Inhaltsverzeichnis
Kurz und bündig
- Die DSGVO harmonisiert seit dem 25. Mai 2018 die rechtlichen Vorgaben zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen in Europa. Verschiedene Öffnungsklauseln erlauben indes länderspezifische Regelungen.
- Die DSGVO erlegt Unternehmen umfangreiche Pflichten auf, wie Meldepflichten, Rechenschaftspflichten, Sicherstellung der Datensicherheit und Umsetzung von Betroffenenrechten. Gleichzeitig stärkt die DSGVO die Verbraucherrechte.
- Ein Verstoß gegen die DSGVO kann im schlimmsten Fall mit bis zu 20 Millionen Euro Geldbuße oder bis zu 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Wert am Ende höher ausfällt) geahndet werden.
- Zusätzlich gewährt die DSGVO Schadensersatzansprüche für materielle und immaterielle Schäden, die Personen aufgrund einer Verletzung von Regelungen aus der DSGVO entstehen.
Vereinheitlichung des Datenschutzes in Europa
Die DSGVO trat unter dem etwas sperrigen Namen „Verordnung (EU) 2016/679“ schon am 24. Mai 2016 in Kraft. Dies geschah in der öffentlichen Wahrnehmung nahezu unbemerkt, da die DSGVO aufgrund einer Umsetzungsfrist (bzw. Schonfrist) erst ab dem 25. Mai 2018 unmittelbar anzuwenden war. Die DSGVO enthält Bestimmungen zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Daneben enthält sie 173 Erwägungsgründe, welche die jeweiligen Artikel näher erläutern und bei der Auslegung helfen sollen. Die DSGVO dient der Vereinheitlichung des Datenschutzrechts. Erklärtes Ziel ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zugleich die Gewährleistung des freien Verkehrs solcher Daten (Art. 1 Abs. 1 DSGVO). Diese beiden Regelungsziele sind gewissermaßen die Spannungspole des Datenschutzrechts.
Nach Erwägungsgrund 9 der DSGVO konnte die Richtlinie 95/46/EG nicht verhindern, dass der Datenschutz in Europa unterschiedlich gehandhabt wurde, was zum einen zu einem unterschiedlichen Schutzniveau für die Rechte und Freiheiten natürlicher Personen führte und zum anderen ein potentielles Hemmnis für den freien Warenaustausch und Wirtschaftsverkehr war. Die DSGVO schafft in Europa nun einen einheitlichen Rechtsrahmen. Sie enthält jedoch insgesamt über 60 Öffnungsklauseln, die es den Mitgliedsstaaten erlauben, bereichsspezifische eigene Regelungen zu treffen. Wichtige Öffnungsklauseln, von der Deutschland Gebrauch gemacht hat, ist die Regelung zum Beschäftigtendatenschutz gem. § 26 BDSG und die zusätzlichen Regelungen zur Pflicht der Benennung eines Datenschutzbeauftragten gem. § 38 BDSG.
Was schützt die DSGVO und wann gilt sie?
Nach Art. 1 Abs. 2 DSGVO schützt die DSGVO die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Dieser Schutz gilt jedoch nicht universell, denn der Anwendungsbereich der DSGVO ist sowohl sachlich als auch räumlich beschränkt. Die sachliche Beschränkung legt fest, bei welchen Tätigkeiten die DSGVO nicht zur Anwendung kommt. Der räumliche Anwendungsbereich bestimmt hingegen, in welchen geografischen Konstellationen die DSGVO zur Anwendung kommen kann.
Sachlicher Anwendungsbereich
Sachlich ist die DSGVO gemäß Art. 2 Abs. 1 DSGVO nur anwendbar für die
„ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.
