Die EU-Datenschutzgrundverordnung (DSGVO)

Ab 25.05.2018 wird die Datenschutzgrundverordnung (DSGVO), Verordnung (EU) 2016/679, unmittelbar geltendes Recht sein, ohne dass es gesonderter Umsetzungsakte bedürfte (siehe hierzu auch den Beitrag von Anton Knoblauch, Regierungsdirektor im Bayerischen Staatsministerium des Innern, für Bau und Verkehr, in: PUBLICUS 2017.11). Die DSGVO regelt die Verarbeitung personenbezogener Daten einheitlich für die gesamte EU. Das vollharmonisierte EU-Verordnungswerk hat das erklärte Ziel, dem Datenschutz in der behördlichen und betrieblichen Praxis mehr Geltung und Gehör zu verschaffen. Neue Prinzipien wie der risikobasierte Ansatz, neue Datenschutz- und IT-Compliance-Anforderungen und ein erheblich ausgeweiteter Bußgeldrahmen mit gestiegener Kontrolldichte führen zu erheblichem Anpassungsbedarf und Administrationsaufwand im privaten wie öffentlichen Sektor sowie zu Abmahn- und Klagewellen in ganz Europa.

Europäischer Rechtsrahmen und Normadressaten

Die DSGVO tritt in der gesamten EU unmittelbar in Kraft und hebt die bisherige Datenschutzrichtlinie (Richtlinie 95/46/EG) auf. Übergangsfristen existieren nicht. Die DSGVO ersetzt mit 99 Artikeln und 173 Erwägungsgründen zum 25.05.2018 wesentliche und deckungsgleiche Teile des Bundesdatenschutzgesetzes (BDSG). Daneben hat der deutsche Gesetzgeber mit dem Datenschutzanpassungsgesetz am 30.06.2017 ein neues BDSG aufgelegt (BGBl. 2017 I S. 2097); dieses ergänzt die DSGVO und tritt gleichfalls am 25.05.2018 in Kraft.

Der europäische Rechtsrahmen wird durch die EU-E-Privacy-Verordnung ergänzt. Diese Verordnung soll für Anbieter von elektronischen Kommunikationsdiensten gelten und für Kommunikationsvorgänge wie Telefonate, Internetzugang, Messaging-Dienste, E-Mails, Internet-Telefonie. Die Verordnung ist auch anwendbar, wenn die Datenverarbeitung außerhalb der EU stattfindet, soweit die damit verbundenen Dienste in der EU angeboten werden. Einen solchen extraterritorialen Effekt bringt auch die DSGVO mit. Die E-Privacy-Verordnung wird die Bestimmungen, die auf Basis der E-Privacy-Richtlinie 2002/58, ergänzt von der Cookie-Richtlinie 2009/136, ergangen sind, verdrängen und neue Regelungen für das Online- und Direktmarketing statuieren, insbesondere die Regelungen gem. §§ 11 ff. Telemediengesetz (TMG) und des § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG).

Die primären Normadressaten der DSGVO sind alle Unternehmen der Privatwirtschaft und deren Niederlassungen in der EU, die personenbezogene Daten verarbeiten als »Verantwortliche« (bislang »verantwortliche Stelle«). Ferner gilt die DSGVO für Unternehmen mit Sitz außerhalb der EU, soweit die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der EU steht oder das Verhalten von natürlichen Personen in der EU erfasst wird wie z.B. im Internet.

Anwendungsbereich für die öffentliche Hand

Die DSGVO ist auch für die öffentliche Hand zu beachten. Aus dem sachlichen Anwendungsbereich sind nur Behörden ausgenommen, die zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit personenbezogene Daten verarbeiten. Im Umkehrschluss ist eine grundsätzliche Geltung eröffnet für alle bundes-, landes- und kommunalrechtlichen Kompetenzen, bei denen eine personenbezogene Datenverarbeitung anfällt. Abweichungen gelten dann, wenn es beispielsweise um die Rechtmäßigkeit der Datenverarbeitung für die Wahrnehmung einer Aufgabe geht, die im öffentlichen Interesse liegt. Abgesehen von spezifischen Datenschutzgesetzen der Länder wie dem LDSG BW und dem E-Government-Gesetz BW sind in Bundesgesetzen wie dem Bundesmeldegesetz, dem Sozialgesetzbuch und dem E-Government-Gesetz spezifische Regelungen vorhanden, die bis zur Umsetzungsfrist eine entsprechende Anpassung benötigen.

