EU-Datenschutz-Grundverordnung


Nach langen und auch zähen Verhandlungen erfolgte zum Ende des Jahres 2015 die Einigung auf eine EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese wird zu einer Vereinheitlichung europäischen Datenschutzrechtes führen. Während bislang durch nationale Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie doch erhebliche Unterschiede bestanden, wird die Datenschutz-Grundverordnung direkt geltendes Recht in allen Mitgliedsstaaten sein. 
 
  
Ziele und Grundsätze
Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO).
Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.
Die Datenschutz-Grundverordnung wird das europäische Datenschutzrecht nicht völlig umwälzen, weist aber eine Reihe von in der Praxis erheblichen Änderungen auf. Wir werden in einer Reihe von Fachbeiträgen die zu erwartenden Änderungen und Auswirkungen auf die Praxis darstellen. Folgende Beiträge sind erschienen:
 
Rechte aus der EU-DSGVO
Die EU-Datenschutz-Grundverordnung bringt einige Neuerungen für das Datenschutzrecht mit sich. Diese betreffen nicht nur Unternehmen sondern auch den einzelnen Bürger. Zumindest dann, wenn es um die Rechte der Betroffenen einer Verarbeitung personenbezogener Daten geht. Mit der aktuellen Fassung der Datenschutz-Grundverordnung wird der Gesetzgeber die Rechte der Betroffenen grundsätzlich stärken und weitet diese in manchen Bereichen sogar aus. Vor allem die neuen Transparenz- und Informationspflichten der Unternehmen führen zu einem deutlich stärkeren Schutz der Betroffenen, als die aktuell geltenden Regelungen des Bundesdatenschutzgesetzes.
 
Beschäftigtendatenschutz
Schon seit Jahren ist der Arbeitnehmerdatenschutz immer wieder im Gespräch der Öffentlichkeit. Bereits im Jahre 2010 stellte die Bundesregierung ein Gesetzesentwurf zum Beschäftigtendatenschutz vor. Nach jahrelangen Verhandlungen kam das Vorhaben aber Anfang 2013 zum Erliegen. Die Reform des Arbeitnehmerdatenschutzes wurde aufgrund der geplanten EU-DSGVO und einer Erweiterung des BDSG vorerst ausgesetzt. Im Jahre 2014 wurde das Thema wurde erneut im Koalitionsvertrag der Großen Koalition aufgegriffen, welcher vereinbarte, den Beschäftigtendatenschutz gesetzlich zu regeln. Das Thema Arbeitnehmerdatenschutzgesetz ist mit der kommenden Verabschiedung der Verordnung wieder aktuell. 
 
Pflichten für Unternehmen
Die Datenschutz-Grundverordnung statuiert neben altbekannten Pflichten auch neue Anforderungen für Unternehmen im Bereich Datenschutz. Eine positive Neuerung ist z.B. die Pflicht zu verbraucher- und datenschutzfreundlichen Voreinstellungen bei elektronischen Geräten. Allerdings werden andere Pflichten zu einem deutlichen Mehraufwand seitens der Unternehmen führen. Die Pflicht zur Datenschutz-Folgenabschätzung sowie die sich daran anschließende Konsultation der zuständigen Aufsichtsbehörde wird zu einem vermehrten Maß an Bürokratie führen. 
 
Internationale Datentransfers ins Ausland
Der Transfer von personenbezogenen Daten in Staaten außerhalb der EU/des EWA (sogenannten Drittstaaten) ist problematisch. Dies ist im Rahmen der Richtlinie 95/46/EG (Datenschutz-Richtlinie) der Fall und wird auch mit Inkrafttreten der Datenschutz-Grundverordnung so bleiben. Grund hierfür ist die Annahme, dass in Drittstaaten generell kein angemessenes Datenschutzniveau herrscht. Eine Ausnahme besteht dann, wenn die EU-Kommission für den betreffenden Staat ein solches festgestellt hat. Dementsprechend werden Datentransfers in Drittstaaten auch weiterhin nur zulässig sein, wenn zusätzliche Sicherheitsmechanismen dazu beitragen ein angemessenes Datenschutzniveau zu gewährleisten oder ein solches verbindlich festgestellt wurde.
 
