränkende Verarbeitung | Analogie zur Sperrung vor Löschung im Bundesdatenschutzgesetz. |
| Art. 20 Recht auf Datenübertragbarkeit | Im Rahmen des technischen Fortschritts sind die Maßnahmen für die Übertragbarkeit von Daten z. B. mittels eines automatisierten Verfahrens datenschutzkonform zu ermöglichen.
Sofern Technologien für Kunden angeboten werden, sind die Verfahren so zu gestalten, dass eine leichte Datenpotablität möglich ist. |
| Art. 21 Widerspruchsrecht | Es muss eine ausdrückliche Information zum Widerrufsrecht gegeben werden, insbesondere beim Profiling und Direktmarketing. |
| KAPITEL IV Verantwortlicher und Auftragsverarbeiter | |
| Art. 25 Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen | Als neue Vorgabe wurde in die Datenschutz-Grundverordnung die datenschutzfreundliche Technikgestaltung bzw. Voreinstellung durch die Gestaltung technischer und organisatorischen Maßnahmen aufgenommen. |
| Art. 26 Gemeinsam für die Verarbeitung Verantwortliche | Bei einer Auftragsdatenverarbeitung sind gemeinsame Kooperationsmöglichkeiten („join controller“) zu schaffen, insbesondere im Rahmen einer Arbeitsteilung. |
| Art. 28 Auftragsverarbeiter | Für die Einschaltung eines Subunternehmens bei einer Auftragsdatenverarbeitung ist eine vorherige gesonderte oder allgemeine schriftliche Genehmigung notwendig. Es können ggf. als rechtliche Grundlage Standardvertragsklauseln der EU-Kommission bzw. Zertifizierungen herangezogen werden. Zudem ist eine schriftliche Genehmigung notwendig und Festlegungen von Vertraulichkeitsverpflichtungen.Zwingende schriftliche Genehmigung notwendig und Festlegungen von Geheimhaltungsverpflichtungen. |
| Art. 30 Verzeichnis von Verarbeitungstätigkeiten | Es ist eine Übersicht über die für die Auftragsdatenverarbeitung relevanten Tätigkeiten zu erstellen.
Es muss eine Dokumentation über die relevanten Tätigkeiten angefertigt werden. |
| Art. 32 Sicherheit in der Datenverarbeitung | Es sind geeignete technische und organisatorische Maßnahmen auf dem aktuellen Stand der Technik einzusetzen, um ein angemessenes Schutzniveau zu gewährleisten.
Es ist zu überprüfen, ob die eingesetzten Datensicherungsmaßnahmen auch dem aktuellen Stand der Technik entsprechen. Für die Gestaltung der technischen und organisatorischen Maßnahmen werden konkrete Beispiele in der Datenschutz-Grundverordnung genannt. Beispielhaft werden im Rahmen der Verfügbarkeit der Daten auch Anforderungen zur Reaktion auf einen Notfall (z. B. Notfallplan) gestellt. |
| Art. 33 Meldung von Verletzungen des Schutzes von personenbezogenen Daten an die Aufsicht | Der Verantwortliche ist verpflichtet beim Verlust von personenbezogenen Daten bei einem Risiko für Rechte und Freiheiten natürlicher Personen unverzüglich eine Meldung abzugeben.Der Auftragsdatenverarbeiter hat einen Datenschutzvorfall unverzüglich dem Datenschutzbeauftragten zu melden.Zudem ist es essentiell, dass ggf. vom Auftragsdatenverarbeiter eingesetzte Subunternehmen an der Kommunikationskette teilnehmen.
Für die Meldung der Datenschutzverletzung mit bestimmten inhaltlichen Angaben ist eine Reaktionszeit von 72 h vorgesehen, daher ist es umso wichtiger, dass eine schnelle Einbindung des Datenschutzbeauftragten geschieht. Das Grundprinzip Herr der Daten ist der Auftraggeber bleibt zwar bestehen, aber im Außenverhältnis tritt eine gemeinsame gesamtschuldnerische Haftung gemäß Art. 83 Abs. 4 DSGVO ein. |
| Art. 35 Datenschutzfolgenabschätzung | Die Datenschutzfolgenabschätzung gleicht einer Vorabkontrolle und soll dazu beitragen, dass die Risiken für Rechte und Freiheiten der Betroffenen geprüft werden.Es besteht ein Handlungsspielraum bzgl. der Mitgliedsstaaten gemäß Art. 6 Abs. 1 DSGVO wegen der Verarbeitungsgrundlage nach ratio legis – aber grundsätzlich befindet sich keine Klausel in welcher eine Datenschutzfolgenabschätzung im Vorfeld abgeschlossen sein muss. Es liegt nahe im Rahmen des Wettbewerbsvorteils (vgl. § 9a BDSG), dass eine Zertifizierung vorgenommen werden kann.Die Datenschutzfolgenabschätzung hat einen erweiterten Anwendungsbereich als die Vorabkontrolle. In den Paragrafen werden die konkreten Anwendungsbereiche beschrieben und festgelegt. |
| Art. 36 Vorherige Konsultation | Es kann im Vorfeld eine „Konsultation“ bei hohem Risiko verlangt werden.