Dabei geht es im öffentlichen Sektor in Deutschland nicht mehr nur um nationale Aufgabenverwaltung, sondern um die Gewährleistung von Datenschutz, Informationsfreiheit und IT-Sicherheit im Gemeinwohlinteresse. In diesem Kontext zu nennen ist auch das Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) vom 23.06.2017. Dieses Gesetz statuiert Maßnahmen zur Einhaltung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU. Es geht um europäische Abstimmungen bei der Cyber-Sicherheit, eine intensive Zusammenarbeit der Mitgliedstaaten und Meldepflichten für kritische Infrastrukturen und für bestimmte Anbieter digitaler Dienste wie Cloud-Services und Online-Marktplätze.

Der DSGVO kommt teilweise Richtlinien-Charakter zu, wie an Hand der für die Justiz und die Polizei gesondert geltenden Justizrichtlinie (2016/680 vom 27.04.2016) deutlich wird. Die Richtlinie zum Datenschutz bei Justiz und Polizei bedarf im Gegensatz zur DSGVO noch der Transformation der Mitgliedsstaaten in nationales Recht. Dies hat bis zum 06.05.2018 zu erfolgen.

Rechtsänderungen durch die DSGVO

1. Marktortprinzip, exterritoriale Wirkung

Neu eingeführt wurde das Marktortprinzip. Dieses hat einerseits zur Folge, dass die DSGVO als unmittelbar geltendes Gesetz in jedem EU-Mitgliedsstaat zu beachten ist und andererseits, dass die DSGVO auch für Verantwortliche oder Auftragsverarbeiter außerhalb der EU gilt. Dieses Marktortprinzip gem. Art. 3 Abs. 2 DSGVO (nachfolgende Artikel ohne Verordnungsangabe sind solche der DSGVO) geht über das Niederlassungsprinzip hinaus und erfasst einen erweiterten räumlichen Anwendungsbereich, soweit die Datenverarbeitung dazu dient, Personen in der EU Waren oder Dienstleistungen anzubieten und soweit Verantwortliche oder Auftragsverarbeiter das Verhalten betroffener Personen in der EU beobachten.

2. Erweiterte Grundprinzipien: Nachweis und Rechenschaft

Von der bisherigen Dogmatik bekannt sind die datenschutzrechtlichen Grundprinzipien wie die Rechtsmäßigkeit der Datenverarbeitung, die Verarbeitung nach Treu und Glauben, der Zweckbindungsgrundsatz, das Transparenzgebot, die Datenminimierung und die Gewährleistung von Integrität und Vertraulichkeit. Neu ist als Grundprinzip die Verpflichtung, wonach der Verantwortliche die Einhaltung der Datenschutzregelungen nachweisen können muss (Art. 5 Abs. 2, Art. 24 Abs. 1). Diesbezüglich gelten strenge Nachweis- und Rechenschaftspflichten.

3. Rechtmäßigkeit der Datenverarbeitung / Verbot mit Erlaubnisvorbehalt

Wie bisher ist die Verarbeitung personenbezogener Daten grundsätzlich verboten soweit sie nicht durch eine ausdrückliche gesetzliche Bestimmung oder die Einwilligung des Betroffenen gestattet ist (Verbot mit Erlaubnisvorbehalt). Als Erleichterung gegenüber der bisherigen Rechtslage lässt Art. 6 diesbezüglich eine »Alternativrechtfertigung« genügen. Nach neuer Rechtslage muss der Verantwortliche den Nachweis erbringen können, dass die Einwilligung erteilt worden ist. Auch wenn im Gegensatz zu dem bisherigen grundsätzlichen Schriftformerfordernis (§ 4a BDSG) auch elektronische und mündliche Formen der Einwilligungen zulässig sind, wird zur Erreichung der Dokumentations- und Nachweisvorgaben die Einhaltung der gegenwärtig nach dem Telemediengesetz zu wahrenden Anforderungen an elektronische Einwilligungen empfohlen. Wie bisher muss die Einwilligung freiwillig erfolgen. Es gilt i.S.v. Art. 7 ein Koppelungsverbot; die Einwilligung darf also nicht für eine Vertragserfüllung Voraussetzung sein. Für Einwilligungen sind Opt-In-Modelle notwendig – wie beispielsweise durch aktives Anklicken (Ankreuzen) auf einem Internetportal. Opt-Out-Konzepte, mit denen die Einwilligung »vorausgefüllt« ist und durch Nichtstun vollzogen werden soll, sind unzulässig. Die praxisrelevante Frage, ob Alteinwilligungen, die auf Basis der bisherigen Rechtslage erteilt worden sind, ohne erneute Einwilligungserteilung fortbestehen, muss nach dem Erwägungsgrund 171 differenziert geprüft werden. Kurz gesagt bedarf es keiner neuen Einwilligung, wenn diese den neuen DSGVO-Anforderungen entsprochen hat.

4. Gesetzliche Erlaubnistatbestände

Es sind mit Art. 6 Abs. 1 lit. b bis lit. f diverse Erlaubnistatbestände vorgesehen, die eine Datenverarbeitung rechtfertigen können.

