Sehr umfangreich, sehr wichtig:Die Auswirkungen der neuen EU-Datenschutz-Grundverordnung

261 Seiten, 91 Artikel und 173 Erwägungsgründe: Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist ein Mammutwerk geworden. Das EU-Parlament hat die EU-DSGVO am 14. April 2016 beschlossen, nach einer Übergangszeit von zwei Jahren wird sie in ganz Europa verbindlich sein. Das Ziel: Die EU-DSGVO, die am 25. Mai in Kraft getreten ist, soll zu einer Vereinheitlichung des europäischen Datenschutzrechtes führen. Das Regelwerk ist deutlich umfangreicher als etwa das deutsche Bundesdatenschutzgesetz – Akteure aus allen Bereichen, die personenbezogene Daten erheben oder verarbeiten, sollten sich daher gut vorbereiten.

Europaweite Vereinheitlichung als Ziel

Bisher regelte jeder Staat den Datenschutz durch nationale Gesetzgebungen, die sich an der sogenannten EU-Datenschutzrichtlinie orientierten. Daher bestanden zwischen den einzelnen EU-Staaten bislang erhebliche Unterschiede in der Datenschutzgesetzgebung. Die EU-DSGVO hat dagegen unmittelbare Geltung in jedem EU-Mitgliedsstaat, wodurch Umsetzungsgesetze im nationalen Recht der Vergangenheit angehören – spätestens ab 2018, wenn der Anwendungsvorrang vor allen bisherigen nationalen Gesetzen gilt. Unterschiede in der Gesetzgebung wird es dann nur noch aufgrund der sogenannten Öffnungsklauseln geben, die die Möglichkeit bieten, bei bestimmten Punkten nationale Regeln vorzusehen.

Ziele der EU-DSGVO

Die Ziele der EU-Datenschutz-Grundverordnung sind der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Art. 1 Abs. 2 EU-DSGVO) sowie der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 EU-DSGVO). Diese Ziele sollen durch die in Art. 5 festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

Die EU-DSGVO weist in einigen Punkten erhebliche Änderungen zu der bisher gängigen Praxis auf. Der Datenschutz wird in Deutschland aktuell durch das Bundesdatenschutzgesetz (BDSG) und den einzelnen Landesdatenschutzgesetzen geregelt. Diese werden bis zum Inkrafttreten der EU-DSGVO im Mai 2018 angepasst werden müssen. Dabei wird es an vielen Stellen Änderungsbedarf geben, etwa bei:

• Auftragsdatenverarbeitung (EU-DSGVO Art. 28)
• Einwilligungen
• Informationen an betroffene Personen (EU-DSGVO Art. 13, 14, 15)
• Interne Dokumentation (EU-DSGVO Art. 30)
• Technisch organisatorische Maßnahmen (EU-DSGVO Art. 32)

Darüber hinaus gibt es in der EU-DSGVO neue Begriffe, neue Definitionen und neue Auslegungen – das betrifft auch bereits im BDSG verwendete Begriffe.

Neu: Erwägungsgründe und Akteure

Zwei wichtige Neuerungen, die bereits jetzt schon absehbar sind, sind die sogenannten „Erwägungsgründe“ und ein durch die EU-DSGVO neu geschaffener Akteur: der „gemeinsam Verantwortliche“ – dazu unten mehr.

Erwägungsgründe sind dabei übergeordnete Ziele, welche mit der Formulierung der EU-DSGVO erreicht werden sollen. Sie sind daher keine Rechtsnormen im engeren Sinne, aber dennoch verbindlich bei der Auslegung der 99 Artikel der EU-DSGVO zu Rate zu ziehen. Die EU-DSGVO formuliert 173 solcher Erwägungsgründe.

Die bereits aus dem Bundesdatenschutzgesetz bekannten Akteure (siehe BDSG §3) sind auch in der neuen EU-DSGVO, Art. 4 zu finden:

• die „betroffene Person“ (durch Daten identifizierbare natürliche Personen direkt oder indirekt, die insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann)
• der „Verantwortliche“ (natürliche oder juristische Person die über Verarbeitung personenbezogener Daten entscheidet)
• der „Auftragsverarbeiter“ (eine natürliche oder juristische Person, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet)
• der „Empfänger“ (eine natürliche oder juristische Person, der personenbezogene Daten offengelegt werden) und
• der „Dritte“ (eine natürliche oder juristische Person die (außer den oben genannten) befugt ist die personenbezogenen Daten zu verarbeiten)

Durch die EU-DSGVO wird zudem ein neuer Akteur geschaffen – der sogenannte „gemeinsam Verantwortliche“ (EU-DSGVO Art. 26). Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Wenn also zwei Akteure die gleiche Datenbasis verarbeiten, so sind diese gemeinsam verantwortlich. Geht das BDSG von zwei verantwortlichen Stellen bei derselben Datenverarbeitung aus, so knüpften sich hieran bisher keine besonderen datenschutzrechtlichen Pflichten. Mit der EU-DSGVO müssen Unternehmen auch in diesem besonderen Fall eine „kleine Vereinbarung zur Auftragsverarbeitung“ schließen.

Verschärfung des Sanktionsrahmens

Mit der EU-DSGVO wird zugleich der mögliche Sanktionsrahmen bei Verstößen gegen die Regelungen massiv verschärft (EU-DSGVO Art. 83). So sind beispielsweise bei Verstößen gegen Regelungen z.B. der Auftragsverarbeitung Sanktionen bis zu 10 Mio. Euro oder bis 2 Prozent des weltweiten Vorjahresumsatzes möglich. Verstöße gegen Anordnungen der Aufsichtsbehörde können mit bis zu 20 Mio. Euro oder bis 4 Prozent des weltweiten Jahresumsatzes geahndet werden.

Eins ist klar: Es wird sich durch die EU-DSGVO einiges im deutschen Datenschutzrecht ändern. Das genaue Ausmaß ist durch eine Vielzahl von möglichen Öffnungsklauseln in der EU-DSGVO aber noch nicht genau abzuschätzen.