Bei besonderen Risikofällen ist eine Vorabkonsultation durchzuführen. |
| Art. 37 Bestellung eines Datenschutzbeauftragten | Die Norm richtet sich grundsätzlich an öffentliche und nicht öffentliche Stellen und kann von den Mitgliedsstaaten konkretisiert werden.
Zwingend muss ein Datenschutzbeauftragter bei öffentlichen Stellen, bei Unternehmen mit der Kerntätigkeit von Verarbeitungen von Daten (regelmäßige oder systematische Beobachtungen von Betroffenen) oder bei der Verarbeitung von besonders sensible Daten bestellt werden. Die Mitgliedsstaaten können weitere Pflichten zur Bestellung und Qualifikationserfordernisse definieren. Unter bestimmten Rahmenbedingungen kann es ausreichend sein für einen Unternehmensverbund oder mehre öffentliche Stellen einen gemeinsamen Datenschutzbeauftragten zu bestellen. Der Datenschutzbeauftragte kann extern oder intern bestellt werden. Die Kontaktdaten des Datenschutzbeauftragten müssen grundsätzlich veröffentlicht und der Aufsichtsbehörde mitgeteilt werden. |
| Art. 38 Stellung des Datenschutzbeauftragten | Es muss sichergestellt werden, dass der Datenschutzbeauftragte rechtzeitig bei relevanten Fragen eingebunden wird. Es sind entsprechende Ressourcen und der Zugänge zu den personenbezogenen Daten und Datenverarbeitungsvorgängen freizugeben.
Die Stellung des Datenschutzbeauftragten muss zukünftig in stärkerem Maße eingebunden werden. Die Ansprechpartner sind zu benennen. Auch Auftragsdatenverarbeiter haben den Datenschutzbeauftragten angemessen zu unterstützen. |
| Art. 40 Verhaltensregelungen | Es sollen Verhaltensgrundsätze aufgestellt werden z. B.a) faire und transparente Verarbeitung;b) die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;
c) Erhebung personenbezogener Daten; d) Pseudonymisierung personenbezogener Daten; e) Unterrichtung der Öffentlichkeit und der betroffenen Personen; f) Ausübung der Rechte betroffener Personen; g) Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist; h) die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 DSGVO und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32 DSGVO; i) die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten; j) die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder k) außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikeln 77 und 79 DSGVO. Es sind Verhaltensregeln aufzustellen z. B. Verkörperung im Rahmen eines Datenschutz- und IT-Sicherheitskonzepts. |
| KAPITEL V Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen | |
| Art. 44 Allgemeine Grundsätze der Daten Übermittlung | Es werden konkrete Anforderungen an die Datenübermittlung gestellt. |
| Art. 46 Datenübermittlungen | Grundsätzlich ist die Einbeziehung von internen Garantienverpflichtungen möglich. |
| Art. 49 Datentransfer in Drittstaaten | Ausnahme für eine Datenübermittlung können sich nach den Vorgaben des Art. 44 /45 DSGVO entweder auf Angemessenheitsbeschluss der Kommission oder aufgrund geeigneter Garantien i. S. d. Art. 46 DSGVO oder Binding Cooperate Rules ergeben. Weitere Möglichkeiten ergeben sich aus Gründen des öffentlichen Interesses (z. B. vgl. § 4c BDSG). Beispielhaft auch die registerfähige Normen wie etwa Handelsregistereintragungen können unter diese Norm fallen bei berechtigten Interessen – Voraussetzung dafür ist eine innerstaatlicher Regelung welche eine erleichterte Zugänglichkeit ermöglicht. |
| KAPITEL VI Unabhängige Aufsichtsbehörden | |
| Art. 51 Unabhängige Aufsichtsbehörden, Zusammenarbeit und Kohärenzverfahren | Im Rahmen aufsichtsbehördlicher Strukturierung ist es Zielstellung die Betroffenenrechte zu stärken.Der Grundgedanke des One-Stop-Governments sagt aus, dass der Betroffene zur Wahrung seines Rechts auf informationelle Selbstbestimmung sich an seine mitgliedsstaatliche Aufsichtsbehörde wenden kann. Grundsätzlich können die Mitgliedsstaaten über die Ausgestaltung selbst bestimmen, aber dennoch ist ein einheitliches Auftreten nach Außen gefordert. Demnach muss eine einheitliche Benennung einer Aufsichtsbehörde bzw. eines Ansprechpartners als zentrale Anlaufstelle erfolgen. |