Diese sperrige Beschreibung umfasst im Wesentlichen alle Verarbeitungen personenbezogener Daten durch eine elektronische Datenverarbeitung (Computer, Scanner, Digitalkameras, Smartphones) oder sortierte analoge Datensammlungen (wie etwa ein sortiertes Aktenregal). Nicht erfasst werden nur unsortierte analoge Datensammlung (z.B. unsortierte Zettelhaufen), Datenverarbeitung durch Privatpersonen im ausschließlich persönlich-familiären Bereich (die sogenannte sog. „Haushaltsausnahme“, die etwa bei privaten Videoaufnahmen greift) oder Datenverarbeitung zur Verfolgung von Straftaten und zur Strafvollstreckung.
Eine Besonderheit findet sich im Beschäftigtendatenschutz, denn gem. § 26 Abs. 7 BDSG gelten die datenschutzrechtlichen Bestimmungen dort auch für Daten die in keinem Dateisystem gespeichert wurden. Da die DSGVO nur personenbezogene Daten schützt, fällt aber die Verarbeitung von Unternehmensdaten, etwa rein juristischer Personen, grundsätzlich nicht unter die DSGVO.
Räumlicher Anwendungsbereich
Beim räumlichen Anwendungsbereich kann im Wesentlichen zwischen zwei Sachverhalten unterschieden werden, bei denen die DSGVO-Regelungen beachtet werden müssen:
Befindet sich der Sitz oder eine Niederlassung des (für die Verarbeitung) Verantwortlichen oder eines Auftragsverarbeiters in der europäischen Union, gilt für die Verarbeitung die DSGVO, unabhängig davon, ob die personenbezogenen Daten in Europa oder außerhalb verarbeitet werden (sog. Sitz- und Niederlassungsprinzip).
Daneben gilt die DSGVO auch für Unternehmen, die gänzlich in einem Drittland sitzen, soweit sie Bürgern in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten verfolgen (sog. Marktortprinzip). Hierdurch soll sichergestellt werden, dass außerhalb der EU ansässige Unternehmen den gleichen hohen Datenschutzstandards unterliegen wie heimische Unternehmen.
Datenschutzrechtliche Grundsätze der DSGVO
Die Grundsätze im Einzelnen
Bei den datenschutzrechtlichen Grundsätzen handelt es sich nicht lediglich um unverbindliche Programmsätze. Verstöße gegen datenschutzrechtliche Grundsätze können vielmehr nach Art. 83 Abs. 5 lit. a DSGVO mit dem nach der DSGVO maximalen Bußgeld geahndet werden.
Unternehmen sollten daher ihre Mitarbeiter mit den Grundsätzen der Datenverarbeitung vertraut machen.
Zu diesen Grundsätzen gehören insbesondere:
- Die Rechtmäßigkeit der Verarbeitung
- Verarbeitung nach Treu und Glauben (d.h. Fairness der Verarbeitung)
- Transparenz der Verarbeitung
- Zweckbindung (d.h. keine anlasslose Vorratsdatenspeicherung)
- Datenminimierung
- Richtigkeit der Daten
- Speicherbegrenzung
- Integrität und Vertraulichkeit der Datenverarbeitung
Diese Datenschutzgrundsätze stehen in keinem Rangverhältnis, sondern stehen gleichrangig nebeneinander. Trotzdem möchten wir hier insbesondere auf den Grundsatz der Transparenz hinweisen. Dieser Grundsatz zieht sich wie ein roter Faden durch die gesamte DSGVO. So sind die betroffenen Personen bei jeder Datenerhebung über Art und Umfang der Datenverarbeitung umfassend zu informieren. Zudem steht ihnen ein Auskunftsrecht hinsichtlich des „ob“ und des Umfangs der Verarbeitung ihrer personenbezogenen Daten zu (Art. 15 DSGVO). Eine transparente Verarbeitung kann zudem im Rahmen einer Interessenabwägung zwischen den berechtigten Interessen des Verantwortlichen und den schutzwürdigen Interessen der betroffenen Personen (Art. 6 Abs. 1 lit. f DSGVO) der ausschlaggebende Aspekt sein, aufgrund dessen eine Verarbeitung zulässig ist. Unternehmen sollten daher das Transparenzgebot ernstnehmen, da sie dann regelmäßig deutlich weniger Probleme bei der Umsetzung der gesetzlichen Vorgaben der DSGVO haben als Unternehmen, die intransparent agieren.
