EU-Datenschutz-Grundverordnung: Künftige Sanktionen sollen „abschrecken“

Die europäische Datenschutz-Grundverordnung (DSGVO) ist in Kraft getreten. Nach einer Übergangszeit von zwei Jahren wird sie in Deutschland ab dem 25. Mai 2018 unmittelbar gelten. Anders als bisher ist diese europäische Regelung nicht als Richtlinie, sondern in der Rechtsform einer Rechtsverordnung erlassen worden. Im Gegensatz zu einer Richtlinie gilt eine Rechtsverordnung unmittelbar in dem jeweiligen Mitgliedsstaat. Sofern das nationale Recht mit dem Inhalt der europäischen Rechtsverordnung nicht im Einklang steht, ist das nationale Recht nicht anzuwenden. Für die Normadressaten ist es somit unumgänglich, sich rechtzeitig mit dem Inhalt der DSGVO auseinanderzusetzen.

Besondere Beachtung verdient die Verschärfung des Sankti-onsrahmens. Die DSGVO sieht für bestimmte Verstöße Geldbußen von bis zu 20 Millionen Euro oder, wenn der Wert höher ist, bis zu 4 % des gesamten von dem jeweiligen Unternehmen im vorangegangenen Geschäftsjahr weltweit erzielten Jahresumsatzes vor.

Im Hinblick auf den materiellen Regelungsgehalt weicht die DSGVO in vielen Punkten nicht von den Regelungen des Bundesdatenschutzgesetzes ab, zum Teil werden aber wesentliche Änderungen eingeführt. Dies gilt zum Beispiel für die Auftragsdatenverarbeitung, insbesondere für die Pflichten des Auftragsverarbeiters: Je nach Umfang und Kategorie der verarbeiteten Daten kann der Auftragsverarbeiter neben dem verantwortlichen Auftraggeber zur Führung eines Verzeichnisses über die Verarbeitungstätigkeiten verpflichtet sein.

Ein zentrales Element beim Umgang mit personenbezogenen Daten bleibt die Notwendigkeit der Erlaubnis. Neben den gesetzlichen Erlaubnistatbeständen kommt der Einwilligung des jeweils Betroffenen besondere Bedeutung zu. Die Anforderun-gen an eine datenschutzrechtliche Einwilligung bleiben im Wesentlichen bestehen. Insbesondere ist die Einwilligung nicht wirksam, wenn sie nicht freiwillig abgegeben wurde. Diesbezüglich enthält Art. 7 Abs. 4 DSGVO die klarstellende Regelung, dass bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, dem Umstand in größtmöglichem Umfang Rechnung getragen werden muss, „ob unter anderem die Erfüllung eines Vertrages, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrages nicht erforderlich sind.“ Diesem sog. Kopplungsverbot muss bei der Gestaltung der Einwilligungserklärung umfassend Rechnung getragen werden.

Zudem werden die Vorgaben für die notwendige Datensiche-rung konkretisiert. Als ggf. erforderliche Sicherungsmaßnahmen werden unter anderem die Verschlüsselung personenbezogener Daten, die Möglichkeit, die Verfügbarkeit der personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, sowie das Vorhanden-sein von Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung genannt. Diese Vorgaben in Art. 32 DSGVO machen eine Risikoanalyse im Hinblick auf die eigene Datenverarbeitung und die Entwicklung eines angemessenen Sicherungskonzepts erforderlich.

Änderungen werden sich auch für die Gestaltung der Datenschutzerklärung auf Websites ergeben. Die DSGVO hat Vorrang vor den derzeitigen Regelungen im Telemediengesetz (TMG). Wie der Gesetzgeber die Regelungen des TMG mit den europäischen Vorgaben harmonisieren wird, kann derzeit allerdings nicht abgeschätzt werden.

Praxis-Hinweis
Der Umgang mit personenbezogenen Daten verdient weiterhin eine sehr hohe Aufmerksamkeit. Die Übereinstimmung bestehender Prozesse und Verfahrensweisen mit den bestehenden und den neuen datenschutzrechtlichen Vorgaben ist sicherzustellen, z. b durch den Erlass entsprechender Rahmenvorgaben sowie eine regelmäßige Überprüfung der korrekten Prozessdurchführung.

Kontakt
Ihre Ansprechpartner an unseren Standorten: