Die EU-Datenschutzgrundverordnung (DSGVO)

Dieser Beitrag setzt den in PUBLICUS 2017.12 begonnenen Überblick zur EU-Datenschutzgrundverordnung (DSGVO) fort.

Rechtsänderungen durch die DSGVO
(Fortsetzung 1. – 6. aus PUBLICUS 2017.12)

7. Mitarbeiterdatenschutz

Der Mitarbeiterdatenschutz provoziert in der Praxis vielfach Meinungsverschiedenheiten. Die bisherige Regelung des § 32 BDSG zum Beschäftigtendatenschutz wird voraussichtlich als nationale Regelung weiter anwendbar bleiben. Die Mitgliedsstaaten können durch eine Öffnungsklausel (Art. 88), durch Rechtsverordnung oder Kollektivvereinbarungen spezifische Vorschriften festlegen. Bestehende Betriebsvereinbarungen müssen überprüft und ggf. angepasst werden im Hinblick auf ihre Vereinbarkeit mit der neuen Rechtslage.

8. Stärkung der individuellen Betroffenenrechte

Mit den Art. 12 ff. werden die Betroffenenrechte erheblich ausgeweitet, in Form von Informations- und Auskunftsrechten, dem Recht auf Vergessenwerden, der Datenübertragbarkeit sowie dem Widerspruchsrecht. So sind dem Betroffenen bei der Erhebung personenbezogener Daten Pflichtinformationen zur Verfügung zu stellen (Art. 13, Art. 14 Abs. 1). In der Praxis stellt sich die Herausforderung, die Informationen präzise, detailliert und transparent, aber auch in klarer und einfacher Sprache vorzuhalten. Die Auskunftsrechte werden erheblich ausgedehnt mit Art. 15. Ferner ist mit Art. 17 Abs. 2 das Recht auf Vergessenwerden vorgesehen und insbesondere bei Social-Media- und Suchmaschinen-Anbietern mit Informationspflichten belegt. Das neu geregelte Recht auf Datenübertragbarkeit folgt aus Art. 20 und wird gerade bei einem Accountwechsel des Social-Media-Anbieters relevant werden. Die Umsetzungen der Datenportabilität und -extraktion könnten dabei nicht unerheblichen Aufwand bereiten. Das Widerspruchsrecht (Art. 21) erfährt eine Aufwertung.

9. Neujustierung der Auftragsdatenverarbeitung (Auftragsverarbeitung)

Wesentlich verschärfte Vorgaben gibt es für die praxisrelevante Auftragsdatenverarbeitung, die jetzt Auftragsverarbeitung heißt (Art. 28). Nicht nur wie bisher der Auftraggeber, sondern nun auch der Auftragsverarbeiter kann dem Betroffenen für eine unzulässige Datenverarbeitung haften (Art. 82). Änderungen erfolgen bei der Vereinbarung von Auftragsvereinbarungen, weil dabei nun eine Datenweitergabe im rechtlichen Sinne vorliegt. Nach dem BDSG war dies nicht der Fall, weil der Auftragsverarbeiter der Sphäre der verantwortlichen Stelle zugerechnet wurde. Gerade bei Auslandsbeziehungen außerhalb der Union stellen sich wegen Art. 27 neue organisatorische Anforderungen durch „Vertreterbenennungen“.

Im Hinblick auf die Anforderungen von Auftragsverarbeitungsverträgen wird mit Art. 28 Abs. 3 ein dem bisherigen § 11 BDSG im Wesentlichen entsprechender Katalog vorgegeben. Insbesondere müssen die Sicherheitsmaßnahmen des Art. 32 erfüllt werden. Die bisherige Verpflichtung gemäß § 5 BDSG, die Mitarbeiter auf das Datengeheimnis zu verpflichten, wird zwar nicht eins zu eins übertragen, aber als allgemeine Organisationspflicht fortgelten. Gegenüber der bisherigen Rechtslage ist die Auftragsverarbeitung nicht mehr an die strenge Schriftform gekoppelt, sondern kann auch in Textform elektronisch vereinbart werden.

Als weitere Auftragsverarbeiter dürfen Subunternehmer nach Art. 28 Abs. 2 und 4 nur nach vorheriger schriftlicher Genehmigung des Verantwortlichen und unter Auferlegung organisatorisch-technischer Maßnahmen eingesetzt werden. Als neue Pflicht wird die Führung eines Auftragsverzeichnisses eingeführt (Art. 30 Abs. 2). Die Kommission kann EU-Standardvertragsklauseln zur Bestimmung eines rechtskonformen Auftragsverhältnisses festlegen (Art. 28 Abs. 4). Dies dürfte von großer Praxisrelevanz sein.

10. Datenübermittlung an Drittländer

In Bezug auf Datenübermittlungen ins Ausland werden grundlegende Standards festgelegt. Nach Art. 44 Satz 1 sind Datenübermittlungen nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die spezifische Regelung des Art. 44 über die Übermittlung personenbezogener Daten an Drittländer einhalten (1. Stufe) und auch die sonstigen Regelungen der DSGVO beachtet werden (2. Stufe). Nach Art. 45 Abs. 8 wird es eine Liste von Drittländern geben, für die durch Angemessenheitsbeschluss ein angemessenes Schutzniveau festgestellt wurde, was insbesondere auf dem Internetportal der Kommission veröffentlicht wird. Abzuwarten bleibt, ob Standardvertragsklauseln für einen Transfer von Daten in die USA eine valide Basis bleiben und wie sich die Bedeutung von Binding Corporate Rules (Art. 46, Art. 47) entwickeln wird. Zeigen wird sich auch, ob künftig ein Konzept à la Safe Harbour erarbeitet wird, um die gegenwärtigen Diskussionen zu „EU-US Privacy Shield“ an die Anforderungen der DSGVO gerade bei der staatlichen Überwachung anzupassen. Mit einem Angemessenheitsbeschluss der Kommission soll eine Rechtsgrundlage für den sicheren Datentransfer in die USA geschaffen werden (EU-US Privacy Shield).

11. Konzerndatenschutz

Konzerne können einen einheitlichen Konzerndatenschutzbeauftragten bestellen (Art. 37 Abs. 2). Als weitere Erleichterung können Corporate Binding Rules bei Auslandstransfers transparenter gefasst werden (Art. 47). Die DSGVO bringt aber kein echtes normatives Konzernprivileg. Gerade verbundene Unternehmen werden weiter eingeschränkt, da Konzernunternehmen als Dritte behandelt werden, indem jedes Unternehmen als externe Stelle qualifiziert wird. Demnach benötigt jede konzerninterne Datenübermittlung einer gesonderten Rechtfertigung für die Datenverarbeitung. Trotzdem ist dem Normgefüge ein kleines Konzernprivileg zu entnehmen für Unternehmensgruppen und Gruppen von Einrichtungen, die einer zentralen Stelle zugeordnet sind (vgl. Erwägungsgrund 48). So können Verantwortliche, die einer Unternehmensgruppe angehören, ein berechtigtes Interesse daran haben, personenbezogene Daten innerhalb der Gruppe für interne Verwaltungszwecke zu übermitteln. Mit anderen Worten: Ein Konzerndatentransfer und das Konzerninteresse können berechtigte Interessen darstellen.

Als Praxisfolge könnte die bisher verfolgte Umsetzung einer Auftragsdatenverarbeitung künftig durch Interessenabwägung nach Art. 4 Abs. 1 lit. f gelöst werden – es sei denn, ein Datentransfer soll in ein nicht sicheres Drittland erfolgen. In diesem Fall würden die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung weiter zum Tragen kommen. In der Praxis wird insbesondere die Übertragung von Arbeitnehmerdaten in den Fokus geraten bei konzernweiten HR-Softwarestrukturen, da hier Art. 9 (besonders sensible Daten) und Art. 4 Abs. 1 lit. f zu beachten sein werden.

12. Verhaltensregeln, Datenschutzaudit, Zertifizierungen, Akkreditierung

Mit der DSGVO erfährt die datenschutzrechtliche Selbstregulierung Aufwind durch Art. 40 ff. Das in Deutschland bis dato nicht populäre Datenschutzaudit dürfte künftig eine größere Rolle spielen. Ferner können Verbände und Vereinigungen Verhaltensregeln etablieren, die nach Genehmigung der Aufsichtsbehörden bzw. Durchführungsrechtsakten der Kommission verbindlich werden können (Art. 40 Abs. 3, Art. 83 Abs. 2 lit. j). Schließlich können von Zertifizierungsstellen Zertifizierungen implementiert werden nach Art. 43. Diese reduzieren nicht die Verantwortlichkeit des Verantwortlichen oder Auftragsverarbeiters, führen aber zu deutlichen Erleichterungen bei Datentransfers in Drittländer gemäß Art. 42 Abs. 2. Dazu kommt bei einer Zertifizierung eine positive Bewertung in Sanktionenverfahren nach Art. 83 Abs. 2 lit. j.

13. Datenschutzaufsicht

Die Datenschutzaufsicht wird mit Art. 50 ff. neu und umfänglich aufgestellt. So wird neben den Aufsichtsbehörden der „Europäische Datenschutzausschuss“ (Art. 68 ff.) als Nachfolger der Art. 29-Datenschutzgruppe positioniert, mit der Neuerung, dass dessen Stellungnahmen Verbindlichkeit zukommen wird. Bei Cross-Border-Themen gilt nach dem neuen One-Stop-Shop-Prinzip, dass eine einheitliche Anlaufstelle zuständig ist anstelle der bisherigen Überschneidungen bei Behördenzuständigkeiten (vgl. Art. 56). Die Aufsichtsbehörde, die für die Hauptniederlassung zuständig ist, wird als federführende Behörde agieren und zuständig sein. Den Aufsichtsbehörden werden erhebliche Zuständigkeiten und Befugnisse zugewiesen (Art. 57 Abs. 1 lit. a – v., Art. 58). Maßnahmenbefugnisse können von einfachen Warnungen und Einschränkungen über Verbote von Datenverarbeitungen bis hin zur Verhängung von sehr hohen Bußgeldern reichen. Abgesehen von der Kontrollfunktion werden die Aufsichtsbehörden auch als Berater der verantwortlichen Stellen fungieren.

Für die Aufsichtsbehörden sind Abläufe der Zusammenarbeit und Kohärenz definiert in Art. 60 ff. Für die in Deutschland föderal aufgestellten Behördenstrukturen mit den Landesdatenschutzbeauftragten wird insofern abzuwarten bleiben, ob beispielsweise die Bundesbeauftragte für den Datenschutz den Sitz im Europäischen Datenschutzausschuss erhält oder wer sonst. In Folge der EU-weiten Harmonisierung werden datenschutzrechtliche Streitthemen nach neuem Recht ganz überwiegend der Entscheidungskompetenz des EuGH zugeführt werden.

14. Haftung, Rechtsbehelfe, Sanktionen

Die Haftung der verantwortlichen Stelle und der Auftragsverarbeiter, die Rechtsbehelfe sowie Schadensersatzansprüche werden neu geregelt gemäß Art. 77 ff. Das neue Haftungsregime erfasst neben dem Verantwortlichen auch den Auftragsverarbeiter. Darüber hinaus können jetzt auch immaterielle Schäden geltend gemacht werden (Art. 82 Abs. 1). Nicht nur der unmittelbar Betroffene kann Schadensersatz verlangen, sondern sogar jede Person, der infolge des Datenschutzverstoßes ein materieller oder immaterieller Schaden entstanden ist.