Neues zur Videoüberwachung
Mit der Anwendbarkeit der EU-DSGVO ändert sich auch die Zulässigkeit einer Videoüberwachung. Eine explizite Regelung zur Zulässigkeit von Videoüberwachung ist dort nicht enthalten. Lediglich in dem Artikel zur Notwendigkeit einer sog. „Datenschutz-Folgenabschätzung“ wird das Thema Videoüberwachung erwähnt. Dies impliziert eine deutliche Veränderung zur bisherigen Rechtslage in Deutschland.
 
Auftragsdatenverarbeitung
In Deutschland definiert sich die Auftragsdatenverarbeitung als durch einen Auftragnehmer auf Weisung eines Auftraggebers, bei dem die Verantwortung für die ordnungsgemäße Datenverarbeitung verbleibt. Ob eine Auftragsdatenverarbeitung in der Praxis vorliegt, richtet sich ausschließlich nach rechtlichen Vorgaben und kann nicht vertraglich festgelegt werden. Daher ist es wichtig deren Voraussetzungen zu kennen. In der Datenschutz-Grundverordnung werden diese nun erstmals europaweit einheitlich geregelt. Obwohl sich die neuen Regelungen inhaltlich an dem bekannten § 11 BDSG orientieren und diesen im Prinzip auf ein europäisches Level heben, sind einige Unterschiede zu beachten.
 
Die Rolle der Aufsichtsbehörden
Mit der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) ändert sich nicht nur die gesetzliche Ausgestaltung des Datenschutzrechts. Auch Aufgaben, Zuständigkeit und Befugnisse der Aufsichtsbehörden wurden überarbeitet. Daraus ergeben sich für die praktische Handhabung des Datenschutzes ganz neue Chancen.
 
Anforderungen an eine Einwilligung
Die Einwilligung in die Verarbeitung seiner personenbezogenen Daten durch den Betroffenen ist seit jeher zentraler Bestandteil des Datenschutzrechts. Aufgrund des Grundrechts der informationellen Selbstbestimmung kann jeder Bürger für sich entscheiden, wer welche Informationen über ihn erhält. Aktuell sind die Voraussetzungen für eine rechtsgültige Einwilligung in die Verarbeitung personenbezogener Daten durch § 4a BDSG und für den Bereich der elektronischen Medien zusätzlich durch § 13 Abs. 2 Telemediengesetz (TMG). Durch die Einführung der Datenschutz-Grundverordnung werden diese Voraussetzungen ergänzt.
 
Datenschutz-Vertreter für Unternehmen
Bislang wenig beachtet wird durch die EU-DSGVO auch ein neues Rechtsinstitut eingeführt: der EU-Vertreter bzw. Vertreter in der Union. Seine Existenz hängt eng mit dem durch die EU-DSGVO neu eingeführten Marktortprinzip zusammen. Alle Unternehmen, die keine Niederlassung in der EU unterhalten, aber Personen in der Union Waren oder Dienstleistungen anbieten oder ihr Verhalten – z.B. durch „Tracking“ oder „Profiling“ – beobachten, müssen grundsätzlich einen EU-Vertreter bestellen. Dieser soll insbesondere als Anlaufstelle und Ansprechpartner für Aufsichtsbehörden und betroffene Personen dienen und stellt damit das Bindeglied zwischen diesen und dem in einem Drittland niedergelassenen datenverarbeitenden Unternehmen dar.
 
