Die neue Datenschutz-Grundverordnung und die Folgen


Datenschutz neu geregelt

Die Relevanz der nicht mehr ganz so neuen Datenschutz-Grundverordnung (DSGVO) steigt weiter an. Gilt derzeit noch das Bundesdatenschutzgesetz (BDSG) einzig als durchsetzbare Normierung des Datenschutzrechts, werden zum 25. Mai 2018  Unternehmen und andere Verarbeiter von persönlichen Daten gezwungen, die neue europäische Datenschutzverordnung umzusetzen, die derzeit auch vom Gesetzgeber im BDSG-neu eingeführt wird. Die DSGVO findet auch direkt Anwendung, sollte der Gesetzgeber nicht alle Regelungen in das BDSG übernehmen. Eine vorherige Anwendung der Regelungen ist zur Erleichterung vieler Unternehmer nicht möglich, wie erst kürzlich ein Gericht urteilte, als eine Datenschutzbehörde eine einstweilige Verfügung wegen “sicherer künftiger Verstöße gegen die DSGVO” erlassen haben wollte.

Welche Herausforderungen es bei der Implementierung der Neuregelung und Vereinheitlichung des europäischen Datenschutzrechts überwunden werden müssen stellte Dr. Marc Störing (Osborne Clarke) im Rahmen seiner Keynote auf dem diesjährigen VGBA Summit während der Gamescom in Köln dar.

Zu Beginn betonte Störing, dass die Umsetzung der umfassenden Neuregelungen vor allem für solche Unternehmen einen enormen Aufwand darstellen würde, die auch bisher die Datenschutz-Compliance etwas stiefmütterlich behandelt hatten. Die EU machte das Thema jedoch zu einem dringenden Punkt auf jeder Tagesordnung, indem sie enorme Geldbußen für ein Zuwiderhandeln einführte. Nach Art. 83 IV DSGVO wird fehlender Datenschutz mit bis zu 20 Millionen EUR oder 4 % des gesamten weltweit erzielten Jahresumsatzes des Vorjahres abgestraft.

 

Datenschutz geht Alle an

Die DSGVO gilt jedoch nicht nur für Unternehmen einer gewissen Größe, sondern nach Art. 4 Nr. 7 DSGVO für jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Verarbeitung von Daten entscheiden, oder selbst eine Verarbeitung vornehmen, solange diese nicht ausschließlich privater Natur ist, Art. 2 Abs. 2 DSGVO. Diese Stellen werden je nach ihrer Tätigkeit in der DSGVO “Verantwortliche” oder “Verarbeiter” genannt. Daher müssen sich auch beispielsweise Vereine mit der Verordnung auseinandersetzen, da diese stets die Daten ihrer Mitglieder Erheben, Speichern und auch anderweitig verarbeiten. Auch bei kleineren Unternehmen wie E-Sports-Clans können die Regelungen schnell relevant werden. Entscheidend für die Notwendigkeit eines Datenschutzbeauftragten bspw. ist die Anzahl der Mitarbeiter, welche mit der Datenverarbeitung, also dem Zugriff auf Systeme, betraut sind.

Die Umsetzung der Verordnung bedeutet für alle von ihr erfassten Stellen einen erheblichen Aufwand, mit dem man sich spätestens jetzt intensiv auseinandersetzen sollte. Die zentralen Regelungen, die es einzuhalten gilt sollen in diesem Beitrag kurz dargestellt werden, wobei sprachlich mit dem Begriff “Verarbeitung” in diesem Beitrag alle relevanten Tätigkeiten im Umgang mit personenbezogenen Daten umfasst sind.

Rechte der Betroffenen

Die Datenschutz-Grundverordnung bringt stärkere Rechte für den Betroffenen mit sich, also die Person, deren Daten verarbeitet werden. Verarbeitung bedeutet schon das Erheben, Erfassen, Ordnen oder das Speichern und Löschen von persönlichen Informationen.
Die wichtigste Frage die man sich diesbezüglich stellen muss ist, ob eine Verarbeitung überhaupt zulässig ist. Es bleibt wie auch schon im nationalen Recht dabei, dass dass die Datenverarbeitung nur dann zulässig ist, wenn dies ausdrücklich erlaubt ist. Entsprechende Erlaubnistatbestände finden sich in Art. 6 DSGVO, wovon der Wichtigste wohl die Einwilligung ist. Zu beachten ist hier zweierlei: Erstens findet sich in den Normen der DSGVO im Gegensatz zum § 4a Bundesdatenschutzgesetz keine Formforschrift mehr, was für viele Unternehmen eine Vereinfachung des Rechtsverkehrs darstellen wird.