Der Bußgeldrahmen nach neuem Recht wurde erheblich verschärft, da die Sanktionen wirksam, verhältnismäßig und abschreckend sein sollen. So sieht Art. 83 für Unternehmen Bußgelder von bis zu 20 Mio. € oder 4 % des globalen Umsatzes vor. Gegenüber der bisherigen Rechtslage (§ 43 BDSG) und Bußgeldern von max. 300.000,- € ist dies eine drastische Verschärfung. Art. 83 Abs. 2 enthält einen Katalog von Kriterien zur Bußgeldbemessung.

Handlungsempfehlungen, Haftungsvermeidung, Compliance

1. Datenschutzmanagement

Nicht nur der neue Bußgeldrahmen macht ein Datenschutzmanagement erforderlich. Die datenschutzrechtlichen Verantwortlichkeiten umfassen die wesentlichen Geschäftsprozesse und sind daher Sache der Geschäftsleitung. Das Etablieren einer angemessenen Datenschutzorganisation dient insofern nicht nur der Qualitätssicherung, sondern erleichtert auch die Transparenz, Unternehmenskommunikation und Exkulpation bei etwaiger Festsetzung von Sanktionen. Wenn das Unternehmen genehmigte Verhaltensregeln (Art. 40) oder genehmigte Zertifizierungsverfahren einhält (Art. 42), führt der dokumentierte Wille des Unternehmens zur rechtskonformen Umsetzung zum Belohnungseffekt. Bei besonders schwerwiegenden Datenschutzverstößen werden die Mitgliedsstaaten wohl die bestehenden Öffnungsklauseln ziehen und auch strafrechtliche Sanktionen auf nationaler Ebene einführen (Art. 84).

2. Einstellung auf Marktveränderungen und Planung der Anpassungsprozesse

Die DSGVO ringt Unternehmen erhebliche Datenschutz- und IT-Compliance-Anforderungen ab, indem insbesondere die neue Rechenschaftspflicht des Verantwortlichen über die Einhaltung der Verordnung (Art. 5 Abs. 2, Art. 24) sicherzustellen ist. Nach dieser materiell-rechtlichen Verpflichtung geht es um folgende Grundsätze:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit der Daten
• Speicherbegrenzung
• Integrität und Vertraulichkeit

Das Unternehmen hat den Nachweis zu erbringen, dass es die datenschutzrechtlichen Anforderungen umgesetzt hat. In Anlehnung an die Lehre des Qualitätsmanagements wird für die Praxis daher der Ansatz des PDCA-Zyklus empfohlen (Plan-Do-Check-Act), indem die Planung, der Betrieb, die Bewertung und die Verbesserung zur grundlegenden Vorgehensweise erklärt werden.

Ausblick

Aufgrund diverser Öffnungsklauseln und länderspezifischer Beurteilungen der Vorgaben wird die anvisierte volle europäische Harmonisierung des Datenschutzrechts nicht eintreten. Schon vor Inkrafttreten wird länderübergreifend der mit der Reform einhergehende Zwangsadministrations- und Compliance-Aufwand und Bürokratiestau bemängelt und vor überbordenden Abmahn- und Klagewellen gewarnt. Im Ergebnis bringt die DSGVO kartellrechtsartige Verschärfungen. Zur Vermeidung von Bußgeldzahlungen, die abschreckende Wirkungen haben sollen, von 20 Mio. € oder 4 % des Jahresumsatzes, werden Unternehmen wie im Kartellrecht, wo Bußgelder bis 10 % des Jahresumsatzes drohen können, entsprechende Compliance-Maßnahmen ergreifen müssen, um möglichst nicht angreifbar zu sein. Abmahn- und Klagewellen werden gleichwohl nicht ausbleiben, sondern der Juristerei eine Sonderkonjunktur bescheren.

Hinweis der Redaktion: Teil 3 des Beitrags wird sich mit den DSGVO-Aufsichtsbehörden befassen.