Das sog. Accountability-Prinzip
Im Datenschutzrecht gilt gewissermaßen eine Beweislastumkehr zu Lasten des Verantwortlichen. Dies beruht auf der „Rechenschaftspflicht“ aus Art. 5 Abs. 2, wonach der Verantwortlichen in der Lage sein muss, die Einhaltung der Datenschutzgrundsätze nachweisen zu können. Die Rechenschaftspflichten haben für Unternehmen nicht nur organisatorische, sondern auch ganz praktische Auswirkungen: Können bei einer Anfrage der Datenschutzaufsichtsbehörde erforderliche Informationen aufgrund mangelhafter Dokumentation nicht zur Verfügung gestellt werden, kann dies gem. Art. 83 DSGVO mit einem Bußgeld geahndet werden.
Konkretisiert wird die Rechenschaftspflicht durch folgende Regelungen:
- Pflicht zur Herstellung von Datensicherheit (Art. 24, 32 DSGVO)
- Erstellung interner Strategien zur Einhaltung der DSGVO (Erwägungsgrund 78 S. 2)
- Führen von Verarbeitungsverzeichnissen (Art. 30 DSGVO)
- Ggf. Erstellung einer Datenschutz-Folgenabschätzung bei riskanten Datenverarbeitungen (Art. 35 DSGVO)
Eine lückenhafte Dokumentation der Datenverarbeitung kann zudem im Fall einer Schadensersatzklage, die auf einen materiellen oder immateriellen Schaden durch einen DSGVO-Verstoß beruht, verheerende Folgen haben: Gem. Art. 82 Abs. 3 DSGVO müssen Verantwortliche und Auftragsverarbeiter den Nachweis fehlenden Verschuldens führen. Durch eine nur lückenhafte oder im schlimmsten Fall nicht vorhandener Dokumentation wird ein solcher Nachweis nur schwerlich gelingen.
Die in der DSGVO normierten Datenschutzgrundsätze sind keine unverbindlichen Programmsätze, sondern für Unternehmen verpflichtend. Verstöße gegen Datenschutzgrundsätze werden mit dem höheren der beiden Bußgeldrahmen aus Art. 83 DSGVO belegt.
Im Datenschutzrecht gilt gewissermaßen eine Beweislastumkehr aufgrund der in Art. 5 Abs.2 DSGVO normierten Rechenschaftspflichten: Kommen Unternehmen diesen nicht nach, kann dies nicht zur zu einem Bußgeld durch die Datenschutzaufsichtsbehörde führen, sondern eine mangelnde Dokumentation verringert auch die Chance, sich erfolgreich gegen Schadensersatzansprüchen von Betroffenen zu wehren.
Dem datenschutzrechtlichen Transparenzgebot sollte besondere Beachtung geschenkt werden, da sich viele weitere Anforderungen aus der DSGVO direkt hieraus ableiten.
Welche weiteren Pflichten kommen auf Unternehmen zu?
Das datenschutzrechtliche Pflichten für Unternehmen gehen über die Umsetzung der Anforderungen aus Art. 5 DSGVO hinaus. Die DSGVO enthält eine Vielzahl weiterer Pflichten, die von Verantwortlichen und teilweise auch von Auftragsverarbeitern umgesetzt werden müssen.
