DSGVO – Wichtige Änderungen für Unternehmen im Überblick

• IN

Keine zwölf Monate mehr, dann führt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) zu wesentlichen Veränderungen bei allen Unternehmen, die Daten verarbeiten. Schon lange werden Daten nicht nur aus Marketingerwägungen, sondern auch aus Gründen der Unternehmenssicherheit produziert.

Erhöhte Sicherheit für Unternehmen, sei es bei der Erstellung von Bewegungsprofilen, Tracking-Systemen oder der IT-Security stehen mitunter im Widerspruch zum Grundgedanken der DSGVO. Die Europäische Union droht bei Verstößen gegen die DSGVO mit hohen Bußgeldern. Nicht nur Unternehmen, wie facebook, drohen Strafen von über 1 Milliarde Euro. Wir informieren hier über die für Unternehmen wichtigsten Bestimmungen der Datenschutz-Grundverordnung.

DSGVO – Zweck und Ziele, Inkrafttreten, Aufsichtsbehörden

Die DSGVO ist Bestandteil einer Datenschutzreform, die von der EU-Kommission im Januar 2012 präsentiert wurde. Die Datenschutz-Grundverordnung ersetzt die 1995 erlassene europäische Datenschutzrichtlinie 95/46/EG. Das bisher geltende Bundesdatenschutzgesetz wird durch die DSGVO weitgehend ersetzt.

Die DSGVO bezweckt den europaweit einheitlichen Schutz der Grundrechte natürlicher Personen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und dem freien Daten-Verkehr (Artikel 1 DGSVO). Zugleich soll die Datenschutz-Grundverordnung den freien Datenverkehr innerhalb der EU sicherstellen. Zu diesem Zweck werden die Ansprüche von Personen, deren Grundrechte von der Verarbeitung personenbezogener Daten betroffen sind, sowie die Rechtspflichten derjenigen Stellen, die personenbezogene Daten speichern, durch die Datenschutz-Grundverordnung präzise beschrieben.

Zwar gilt die DSGVO bereits seit dem 24. Mai 2016, doch wurde eine zweijährige Übergangsphase bis zum Eintritt der Rechtsverbindlichkeit der einzelnen Vorschriften vereinbart, um den betroffenen Unternehmen und Behörden einen ausreichenden Zeitraum für die Umsetzung der Verordnung einzuräumen (Artikel 99 DSGVO). Nach der zweijährigen Übergangsphase gilt der Verbraucherschutz durch die DSGVO auch hinsichtlich der bereits früher gespeicherten personenbezogenen Daten.

Die Bestimmungen der Datenschutz-Grundverordnung treten daher am 25. Mai 2018 in allen Mitgliedsstaaten der Europäischen Union als unmittelbar geltendes nationales Recht in Kraft. Der Bundestag musste nicht unbedingt ein Gesetz zur Umsetzung der Grundverordnung in nationales Recht verabschieden. Allerdings machte der Bundestag durch ein Überleitungsgesetz von „Öffnungsklauseln“ in verschiedenen Teilbereichen der DSGVO Gebrauch und nutzte damit Spielräume für individuelle Ausgestaltungen des nationalen Datenschutzrechts.

Für Unternehmen, die innerhalb der Europäischen Union grenzüberschreitend Daten verarbeiten, bringt das in Artikel 56 Absatz 1 DSGVO verankerte „One-Stop-Shop“-Prinzip eine Arbeitserleichterung. Künftig ist allein die für die Hauptniederlassung eines Unternehmens zuständige nationale Aufsichtsbehörde federführender Ansprechpartner in Datenschutzfragen.

Datenschutz-Grundverordnung: Anwendungsbereich, Schutzziele und Grundsätze der Datenverarbeitung

Artikel 2 DSGVO regelt den sachlichen Anwendungsbereich der Datenschutz-Verordnung. Danach gilt die neue Rechtsvorschrift für die „ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.

Artikel 3 DSGVO enthält Bestimmungen zum räumlichen Anwendungsbereich. Die DSGVO gilt für alle im EU-Binnenmarkt tätigen Unternehmen (Marktortprinzip). Unerheblich ist der Ort der Datenverarbeitung.

