Die wichtigsten Grundsätze / Regelungen

Transparenz- und Informationspflichten, Art 12 f.

Durch die DSGVO sind die Anforderungen an die Informationspflichten, wenn personenbezogene Daten beim Betroffenen erhoben werden, gestiegen. Zu den bekannten Informationspflichten wie Identität der verantwortlichen Stelle, Zweckbestimmung und Kategorien von Empfänger, kommen zusätzlich Informationen wie

  • Kontaktdaten des Verantwortlichen samt Stellvertretung
  • Kontaktdaten des Datenschutzbeauftragten
  • Berechtigte Interessen des Verantwortlichen
  • Übermittlungsabsicht an ein Drittland oder eine internationale Organisation (und die damit verbundene Angemessenheitsentscheidung der Kommission)
  • Dauer der Speicherung
  • Rechte des Betroffenen wie Auskunft, Löschung, Berichtigung, Einschränkung und Widerrufsrecht, Beschwerderecht bei einer Aufsichtsbehörde, Erforderlichkeit
  • der Bereitstellung der Daten
  • Beim Profiling aussagekräftige Informationen über die Logik und Tragweite der angestrebten Auswirkungen.
Rechtmäßigkeit der Verarbeitung, Art. 5 f.

Nach wie vor ist eine Verarbeitung personenbezogener Daten nur rechtmäßig, wenn eine Einwilligung für einen oder mehrere Zwecke vorliegt, die Verarbeitung aufgrund eines Vertrages (oder vorvertragliche Maßnahmen) erforderlich ist, eine gesetzliche Grundlage vorliegt oder ein berechtigtes Interesse der verantwortlichen Stelle oder eines Dritten die Verarbeitung der personenbezogenen Daten erforderlich macht. Eine Datenverarbeitung kann dabei nicht auf eine gesetzliche Grundlage eines Drittstaates gestützt werden. Die hohen Voraussetzungen (Freiwilligkeit, verständliche Form, einfache Sprache), sind nach wie vor zu beachten. Die Schriftform wird nicht explizit gefordert, jedoch kann aus dem Umkehrschluss, dass eine Dokumentation der Einwilligung vorgehalten werden muss, darauf geschlossen werden, dass eine schriftliche Einwilligung empfehlenswert ist. Wie auch in der Vergangenheit wird der Betroffene ein Recht auf Widerruf seiner Einwilligung für die Zukunft haben. Dieser muss so einfach wie die Erteilung der Einwilligung möglich sein – ein Widerruf auf „demselben“ Weg wie die Einwilligung ist grundsätzlich hierzu nicht herauszulesen. Das bislang geltende „Koppelungsverbot“ gilt auch nach der DSGVO; der Vertragsschluss oder die Erbringung einer Dienstleistung darf also nicht von der Einwilligung des Betroffenen abhängig gemacht werden, wenn die Datenverarbeitung, für die der Betroffene seine Einwilligung erteilen soll, nicht für die Erfüllung des Vertrages erforderlich ist. Sonderregelungen gibt es für die Einwilligung eines Kindes (siehe Abschnitt 1.3). Die Verarbeitung von sensiblen Daten ist grundsätzlich untersagt, außer es liegt eine Einwilligung des Betroffenen vor.

Einwilligung eines Kindes, Art. 8

Neu ist die Aufnahme der Einwilligungsvoraussetzungen eines Kindes. Diese ist nach der DSGVO nur dann rechtmäßig, wenn das Kind das 16. Lebensjahr vollendet hat oder die Zustimmung der Eltern für die Datenverarbeitung erteilt wird.

Profiling

Die DSGVO hat den Begriff des „Profilings“ eingeführt. Unter „Profiling“ versteht man jede Art der automatisierten Verarbeitung personenbezogener Daten, die darauf abzielt, dass die Daten verwendet werden, um bestimmte persönliche Aspekte eines Betroffenen zu bewerten, zu analysieren oder vorherzusagen. Durch die DSGVO erhält jeder Betroffene das Recht, nicht ausschließlich einer solchen (auf einer automatisierten Verarbeitung beruhenden) Entscheidung unterworfen zu werden, wenn diese rechtlichen Wirkungen entfalten oder den Betroffenen in einer ähnlicher Weise erheblich beinträchtigen kann. Deshalb sind verantwortliche Stellen verpflichtet, geeignete Maßnahmen zu treffen, um die Rechte und Freiheiten sowie die berechtigten Interessen der Betroffenen zu wahren. Die Mindestforderung beinhaltet das Recht auf Eingreifen einer Person, auf Darlegung des eigenen Standpunktes und auf Anfechtung der Entscheidung.

Werbliche Ansprache und Direktmarketing, Art 6 Abs. 1 f.