Die Wichtigsten sind:
- Erfüllung von Informationspflichten gegenüber Betroffenen (Art. 12 ff. DSGVO)
- Beantwortung von Betroffenenanfragen (Art. 15 bis 21 DSGVO)
- Melde- und Benachrichtigungspflichten bei Datenschutzvorfällen (Art. 33, 34 DSGVO)
- Abschluss von Auftragsverarbeitungsverträgen (Art. 28, 29 DSGVO)
- Erstellung eines Löschkonzepts (Art. 5, 17 DSGVO)
- Herstellung eines angemessenen Datenschutzniveaus bei Datentransfer in ein Drittland (Art. 46 ff. DSGVO)
Unternehmen werden ohne die Einführung eines Datenschutzmanagements kaum in der Lage sein die erforderlichen datenschutzrechtlichen Maßnahmen umzusetzen, um datenschutzkonform zu agieren und das Haftungsrisiko zu minimieren.
Die DSGVO enthält umfangreiche Vorgaben und Anforderungen die eingehalten werden müssen, wenn personenbezogene Daten verarbeitet werden. Unternehmen sollten aufgrund der Fülle der Vorgaben ein effektives Datenschutzmanagement einführen.
Rechte der betroffenen Personen
Die DSGVO gibt betroffenen Personen umfassende Rechte an die Hand. Das sogenannte Auskunftsrecht gem. Art. 15 DSGVO ist ein zentrales Betroffenenrecht, welches auf Art. 8 Abs. 2 S.2 GRCh der Europäischen Grundrechte-Charta beruht. Als solches hat das Auskunftsrecht für die Geltendmachung weiterer Betroffenenrechte eine hohe Praxisrelevanz, da sie hierüber Informationen zur Geltendmachung ihrer weiteren Betroffenenrechte erhalten. Betroffenen Personen steht unter den jeweiligen gesetzlichen Voraussetzungen
- das Recht auf Berichtigung (Art. 16 DSGVO),
- das Recht auf Löschung (Art. 17 DSGVO),
- das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
- das Recht auf Widerspruch, welches insbesondere bei Werbewidersprüchen einschlägig ist (Art. 21 DSGVO)
- und das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) zu.
Daneben steht Betroffenen auch ein Beschwerderecht gegenüber Aufsichtsbehörden zu, wenn sie der Ansicht sind, dass eine Verarbeitung gegen die DSGVO verstößt (Art. 77 DSGVO). Auch gewährt die DSGVO den betroffenen Personen einen eigenen Schadensersatzanspruch (Art. 82 DSGVO). Unternehmen müssen unverzüglich, spätestens jedoch innerhalb einer Monatsfrist (Art. 12 Abs. 3 S. 1 DSGVO) Informationen zu Betroffenenanfragen zur Verfügung stellen.
Die nicht oder nicht fristgemäß erfolgte Beantwortung von Betroffenenanfragen ist eine der Hauptgründe für Beschwerden bei den Aufsichtsbehörden. Unternehmen sollten daher frühzeitig entsprechende Berichtslinien/Prozessen zu deren fristgemäßer Beantwortung etablieren.
Sanktionen und Bußgelder
Ein wesentlicher Teil der datenschutzrechtlichen Regelungen galt bereits vor Anwendbarkeit der DSGVO, jedoch ist eine wesentliche Neuerung der DSGVO die Erhöhung des Bußgeldrahmens. Die DSGVO unterscheidet grundsätzlich zwischen zwei Bußgeldrahmen:
Verstöße gegen bestimmte Vorschriften, wie etwa gegen die Grundsätze der Datenverarbeitung aus Art. 5 Abs. 1 DSGVO, können gem. Art. 83 Abs. 5 DSGVO mit Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden.
Der „kleinere“ Bußgeldrahmen nach Art. 83 Abs. 4 DSGVO sieht Geldbußen von bis zu 10 Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs vor. Dieser Bußgeldrahmen ist häufig einschlägig bei der Verletzung bestimmter Dokumentationspflichten, wie etwa bei fehlenden Verarbeitungsverzeichnissen, fehlenden oder fehlerhaften Aufträgen zur Auftragsverarbeitung oder Verträgen zur gemeinsamen Verantwortlichkeit.