Betrieblicher Datenschutzbeauftragter
Das Modell Datenschutzbeauftragter ist in Deutschland seit langem bekannt und viele Unternehmen müssen bereits jetzt einen Datenschutzbeauftragten bestellen. Mit Inkrafttreten der Datenschutz-Grundverordnung wird eine solche Pflicht auch erstmals europaweit für Unternehmen, deren Tätigkeit einer besonderen Kontrolle bedarf, eingeführt. Durch die Öffnungsklauseln können die Länder zwar nationale Sonderregelungen für die Bestellung eines betrieblichen Datenschutzbeauftragten schaffen. Nichtsdestotrotz gelten daneben die Anforderungen der Datenschutz-Grundverordnung, welche sich an einige Stellen vom Bundesdatenschutzgesetz unterscheiden und daher zwangsläufig eine Veränderung herbeiführen werden.
 
Informationspflichten
Die Datenschutz-Grundverordnung führt für Unternehmen und Verantwortlichen eine Reihe von neuen Informationspflichten ein. Dabei ändert sich im Vergleich zu den bisherigen Vorschriften des Telemedien- und Bundesdatenschutzgesetz einiges an den Anforderungen. Denn der europäische Gesetzgeber verfolgt das Ziel, dem Grundsatz der fairen und transparenten Datenverarbeitung gerecht zu werden. Die Betroffenen Nutzer sollen zukünftig besser in der Lage sein, eine Datenerhebung, -verarbeitung oder -nutzung, anhand den zur Verfügung gestellten Informationen, zu überprüfen.
 
Datenschutz-Folgenabschätzung
Dass es eine gute Idee ist, eine Abschätzung der Folgen vor dem Einsatz einer bestimmten Technologie durchzuführen, hat sich bereits in den 1960er Jahre in den Bereichen Gesundheit und Umwelt durchgesetzt. Mit der Datenschutz-Grundverordnung hat der europäische Gesetzgeber diese Überlegung aufgegriffen. Fortan sind Unternehmen unter bestimmten Voraussetzungen verpflichtet eine Datenschutz-Folgenabschätzung vorzunehmen. Diese ähnelt stark der aus dem BDSG bekannten Vorabkontrolle. Aber der Text der DSGVO lässt weitgehend offen, wie und nach welchen Kriterien eine Datenschutz-Folgenabschätzung durchzuführen ist.
 
Verzeichnis von Verarbeitungstätigkeiten
Mit der Datenschutz-Grundverordnung muss ein Unternehmen nach Art. 30 DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten führen. Dies ist nur eine von mehreren, neuen Vorgaben zur Dokumentationspflicht. Bei der Einhaltung aller gesetzlichen Vorgaben wird das Verzeichnis aber eine tragende Rolle spielen. Denn es enthält eine Dokumentation und Übersicht über alle eingesetzten Verfahren, bei denen personenbezogene Daten verarbeitet werden.
 
Das Recht auf Vergessen werden
Das Bundesdatenschutzgesetz enthält ein Recht auf Berichtung, Sperrung und Löschung. Dieses Recht auf Löschung wird in der Datenschutz-Grundverordnung um das Recht auf Vergessen werden erweitert. Dadurch ändern sich die gesetzlichen Anforderungen zwar nicht grundlegend, dennoch sind einige Unterschiede zu beachten. So enthält die Verordnung beispielsweise zusätzliche Pflichten für Unternehmen und schränkt die Ausnahmetatbestände der Löschpflicht ein.
 
Grundsätze für die Verarbeitung personenbezogener Daten
Die Datenschutz-Grundverordnung verpflichtet Verantwortliche gewisse, allgemeine Grundsätze bei der Verarbeitung personenbezogener Daten einzuhalten. Zudem muss dies dokumentiert werden. Die Grundsätze stellen die Spielregeln dar, welche bei jeglicher Verarbeitung von personenbezogenen Daten zu beachten sind. Daher eignen sich diese auch als Auslegungshilfe für die restlichen Artikel der Datenschutz-Grundverordnung. Es ist daher von Vorteil, die einzelnen Vorgaben bei Inkrafttreten der DSGVO zu kennen.