Die DSGVO sieht eine allgemeine Interessensabwägung zwischen den berechtigten Interessen des Unternehmens und den Interessen bzw. Grundrechten des Betroffenen (Beworbenen) vor. Ausweislich der Erwägungsgründe der DSGVO ist die Verarbeitung personenbezogener Daten zum Zwecke des Direktmarketings nun als ein berechtigtes Interesse eines Unternehmens zu betrachten.

Weiterverarbeitung, Art. 6

Der Grundsatz der Zweckbindung hat auch in der DSGVO Einzug gefunden. Die Verordnung unterscheidet zwischen einer Erstverarbeitung und einer Weiterverarbeitung. Eine Weiterverarbeitung ist demnach nur dann zulässig, wenn sie mit dem ursprünglich festgelegten, eindeutigen und rechtmäßigen Zweck, weshalb die Daten erhoben worden sind, vereinbar ist. Dies wird als „Kompatibilitätsprüfung“ bezeichnet, da festgestellt werden muss, ob der ursprüngliche Zweck der Erstverarbeitung auch mit dem Zweck der Weiterverarbeitung kompatibel ist.

Recht auf Löschung („Vergessenwerden“), Art. 17

Auch mit Geltung der DSGVO ändert sich nichts an der gesetzlichen Vorgabe, dass personenbezogene Daten auch weiterhin im Fall des Zweckwegfalls zu löschen sind, wenn keine anderweitige Rechtsgrundlage eine weiterführende Verarbeitung rechtfertigen kann. Neu hingegen ist eine speziell geregelte Löschverpflichtung für personenbezogene Daten von Kindern (bis zur Vollendung des 16. Lebensjahres). Des Weiteren müssen Unternehmen zukünftig einer neuen Handlungsverpflichtung in den Fällen nachkommen, in denen sie personenbezogene Daten „öffentlich“ gemacht haben. Unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten angemessener Maßnahmen müssen Unternehmen zukünftig andere Unternehmen darüber informieren, dass der Betroffene die Löschung aller Links, Kopien und Replikationen der Daten verlangt.

Recht auf Datenübertragbarkeit, Art. 20

Die DSGVO verpflichtet Unternehmen, die Daten eines Betroffenen, die dieser dem Unternehmen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zurückzugeben. Diese Daten sind auf Wunsch des Betroffenen auch direkt an ein anderes Unternehmen zu übermitteln, soweit dies technisch machbar ist. Das Ende heterogener, unternehmensspezifischer Dateiformate europäischer Unternehmen ist damit zumindest auf dem Papier eingeläutet.

Verantwortung des für die Verarbeitung Verantwortlichen, Art. 24

Der für die Verarbeitung Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu treffen, um sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit der DSGVO verarbeitet werden. Dabei muss eine Überprüfung und ggf. Aktualisierung der technischen und organisatorischen Maßnahmen erfolgen. Höhere Hürden sind: Der für die Verarbeitung Verantwortliche muss im Vorfeld die Eintrittswahrscheinlichkeit und Schwere der Risiken für die persönlichen Rechte und Freiheiten der Betroffenen festlegen. Zudem muss er einen Nachweis dafür erbringen, dass personenbezogene Daten in Übereinstimmung mit der Verordnung verarbeitet werden. Es ist demnach eine (dokumentierte) Risikobetrachtung erforderlich, die anhand einer objektiven Bewertung beurteilt, welchen Risiken die Datenverarbeitung ausgesetzt ist und wie hoch das jeweilige Risiko eingeschätzt wird. Dabei können Ursache, Art, Eintrittswahrscheinlichkeit und Schwere als Kriterien herangezogen werden. Spannend dürfte in diesem Zusammenhang sein, ob diese Risiken bzw. deren Eintrittsfall überhaupt erkannt werden (z. B. Cyberangriff).

Datenschutzfreundliche Voreinstellung, Art. 25

Unternehmen sind zu datenschutzfreundlichen Voreinstellungen verpflichtet. Sie müssen sowohl zum Zeitpunkt der Konzeption wie auch der eigentlichen Datenverarbeitung geeignete technische und organisatorische Maßnahmen vorsehen, so dass durch entsprechende Voreinstellungen grundsätzlich nur personenbezogene Daten verarbeitet werden, die für den Verarbeitungszweck erforderlich sind. Diese Verpflichtung erfasst sowohl die Menge der erhobenen personenbezogenen Daten, wie auch den Umfang ihrer Verarbeitung, deren Speicherfrist und Zugänglichkeit.

Auftragsverarbeitung, Art. 28 und gemeinsame Verantwortliche, Art. 26

Mit der DSGVO müssen Betriebe künftig umdenken, da aus der bekannten Auftragsdatenverarbeitung nunmehr die „Auftragsverarbeitung“ wird. Viele der Anforderungen, die 2009 mit der Gesetzesnovellierung eingeführt wurden, finden sich auch in der DSGVO wieder. Neu ist jedoch die ausdrückliche Forderung nach Garantien auf Seiten des Auftragsverarbeiters. Auch die Möglichkeit, den bislang schriftlich abzuschließenden Vertrag zukünftig elektronisch abschließen zu können, ist eine Änderung, die die DSGVO mit sich bringt. Der gesetzliche Anforderungskatalog an die zu treffenden inhaltlichen Regelungen fordert neue, über das heute in Deutschland bekannte Maß hinausgehende inhaltliche Absprachen. Daneben bringt die DSGVO eine „neue Form“ der arbeitsteiligen Zusammenarbeit zweier verantwortlicher Stellen. Auch wenn diese Art der Zusammenarbeit längst in der bisherigen Datenschutzrichtlinie angelegt war, hat sie es bis heute in dieser Klarheit nicht in das deutsche Bundesdatenschutzgesetz geschafft. Zukünftig können verantwortliche Stellen auch ohne Weisungserfordernis gemeinschaftlich Zusammenarbeiten, wenn sie die gemeinsamen Zwecke und die Verarbeitungsmittel gemeinsam vorgelagert festlegen. Die Vereinbarung muss in transparenter Form erfolgen und Auskunft darüber geben, welcher verantwortlichen Stelle welche Aufgabe obliegt. Dabei muss vor allem auf die Informationspflichten sowie die Realisierung der Wahrnehmung der Rechte der Betroffenen eingegangen werden.

Benachrichtigungspflichten bei Datenschutzverstößen, Art. 33

Was bislang als Fall des § 42a BDSG bekannt war und eine Informationspflicht bei unrechtmäßiger Kenntniserlangung bestimmter personenbezogenen Daten nach sich gezogen hat, wird auch in der DSGVO geregelt. Es besteht eine Benachrichtigungspflicht des Betroffenen, wenn dessen personenbezogene Daten verletzt werden und voraussichtlich zu einem Risiko für die Rechte und Freiheiten des Betroffenen führen. Der Betroffene muss ohne unangemessene Verzögerung und in klarer und einfacher Sprache über die Art der Verletzung, den Namen und die Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen, eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten, sowie eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Eindämmung ihrer möglichen nachteiligen Auswirkungen informiert werden. Neu ist, dass der Verantwortliche innerhalb von 72 Stunden nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde hierüber eine Meldung abgeben muss, die wiederum bestimmte Voraussetzungen erfüllen muss.

Sicherheit der Verarbeitung, Art. 32

Der risikobasierende Ansatz der DSGVO verpflichtet Unternehmen auch zukünftig zur Umsetzung von geeigneten technischen und organisatorischen Maßnahmen, mit denen ein dem Risiko angemessenes Schutzniveau gewährleistet wird. Hierbei sind nicht nur der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und der Verarbeitungszweck der personenbezogenen Daten zu berücksichtigen, sondern auch die Eintrittswahrscheinlichkeit des Risikos und die Schwere eines solchen Risikos für die Betroffenenrechte sind maßgebend. Die DSGVO fordert explizit den technischen Einsatz von Pseudonymisierung und Verschlüsselung. Ferner müssen Vorkehrungen hinsichtlich der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme getroffen werden. Unternehmen haben die rasche Wiederherstellung des Zugangs zu Daten im Fall eines physischen oder technischen Zwischenfalls genauso sicherzustellen, wie sie Regelprozesse etablieren müssen, um regelmäßig eine Bewertung und Evaluierung der Wirksamkeit bestehender technischer und organisatorischer Maßnahmen vorzunehmen.

Datenschutz-Folgenabschätzung, Art. 35

Die zukünftige Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung ist neu, bzw. zumindest als umfassende Weiterentwicklung der bislang bekannten Vorabkontrolle zu verstehen. Sie war immer dann durchzuführen, wenn die angedachten Datenverarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufgewiesen haben. In Zukunft betrifft diese Verpflichtung alle Datenverarbeitungen und den gesamten Lebenszyklus der Datenverarbeitung. Insbesondere trifft dies bei der Verwendung neuer Technologien zu, die aufgrund der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen zur Folge haben. Die neue Datenschutz-Folgenabschätzung bedarf einer systematischen Beschreibung der geplanten Verarbeitungsvorgänge und der Verarbeitungszwecke, gegebenenfalls einschließlich der vom Unternehmen verfolgten berechtigten Interessen, einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck, sowie einer Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen.

Aufgaben und Pflichten des Datenschutzbeauftragten, Art. 37 ff.