Zweitens ist sehr wichtig, dass nach Art. 8 I DSGVO eine Einwilligung nur wirksam ist, wenn das Kind das sechzehnte Lebensjahr vollendet hat, beziehungsweise das dreizehnte, falls Deutschland von der Auflockerungsklausel in Art. 8 I S. 2 DSGVO Gebrauch macht. Wer Daten verarbeitet und gegen dieses Limit verstößt, handelt rechtswidrig, wenn nicht eine andere Erlaubnis des Art. 6 DSGVO vorliegt.

Ist eine Datenverarbeitung vorgenommen worden muss der Betroffene nach Art. 13 und 14 DSGVO über die Erhebung von Daten bei ihm selbst oder bei einem Dritten informiert werden. Dies umfasst nicht nur das „ob“ der Datenerhebung, sondern auch noch zahlreiche damit in Verbindung stehende Details. Über die Verarbeitung der einmal erhobenen Daten darf die betroffene Person nach Art. 15 DSGVO eine ebenfalls umfangreiche Auskunft verlangen, vergleichbar mit dem bisherigen § 34 BDSG.

Die DSGVO regelt weiterhin das Recht auf Löschung, oder auch das Recht auf Vergessenwerden. Nach Art. 17 DSGVO besteht dieses schon dann, wenn die Speicherung nicht mehr notwendig ist, aber auch wenn die Einwilligung zur Verarbeitung widerrufen wurde oder die Daten unrechtmäßig verarbeitet wurden. In der Norm werden auch die Ausnahmen normiert, wie etwa wenn das Recht auf Meinungsäußerung bzw. die Informationsfreiheit überwiegen oder die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient.

 

Technisch-organisatorischer Datenschutz

Neben der Beachtung der Rechte eines Betroffenen müssen Verantwortliche jedoch auch nach Art. 24, 25 DSGVO technische und organisatorische Vorkehrungen treffen, sowie bestimmten Informations- und Dokumentationspflichten nachkommen. Hier lauert viel Arbeitsaufwand, da eine entsprechende Infrastruktur geschaffen und eventuell sogar verwendete Software umgestaltet werden muss.

Zu den Informationspflichten zählt Art. 33 DSGVO, der nun anstatt § 42a BDSG gilt. Hiernach müssen alle Verletzungen des Schutzes personenbezogener Daten beim Bundesbeauftragen für Datenschutz und beim Betroffenen selbst gemeldet werden, es sei denn, das Risiko für persönliche Rechte und Freiheiten ist unwahrscheinlich.

Auch muss der Verantwortliche nach Art. 30 DSGVO ein Verzeichnis der Verarbeitungstätigkeiten führen, welches dem bisherigen Verfahrensverzeichnis nach § 4g II in Verbindung mit § 4e BDSG ähnelt. Es zeigt sich wieder, dass bisher auf Datenschutz bedachte Unternehmen oder Vereine weniger Aufwand haben werden. Die Pflicht, ein solches Verzeichnis zu führen kann jedoch unter bestimmten Voraussetzungen nach ARt. 30 V DSGVO für juristische Personen mit weniger als 250 Beschäftigten entfallen.

Eine weitere wichtige Pflicht ergibt sich aus Art. 35 DSGVO, nachdem Verantwortliche jetzt auch eine Folgenabschätzung vornehmen, ob und inwiefern eine Form der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen birgt. Firmen müssen selbständig Maßnahmen und Sicherheitsvorkehrungen vornehmen, um diese Rechte zu schützen oder im Zweifelsfall nach Art. 36 DSGVO mit der Aufsichtsbehörde Rücksprache halten. An diese muss nach Art. 33 DSGVO auch jedes Unternehmen Verletzungen des Schutzes personenbezogener Daten melden.

Neu geregelt wurde auch die Auftragsdatenverarbeitung, also die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Verarbeiter nach Auftrag des Verantwortlichen. Der Beauftragte muss eine ordnungsgemäße Datenverarbeitung garantieren können, ob er nun EU-In- oder Ausländer ist. Außerdem muss er nach Art. 30 II DSGVO ein Verzeichnis der Verarbeitungstätigkeiten führen. Ein solches Verzeichnis muss auch der Verantwortliche führen, wie auch schon nach bisher gültigem deutschen Recht. Wer hier also schon konform war, hat nun weniger Arbeit. Unter Umständen können jedoch Unternehmen mit weniger als 250 Beschäftigten nach Art. 30 V DSGVO von dieser Pflicht ausgenommen werden, was wohl mit wenigen Ausnahmen auf die meisten deutschen Spieleentwickler zutreffen wird.

