DSGVO – Wieso, weshalb, warum.

Ein Überblick über die Datenschutz-Grundverordnung.

Die Datenschutz-Grundverordnung des Europäischen Parlaments und des Rates ist bereits am 24. Mai 2016 in Kraft getreten, anzuwenden ist sie allerdings erst zwei Jahre später, ab 25. Mai 2018.

Warum kommt die DSGVO?
Durch die DSGVO soll das Datenschutzrecht der EU-Mitgliedsstaaten harmonisiert werden. Gleichzeitig räumt sie den Mitgliedsstaaten in bestimmten Punkten Regelungsspielräume ein. Dazu enthält die DSGVO sogenannte Öffnungsklauseln, wodurch die nationalen Gesetzgeber die Möglichkeit erhalten, die Vorgaben der Verordnung zu konkretisieren bzw. teilweise sogar Sondervorschriften vorzusehen.

Welche Datenarten gibt es?
Folgende Datenarten können unterschieden werden:

• Personenbezogene Daten: sämtliche Informationen über natürliche oder juristische Personen, deren Identität bestimmt oder bestimmbar ist (z.B. Name, Adresse, Geburtsdatum, Bankdaten)
• Indirekt personenbezogene Daten: verschlüsselte Daten, die mit rechtlich zulässigen Mitteln nicht bestimmt werden können
• Anonymisierte Daten: besitzen keinerlei Personenbezug
• Sensible Daten: Informationen über Religion, Gewerkschaftszugehörigkeit, politische Einstellung, biometrische Daten etc.

Schutzgegenstand der DSGVO sind personenbezogene Daten. Das sind nach der DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Einige wichtige Neuerungen der DSGVO sollen im Folgenden kurz dargestellt werden. Eine darüberhinausgehende, ausführliche Aufstellung der Änderungen finden Sie in unserem Artikel zum Thema Neuheiten der Datenschutz – Grundverordnung (DSGVO).


Höhere Strafen
Einen Grund, warum die DSGVO derzeit in aller Munde ist, stellen mit Sicherheit deren Sanktionsbestimmungen dar. Die DSGVO sieht Geldstrafen vor, die sich ihrer Höhe nach deutlich von jenen, die nach derzeit geltender Rechtslage verhängt werden können, abheben. Bestimmte Verstöße können mit Geldbußen von bis zu EUR 20 Mio. oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden. Andere Verstöße können mit Geldstrafen von bis zu EUR 10 Mio. oder 2% des gesamten weltweit erzielten Jahresumsatzes sanktioniert werden.

Erweiterte Rechte für Betroffene
Nach der Zielsetzung der DSGVO sollen betroffene Person über die Existenz des Verarbeitungsvorgangs und dessen Zwecke informiert werden. Eine faire und transparente Datenverarbeitung ist vom Verantwortlichen zu gewährleisten. Dies soll insbesondere durch folgende Vorgaben gewährleistet werden:

• Informationspflichten: Den für eine Datenverarbeitung Verantwortlichen treffen gegenüber den Betroffenen Informationspflichten, die im Vergleich zur derzeitigen Rechtslage erheblich erweitert wurden. Diese variieren abhängig davon, ob die personenbezogenen Daten direkt beim Betroffenen eingehoben werden oder ob diese von anderer Seite stammen. Danach richtet sich auch der Zeitpunkt, bis zu welchem den Informationspflichten entsprochen werden muss. Informationspflichten bestehen insbesondere bei der Erhebung von Daten aber auch beim Erhalt oder der Weitergabe von Daten.
• Auskunftsrecht: Der Betroffene hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, hat er ein Recht auf Auskunft, um welche personenbezogenen Daten es sich dabei handelt. Ein Auskunftsbegehren ist unverzüglich zu beantworten, spätestens aber innerhalb eines Monats. Im Verweigerungsfall besteht ein Beschwerderecht des Betroffenen bei der Datenschutzbehörde. Eine Auskunftsverweigerung ist nur unter bestimmten Umständen zulässig.
• Recht auf Löschung („Recht auf Vergessenwerden“): Betroffenen kommen erweiterte Rechte zu, die Löschung (sowie die Berichtigung) sie betreffender personenbezogener Daten zu fordern. Einem Löschungsanspruch haben Verantwortliche unverzüglich zu entsprechen. Für Verantwortliche kann damit ein erheblicher (administrativer) Mehraufwand verbunden sein, als im Löschungsfall eine Verpflichtung bestehen kann, andere diese Daten verarbeitende Verantwortliche über das Löschungsbegehren zu informieren.

Verstöße gegen die Betroffenenrechte können mit der oben genannten Maximalstrafe (Geldbußen von bis zu EUR 20 Mio oder bis zu 4% des weltweiten Jahresumsatzes) geahndet werden. Datenschutzrechtliche Compliance sollte daher (auch) in diesen Punkten höchste Priorität haben!

