Recht und Steuern

EU-Datenschutz-Grundverordnung und neues Bundesdatenschutzgesetz

Am 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSG-VO) und das neue Bundesdatenschutzgesetz (BDSG) als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU (DSAnpUG-EU) in Kraft getreten. Das Bundesdatenschutzgesetz ist komplett ersetzt worden.

1. Grundprinzipien der EU-Datenschutz-Grundverordnung
2. Pflichten für Unternehmen
3. Anwendungsbereich und Sanktionsmöglichkeiten

Unternehmen müssen nicht nur die EU-Datenschutz-Grundversorgung, sondern auch das neue Bundesdatenschutzgesetz beachten.

1. Grundprinzipien der EU-Datenschutz-Grundverordnung

Datenverarbeitung nur in gesetzlich genannten Fällen zulässig

Für die Zulässigkeit der Verarbeitung personenbezogener Daten gilt nach wie vor das bereits aus dem BDSG bekannte Verbot mit Erlaubnisvorbehalt (Art. 6). Eine Datenverarbeitung ist nur in den gesetzlich genannten Fällen zulässig.

Einwilligung auch per Klick

Neu ist der Wegfall des Schriftformerfordernisses bei der Einwilligung, weshalb – bei Beachtung der weiteren Vorgaben – beispielsweise das Anklicken eines Kästchens auf einer Internetseite ausreichend sein kann.

Einwilligung ab Ü16

Die DS-GVO ermöglicht es zudem Kinder ab 16 Jahren – ohne Zustimmung der Eltern – eine wirksame Einwilligung zu erteilen, wenn es um ein Angebot von Diensten einer Informationsgesellschaft geht.

Wirksamkeit

Bereits erteilte Einwilligungen der Betroffenen bleiben nur wirksam, wenn sie den Bedingungen der DS-GVO entsprechen. Auch die bekannten datenschutzrechtlichen Grundprinzipien Datensparsamkeit, Zweckbindung und Datensicherheit wurden fortentwickelt. Es besteht etwa eine engere Zweckbindung, weshalb Daten grundsätzlich nur zu dem ursprünglichen Erhebungszweck verwendet werden dürfen.

2. Pflichten für Unternehmen

Unternehmen müssen zunächst die Rechte der von der Datenverarbeitung Betroffenen beachten.

Widerspruchsrecht

Neben zahlreichen Informations- und Auskunftspflichten (Art. 13, 14, 15), zählt dazu ein Widerspruchsrecht (Art. 21) bezüglich der weiteren Datenverarbeitung. Der Betroffene hat ebenfalls ein Recht auf Berichtigung, Sperrung und Löschung seiner Daten.

Recht auf Vergessenwerden

Eine besondere Ausformung des Löschungsanspruchs stellt das „Recht auf Vergessenwerden“ (Art. 17 Abs. 2) dar. Soweit die zu löschenden Daten öffentlich gemacht wurden, muss der Verantwortliche die datenverarbeitende Stelle darüber informieren, dass die betroffene Person die Löschung aller Links zu diesen Daten und von Kopien oder Replikationen verlangt.

Auskunftsrecht

Auf Basis des neu eingeführten Rechts auf Datenübertragbarkeit (Art. 20) haben betroffenen Personen unter bestimmten Voraussetzungen einen Anspruch, eine Kopie der sie betreffenden personen-bezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten.

Meldepflicht

Unternehmen sollten insofern überprüfen, ob vorhandene Systeme die Datenübertragbarkeit unterstützen. Neben der Beachtung der Betroffenenrechte müssen Unternehmen weiteren Verpflichtungen nachkommen, die in erster Linie dazu dienen, den Aufsichtsbehörden die Kontrolle zu erleichtern. So besteht im Fall von Datenschutzverletzungen eine Meldepflicht bei der zuständigen Aufsichtsbehörde.

Größere Unternehmen müssen grundsätzlich ein Verzeichnis aller Verarbeitungstätigkeiten führen.

Folgenabschätzung

Soweit Verarbeitungsvorgänge ein hohes Risiko für Rechte und Pflichten natürlicher Personen mit sich bringen, muss der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen (Art. 35), die an die Stelle der derzeitigen Vorabkontrolle tritt. Sonderregelungen gibt es schließlich für die Auftragsdatenverarbeitung, die in Zukunft auch außerhalb der EU möglich ist.

3. Anwendungsbereich und Sanktionsmöglichkeiten

Marktortprinzip

Nach dem Marktortprinzip gelten die Vorgaben der DS-GVO für alle Unternehmen unabhängig von ihrer Niederlassung soweit sie ein Angebot an einen bestimmten nationalen Markt in der EU richten. Nach dem One-Stop-Shop-Mechanismus sind im Fall von grenzüberschreitenden Datenverarbeitungen die Aufsichtsbehörden an der Hauptniederlassung zuständig, sodass es einen zentralen Ansprechpartner gibt.

Hohe Bußgelder

Durch die DS-GVO wurde der Sanktionsrahmen bei Pflichtverletzungen drastisch erhöht. So drohen bei schwerwiegenden Verstößen Geldbußen bis zu 20 Millionen Euro und für Unternehmen Bußgelder von bis zu 4 % des gesamten weltweiten Umsatzes.

Unter "Weitere Informationen" finden Sie unter anderem verschiedene DIHK-Newsletter zu einzelnen Themen.