 

Der Datenschutzbeauftragte

Laut der DSGVO kann ist es unter bestimmten Umständen Pflicht, einen Datenschutzbeauftragten zu bestellen. Dieser muss nach Art. 37 DSGVO entsprechende berufliche und fahliche Qualifikation mitbringen, also im besten Fall ein auf Datenschutzrecht spezialisierter Jurist sein hier gelten die gleichen Regelungen wie auch im BDSG bislang. Hierbei müssen, wenn sich unter den Mitarbeiten kein geeigneter Kandidat findet, externe Datenschutzberater beauftragt werden. Zu den Aufgaben des Datenschutzbeauftragten zählt etwa die Überwachung der Einhaltung der einschlägigen Normen, also des BDSG, der Verordnung und anderer relevanter Gesetze, die Beratung und Unterrichtung sowie die Schulung der Mitarbeiter. Er berichtet nach Art. 38 DSGVO weisungsfrei und unmittelbar der Geschäftsführung.

Ein Verantwortlicher muss nach Art. 37 DSGVO dann einen Datenschutzbeauftragten bestellen, falls seine Kerntätigkeit eine systematische Überwachung erfordert und die Verarbeitung besonders sensibler Daten nach Art. 9 und 10 DSGVO betrifft. Weiterhin ist nach § 38 des Datenschutz-Anpassungs und Umsetzungsgesetz EU eine Bestellung auch nötig, wenn der Verantwortliche in der Regel mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt, er Verarbeitungen vornimmt, die der Datenschutzfolgenabschätzung unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

 

Die praktische Umsetzung

Wie setzt man nun ein solches Regelwerk in der Praxis um?

Um den gerade genannten Rechtspflichten nachkommen zu können, müssen sich Unternehmen einen guten Überblick über ihre Datenströme verschaffen und sich im Klaren sein, welche Mitarbeiter oder Auftragsbearbeiter welche Daten erheben und verwenden. Carolin Gäthke (InnoGames) machte in der an die Keynote auf dem VGBA Summit angeschlossenen Diskussion darauf aufmerksam, dass hier in zahlreichen Unternehmen Unsicherheiten bestünden.

In der Diskussion wurde vorgeschlagen, zunächst einmal in einer Art Selbstkontrolle herauszufinden, in welchen Aspekten der Vorschrift noch Handlungsbedarf wäre.

Teile dieses Prozesses, wie etwa eine genaue Ermittlung und Dokumentation der Datenflüsse könnten bei manchen Unternehmen viel Zeit in Anspruch nehmen. Die wirkliche Arbeit beginnt jedoch erst danach. Ein Datenschutzbeauftragter muss gefunden und Datenschutzhinweise neu verfasst werden. Es müssen Unternehmensrichtlinien eingeführt oder angepasst werden. Die vom Unternehmen verwendeten Programme müssen eine einfacht Datenübertragung und -löschung möglich machen. Außerdem müssen Prozesse erdacht werden, die den gewünschten Transparenz- und Informationspflichten nachkommen.

Im Ergebnis lässt sich festhalten, dass den zahlreichen Stärkungen der Betroffenenrechte nach Aussage von Störing auch positive Entwicklungen entgegenstehen, wie zum Beispiel der Wegfall der Formvorschriften für Einwilligungen. Auch sind nach Art. 22 DSGVO nun im Gegensatz zum bisherigen § 6a BDSG automatisierte Einzelfallentscheidungen wie etwa Profiling nicht mehr von vorneherein verboten.

In jedem Fall bringt die Datenschutz-Grundverordnung viel Arbeit mit sich. Sie verlangt nicht nur eine umfangreiche Vorbereitung, sondern auch einen großen laufenden Aufwand und ein entsprechend juristisch geschultes Personal, um Verstößen gegen die Verordnung und den damit verbundenen Bußgeldern wirksam vorzubeugen.

Falls Sie in ihrem Unternehmen unter die entsprechenden Datenschutzregelungen fallen und Sie einen externen Datenschutzbeauftragten suchen, sprechen Sie uns einfach an.


Lukas Kissel, Michael Scheyhing 13.09.2017