Die DSGVO stellt es den Mitgliedstaaten – von einigen wenigen Ausnahmen abgesehen – hinsichtlich privatwirtschaftlicher Unternehmen frei, ob zukünftig die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht. Nach aktuellem Diskussionsstand wird zumindest in Deutschland diese Verpflichtung Bestand haben. Ist ein Datenschutzbeauftragter zu bestellen, so finden sich zahlreiche heute in Deutschland bereits geregelte Ansätze wieder. Der Datenschutzbeauftragte ist weisungsfrei, darf nicht abberufen oder benachteiligt werden und er ist der unmittelbar höchsten Managementebene zu unterstellen. Zu seinen Aufgaben zählt die Unterrichtung und Beratung des Unternehmens. Neu ist jedoch die Pflicht zur Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften sowie der Strategie des Unternehmens einschließlich der Zuweisung von Zuständigkeiten. Dies stellt eine ganz wesentliche Erweiterung des bislang bekannten Aufgaben- und Pflichtenbereichs eines Datenschutzbeauftragten dar.

Zertifizierung, Art. 42

Datenschutzspezifische Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen werden mit In-Krafttreten der DSGVO von großer Bedeutung sein. Sie sollen einen Nachweis dafür geben, dass die Verordnung eingehalten wird. Diese Formulierung in der DSGVO hätte allerdings zur Folge, dass tatsächlich bescheinigt werden müsste, dass sämtliche Regelungen der Verordnung eingehalten werden. Inwieweit hierzu noch Regelungsbedarf nötig ist und nach welchen Kriterien solche Zertifizierungen vergeben werden, ist noch unklar. Eine Zertifizierung durch akkreditierte Zertifizierungsstellen oder durch die zuständige Aufsichtsbehörde wird anhand genehmigter Kriterien erteilt werden.

Internationale Datenübermittlung, Art. 44 ff.

Für eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation gilt wie bislang auch: Wurde durch die Kommission festgestellt, dass ein angemessenes Schutzniveau gegeben ist, ist eine Datenübermittlung ohne besondere Genehmigung möglich. Sollte ein angemessenes Schutzniveau nicht vorliegen, können die bekannten Instrumente wie Standardvertragsklauseln, Binding Corporate Rules oder die Einwilligung des Betroffenen herangezogen werden. Gerade hinsichtlich der Binding Corporate Rules ist begrüßenswert, dass die entsprechenden Voraussetzungen in der DSGVO nunmehr aufgelistet sind. Insgesamt wurden die Entscheidungsgrundsätze des Safe Harbor-Urteils vom Oktober 2015 mit in die DSGVO aufgenommen.

Haftung und Recht auf Schadensersatz, Art. 82

Die heutigen Regelungen des Bundesdatenschutzgesetzes verpflichten Unternehmen zum Schadensersatz, wenn dem Betroffenen aufgrund einer unzulässigen oder unrichtigen Datenverarbeitung ein materieller Schaden entstanden ist. Dies gilt zumindest immer dann, wenn die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt nicht beachtet hat. Die DSGVO erweitert die Haftungsverantwortlichkeit eines jeden Unternehmens und verpflichtet ergänzend auch im Fall von rein moralischen Schäden zur Schadensersatzpflicht. Zukünftig wird nicht mehr nur überprüft werden, ob ein Schaden tatsächlich in der vorgeworfenen Datenverarbeitung seine Ursache gefunden hat, sondern ob die Datenverarbeitung einer zu erwartenden sachgerechten Datenverarbeitung entsprochen hat. Damit steigt das potentielle Haftungsrisiko eines jeden Unternehmens.

Haftungserstreckung auf ausländische Unternehmen, Art. 3

Die Haftung der DSGVO trifft nun mehr auch ausländische Unternehmen, selbst wenn diese keine Filiale in einem Mitgliedstaat der Europäischen Union unterhalten (sog. Marktortprinzip). Für diese Haftungserstreckung ist lediglich erforderlich, dass die Datenverarbeitung dazu dient, Unionsbürgern Waren oder Dienstleistungen anzubieten bzw. deren Verhalten zu beobachten, soweit dieses Verhalten in der Europäischen Union erfolgt. Damit haftet neben Facebook, Google und Co. Zukünftig jeder Warenverkäufer und Diensteerbringer, sofern er sich mit seinem Angebot in einer Sprache der Europäischen Union an Unionsbürger richtet.

Bußgelder und Sanktionen, Art. 83 ff.

Die DSGVO bringt vor allem in diesem Kontext einschneidende Neuerungen. Bereits der Gesetzestext legt den Aufsichtsbehörden die Verpflichtung auf, zukünftig „abschreckende“ Bußgeldhöhen zu verhängen. Damit sind die Zeiten, in denen Bußgelder eingepreist oder ignoriert werden konnten, in der Zukunft vorbei. Der Bußgeldrahmen der DSGVO beläuft sich je nach Schwere des Verstoßes auf 10.000.000 Euro bzw. 20.000.000 Euro oder im Fall eines Unternehmens auf bis zu 2 % bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes des vorgelagerten Geschäftsjahres.