• Verarbeitungszweck und öffentliches Interesse: Die Datenverarbeitung ist wie bisher insbesondere zulässig, wenn diese zur Erfüllung eines Vertrages notwendig ist.
• Interessenabwägung: Nach der Generalklausel des Art. 6 Abs. 1 lit. f ist die Datenverarbeitung zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen des Dritten nicht überwiegen. Hier sind Auslegungsschwierigkeiten zu erwarten.
• Besonders sensible Daten werden nach Art. 9 sehr streng geschützt wie religiöse Anschauung, Gesundheitsdaten, Gewerkschaftsangehörigkeit, ethnische Herkunft.

5. Zweckbindungsgrundsatz

Daten, die ursprünglich zulässigerweise erhoben wurden, dürfen nicht für andere als die ursprünglichen Zwecke verarbeitet werden (Art. 5 und 6). Der bisher geltende Zweckbindungsgrundsatz gilt insofern fort. Im Hinblick auf Digitalisierungsentwicklungen rund um das Internet der Dinge und Industrie 4.0 stellen sich Herausforderungen, weil hier weitreichende Datenauswertungen und Verknüpfungen erfolgen. Da die DSGVO für »Big Data« keine klaren Konturen liefert, wird für die Praxis ein Höchstmaß an Prüfung, Sorgfalt, Transparenz und Prozesskontrolle zu empfehlen sein.

6. Technische und organisatorische Anforderungen

Die Bestellung eines betrieblichen Datenschutzbeauftragten regelt Art. 37 Abs. 1. Neu ist, dass zu der Unterrichtungs- und Beratungsverantwortlichkeit eine Überwachungszuständigkeit hinzutritt. Die Einhaltung der rechtskonformen Überwachung wird künftig auch im Interesse der Haftungsvermeidung im Innenverhältnis des Unternehmens Triebfeder. Wesentliches Datenschutzprinzip wird die Datensicherheit. Die bisherige Rechtslage mit § 9 BDSG wird mit Art. 32 abgelöst, indem keine bestimmten Schutzmaßnahmen mehr verlangt werden, sondern die Einhaltung von Schutzzielen – wie Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit – postuliert wird. Es sind angemessene technische und organisatorische Maßnahmen zu gewährleisten, um ein dem Risiko angebrachtes Schutzniveau sicherzustellen, wie z.B. eine Verschlüsselung.

Die Grundsätze der Datenvermeidung und Datensparsamkeit sind Leitbilder technischer Datenschutzanforderungen, insbesondere für Privacy by Design und Privacy by Default. Unternehmen, insbesondere solche, die in der Entwicklung und der Produktion tätig sind, haben sich neuen Verpflichtungen zur Wahrung der Grundsätze Privacy by Design (Datenschutz durch Technik) und Privacy by Default (Datenschutz durch datenschutzfreundliche Voreinstellungen) zu stellen, Art. 25. Danach sollen bereits bei der Produkt- und Systementwicklung Datenschutzvorgaben »vorprogrammiert« sein.

Die neuen Dokumentations- und Meldepflichten werden Unternehmen ebenfalls einen erheblichen Umsetzungsbedarf abverlangen. Über Dokumentationspflichten gem. Art. 28 sieht Art. 30 vor, dass der Verantwortliche und der Auftragsdatenverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen muss. Von der Verpflichtung ausgenommen sind Unternehmen mit weniger als 250 Mitarbeitern; dies aber nur, wenn keine »kritischen« Datenverarbeitungen vorgenommen werden und die Datenverarbeitungen nur »gelegentlich« erfolgen. Diese Ausnahme wird daher wohl nur in Ausnahmefällen eingreifen können

Unternehmen müssen mögliche Datenschutzverletzungen unverzüglich und binnen 72 Stunden nach Kenntniserlangung an die Aufsichtsbehörde melden, Art. 33. Gegenüber der bisherigen Rechtslage (§ 42a BDSG) ist dies eine wesentliche Verschärfung, da nun die Verletzung des Schutzes personenbezogener Daten ausreicht.

Die neue eingeführte Datenschutzfolgenabschätzung hat wie die bisherige Vorabkontrolle (vgl. § 4d Abs. 5 BDSG) die Risikobewertung zum Gegenstand. Nach Art. 35 muss diese vor der Datenverarbeitung erfolgen, da bei einer hohen Risikoannahme der Datenverarbeitung eine vorherige Konsultation der Aufsichtsbehörde erforderlich ist, Art. 36.

Hinweis der Redaktion: Teil 2 des Beitrags in PUBLICUS 2018.1 setzt den Überblick über wichtige Praxisänderungen 2018 fort. Teil 3 informiert über die Aufsichtsbehörden.