EU DSGVO

Im Mai 2016 trat die am 14.04.2016 verabschiedete EU-Datenschutzgrundverordnung (EU DS-GVO) in Kraft. Sie ersetzt die alte seit 1995 bestehende europäische Datenschutzrichtlinie 95/46/EG. Mit diesem Regelwerk wird das Datenschutzrecht in der EU vereinheitlicht und ab Mai 2018 unmittelbar in allen 28 Mitgliedsstaaten gelten. Das Bundesdatenschutzgesetz (BDSG) wird dann voraussichtlich nur noch die Bereiche regeln, in denen der EU-Gesetzgeber den Mitgliedsländern einen Regelungsspielraum gibt. Das Ziel ist ein EU-weiter Standard für die Datenverarbeitung, der den Schutz personenbezogener Daten und den freien Datenverkehr gleichermaßen fördert.

Die zweijährige Übergangsfrist zur Umstellung endet 25. Mai 2018.

Die EU-Datenschutzgrundverordnung gilt für alle Unternehmen, die innerhalb der EU tätig sind.

Die EU DS-GVO wird nicht nur für Unternehmen gelten, die ihren Standort in der EU haben, sondern für alle Unternehmen, welche personenbezogene Daten von in der EU lebenden Personen erheben und verarbeiten.

Die Rechte und der Schutz von Personen und deren Daten sollen mit der EU-Datenschutzgrundverordnung gestärkt werden. Eine Datenverarbeitung darf dann nur mit Einwilligung des Betroffenen erfolgen.Umfangreiche Auskunftspflichten sehen vor, das jederzeit Einblick gewährt werden muss, welche Informationen über sie gespeichert werden.

Bereits jetzt sind Unternehmen datenschutzrechtlich verpflichtet, Betroffene über den Inhalt und Umfang der Verarbeitung ihrer personenbezogenen Daten umfassend und transparent zu informieren. Mit der EU-Datenschutzgrundverordnung werden Unternehmen nun konkrete Fristen auferlegt, binnen deren Auskünfte zu erteilen sind. Ebenso müssen umfassende Dokumentationen vorliegen, in welcher Art und Weise personenbezogene Daten verarbeitet und weitergegeben werden, wie die Einwilligungen eingeholt und ggf. auch widerrufen werden können, sowie inwieweit die Verpflichtung zur Löschung der Daten besteht. Unternehmen müssen dann auch nachweislich dokumentieren, was sie zum Schutz der personenbezogenen Daten unternehmen und ob diese Regelungen und Vorkehrungen auch regelmäßig überprüft werden. Dies geht weit über die bisherigen Dokumentationspflichten hinaus.

Die datenschutzrechtlich verantwortliche Stelle wird dazu verpflichtet, die personenbezogenen Daten dem Betroffenen auf Anfrage in einer strukturierten, gängigen und maschinenlesbaren Form bereitzustellen.

Folgende signifikanten Punkte müssen gewährleistet werden:

  • die Erforderlichkeit einer ausdrücklichen Einwilligung zur Verarbeitung ihrer Daten,
  • das Recht auf Berichtigung, Löschung sowie das Vergessenwerden,
  • die Sicherung der Übertragbarkeit der Daten von einem Anbieter auf den anderen
  • Daten verarbeitende Unternehmen müssen in größerem Umfang als bisher Auskunft über die durch sie gespeicherten Daten geben
  • Unternehmen müssen die Datenerfassung möglichst datensparsam konzipieren und nur Daten erheben, die zur Erbringung des Dienstes benötigt werden
  • Unternehmen sind verpflichtet, geeignete Sicherheitsmaßnahmen zu treffen, die dem Risiko der Datenverarbeitungsvorgänge entsprechen
  • Unternehmen unterliegen zukünftig weitergehenden Meldepflichten bei Datenschutzverstößen

Bei Nichteinhaltung werden künftig Bußgelder von bis zu 20 Mio. € oder sogar bis zu 4% des weltweiten Umsatzes des jeweiligen Unternehmens fällig.

Zu einigen grundsätzlichen Änderungen, werden wir hier detailliert eingehen:

Löschungspflicht

Artikel 17, der DS-GVO beschreibt, das personenbezogene Daten auf Verlangen der betroffenen Person und/oder unter bestimmten Voraussetzungen ohne Verlangen der betroffenen Person gelöscht werden müssen. Art. 17 Abs. 1 der DS-GVO benennt dazu folgende Fälle:

  • die Notwendigkeit der Verarbeitung zur Zweckerreichung ist entfallen.
  • die betroffene Person hat ihre Einwilligung widerrufen und es besteht auch keine sonstige Rechtsgrundlage zur Erhebung der Daten
  • die betroffene Person legt gem. Art. 21 Abs. 1 oder 2 DS-GVO Widerspruch gegen die Verarbeitung ein; im Falle des Art. 21 Abs. 1 gilt dies nur, soweit keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen
  • die personenbezogenen Daten wurden unrechtmäßig verarbeitet
  • Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
  • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO erhoben.

Recht auf Vergessenwerden
Ein Punkt der eng mit der Löschungspflicht in Zusammenhang steht, ist das Recht auf Vergessenwerden und ist im Artikel 17 Abs. 2 DS-GVO geregelt. Der Verantwortliche, der die personenbezogenen Daten öffentlich gemacht hat und der gemäß Art. 17 Abs. 1 DS-GVO zu deren Löschung verpflichtet ist, hat unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, zu treffen, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten (gleichfalls) verarbeiten, darüber zu informieren, dass eine be-troffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. Die bedeutet auch weitere Verantwortliche, die die zu löschenden Daten ebenfalls verarbeiten, über das Verlangen der Löschung zu informieren.

Die Pflicht zur Löschung nach Artikel 17 Abs. 1 und die Pflicht zur Information weiterer Verantwortlicher nach Artikel 17 Abs. 2 der DS-GVO entfallen, wenn gemäß Art. 17 Abs. 3 DS-GVO die Verarbeitung erforderlich ist.

Darunter fallen:

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information
  • zur Erfüllung einer rechtlichen Verpflichtung, zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder zur Ausübung öffentlicher Gewalt;
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
  • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DS-GVO, soweit die Löschung die Verwirklichung dieser Ziele ernsthaft beeinträchtigt
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Meldepflicht von Verstößen
Ein wichtiger Punkt in der EU-DSGVO ist die Meldepflicht bei Verstößen. Dieses regelt Artikel 33 Absatz 1 der DSGVO. Kommt es zu einer Verletzung des Datenschutzes, sind Unternehmen verpflichtet, diese Verletzung innerhalb von 72 Stunden an eine Aufsichtsbehörde zu melden. Ebenso sind betroffene Personen zu informieren, deren Daten von der Verletzung betroffen sind.

Zugriffsschutz auf personenbezogene Daten
Artikel 5 der EU-DSGVO regelt, dass personenbezogene Daten gegen den Verlust, unbeabsichtigte Änderungen und natürlich unbefugten Zugriff zu sichern sind. Damit einschließend dürfen nur berechtigte Mitarbeiter auf die Daten zugreifen. Die Zugriffe auf die Daten sind zu dokumentieren (Artikel 5, Absatz 2).