Verpflichtender Datenschutzbeauftragter?
Eine generelle Verpflichtung zur Bestellung eines Datenschutzbeauftragten sieht die DSGVO nicht vor; nur in bestimmten Fällen besteht eine Verpflichtung dazu: Unternehmen haben einen Datenschutzbeauftragten zu benennen, wenn ihre Kerntätigkeit in der Durchführung bestimmter Verarbeitungsvorgänge liegt. Wann von einer solchen Kerntätigkeit auszugehen ist, normiert die DSGVO nicht. Im Einzelfall können sich daher schwierige Abgrenzungsfragen stellen. Eine Klärung ist jedoch wesentlich: Bei Verstößen gegen die Bestimmungen der DSGVO über den Datenschutzbeauftragten können Geldbußen von bis zu EUR 10 Mio oder bis zu 2% des weltweiten erzielten Jahresumsatzes verhängt werden.

Ein Datenschutzbeauftragter ist nicht verantwortlicher Beauftragter im Sinne des Verwaltungsstrafgesetzes. Somit kann es trotz Bestellung eines Datenschutzbeauftragten zur (persönlichen) Haftung der nach außen vertretungsbefugten Organe (etwa: Geschäftsführer, Vorstand) für Datenschutzverletzungen kommen.

Datenschutz durch Technik („Privacy by design“) / Datensicherheit
Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass nur so viele Daten verarbeitet werden, wie es der konkrete Verarbeitungszweck erfordert; z.B. durch Verschlüsselung von personenbezogenen Daten und datenschutzfreundliche Voreinstellungen von Programmen. Datenverwendungen sind auf das notwendige Ausmaß zu reduzieren! Ebenso ist ein angemessenes Niveau an Datensicherheit zu gewährleisten. Diese Vorgaben werden bereits bei der Planung einer Datenverarbeitung bzw. bei der Produktentwicklung - auch in (IT)-technischer Hinsicht - zu berücksichtigen sein.
Verstöße gegen diese Vorgaben können mit Geldbußen von bis zu EUR 10. Mio bzw. bis zu 2% des gesamten weltweit erzielten Jahresumsatzes bestraft werden. Wurden technische und organisatorische Maßnahmen im obigen Sinn getroffen, kann dies bei einer dennoch verhängten Geldbuße strafmildernd in Anschlag gebracht werden, sodass auch vor diesem Hintergrund der Umsetzung von privacy by design und Datensicherheitsmaßnahmen wesentliche Bedeutung zukommt.

Pflichten bei einem Datenmissbrauch
Kommt es zu einer Datenpanne (Data Breach), die den Schutz personenbezogener Daten gefährdet, ist dieser Umstand unverzüglich, aber möglichst innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzbehörde zu melden. Die Meldung hat bestimmten inhaltlichen Erfordernissen zu entsprechen. Unter Umständen ist davon auch der Betroffene zu informieren. Fehler bei der Umsetzung dieser Melde- und Benachrichtigungspflichten können mit Geldbußen von bis zu EUR 10. Mio bzw. bis zu 2% des gesamten weltweit erzielten Jahresumsatzes geahndet werden. Deswegen sowie vor allem auch aufgrund des engen Zeitfensters scheint eine Vorbereitung auf den Ernstfall einer Datenpanne notwendig. Die Erstellung eines Musters einer Meldung könnte hilfreich sein.

Datenschutz - Folgenabschätzung
Gänzlich neu ist die Verpflichtung zur Vornahme einer Datenschutz-Folgeabschätzung. Eine solche ist dann erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Die Folgenabschätzung ist vorab durchzuführen und kann die Konsultation der Datenschutzbehörde erforderlich machen. Sie dient der Bewertung von Risiken und der möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Auch hier besteht eine Sanktionsmöglichkeit von bis zu EUR 10. Mio bzw. bis zu 2% des gesamten weltweit erzielten Jahresumsatzes.

Aufzeichnungspflichten
Neu ist weiters die Verpflichtung des Verantwortlichen (und des Auftragsverarbeiters), ein Verzeichnis über alle Datenverarbeitungstätigkeiten zu führen. Bisher waren Datenverarbeitungen dem Datenverarbeitungsregister (DVR) zu melden. Diese Verpflichtung zur externen Meldung entfällt. Die DSGVO bringt die Verpflichtung einer internen Aufzeichnungspflicht ("Verzeichnis von Verarbeitungstätigkeiten"). Inhaltlich orientiert sich die Aufzeichnungspflicht aber weitestgehend an der DVR-Meldung.
DVR-Meldungen, welche vor Gültigkeit der DSGVO bei der Datenschutzbehörde eingebracht werden, entbinden den für die Verarbeitung Verantwortlichen nicht von der Verpflichtung zum Führen einer internen Liste seiner Datenanwendungen.
Bei Verstößen gegen die Aufzeichnungspflicht sind Strafen von bis zu EUR 10 Mio bzw. 2% des weltweit erzielten Jahresumsatzes möglich.

Ausblick
Die Vorgaben der DSGVO sind umfangreich. Ebenso führt die DSGVO zu zahlreichen, grundlegenden Änderungen gegenüber der bisherigen Rechtslage. Der Änderungsbedarf ist daher gravierend. Die DSGVO bringt für Unternehmen zwar einen großen organisatorischen Aufwand, bedeutet für den Bürger jedoch einen wichtigen Schutz seiner Rechte in einer mehr und mehr digitalisierten Gegenwart und Zukunft.

Sie benötigen rechtlichen Rat zur DSGVO und anderen datenschutzrechtlichen Fragestellungen? Unsere auf Datenschutz spezialisierten Juristen stehen Ihnen gerne beratend zu Seite.

Die komplette Verordnung können Sie hier nachlesen.