Die Verordnung gilt auch bei der Verarbeitung von Daten von in der Europäischen Union befindlichen Personen, wenn die Datenverarbeitung durch eine NICHT in der EU ansässige Stelle erfolgt,

  • die Waren oder Dienstleistungen in der EU anbietet oder
  • das Verhalten von Personen in der Europäischen Union beobachtet.

Artikel 32 Absatz 1 Ziffer b DSGVO benennt vier Schutzziele:

  • die Nicht-Zugänglichkeit von Daten für Dritte (Vertraulichkeit)
  • die Nicht-Verfälschbarkeit von Daten (Integrität)
  • die dauerhafte Verfügbarkeit von Daten
  • die Belastbarkeit von Systemen und Diensten

Artikel 5 DSGVO legt die Grundsätze fest, nach denen die Verarbeitung personenbezogener Daten erfolgen muss:

  • rechtmäßig, nach Treu und Glauben und in einem für die von der Datenspeicherung betroffenen Personen transparenten Verfahren
  • unter Einhaltung einer festgelegten und eindeutigen Zweckbindung
  • eine entsprechend dem festgelegten Zweck beschränkte Datenverarbeitung (Datenminimierung)
  • die Speicherung sachlich richtiger und auf dem neuesten Stand befindlicher personenbezogener Daten; unrichtige Daten müssen gelöscht werden
  • eine Speicherung, die eine Identifizierung der betroffenen Person nur so lange ermöglicht, wie es dem Datenverarbeitungszweck entsprechend erforderlich ist sowie
  • eine Verarbeitung, die die Sicherheit der personenbezogenen Daten gewährleistet.
  • Zudem muss der für die Datenverarbeitung Verantwortliche die Einhaltung dieser Grundsätze nachweisen können.

Begriffsbestimmungen: Verantwortlicher, Auftragsverarbeiter, Datenschutzbeauftragter und EU-Vertreter

Die Datenschutz-Grundverordnung definiert für die IT-Security wichtige, von Unternehmen zu benennende Funktionsträger, die für die Datenverarbeitung verantwortlich sind oder die das Unternehmen gegenüber den Datenschutzbehörden repräsentieren.

Verantwortlicher ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle“, die über Verarbeitungszwecke und Verarbeitungsmittel entscheidet (Artikel 4 Nr. 7 DSGVO). Der Verantwortliche muss die Schutz von Daten gemäß Artikel 5 Absatz 2 DSGVO gewährleisten und gegenüber der zuständigen Datenschutzbehörde nachweisen (Rechenschaftspflicht). Auftragsverarbeiter ist eine Stelle, die im Auftrag eines Verantwortlichen Daten verarbeitet (Artikel 4 Nr. 8 und Artikel 28 DSGVO).

Mit der DSGVO wird erstmals eine europaweite Pflicht zur Bestellung von unternehmensinternen Datenschutzbeauftragten unter den in Artikel 37 DSGVO genannten Voraussetzungen eingeführt.

Gemäß Artikel 38 Absatz 1 DSVGO müssen Verantwortliche und Auftragsverarbeiter sicherstellen, dass die Datenschutzbeauftragten „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten eingebunden sind“.

Unternehmen, die nicht über einen Firmensitz innerhalb der Europäischen Union verfügen, müssen einen „EU-Vertreter“ bestimmen, der als Ansprechpartner der dem jeweiligen Innenministerium zugeordneten Landesdatenschutzbehörden und zudem als Verbindungsstelle zu dem außerhalb der EU residierenden Unternehmen fungieren soll (Artikel 27 DSGVO).

DSGVO–Rechtspflichten, denen Unternehmen unterliegen

Die Unternehmen werden durch die DSGVO verpflichtet,

  • technische Vorkehrungen für den Datenschutz zu treffen („data protection by design“),
  • datenschutzfreundliche Voreinstellungen vorzunehmen („data protection by default“).
  • einer erweiterten Pflicht zur Datenschutz-Folgenabschätzung nachzukommen,
  • organisatorische und technische Maßnahmen zu ergreifen, die dem Datenschutz dienlich sind.

Die veränderten Vorgaben zur Datensicherheit sind in verschiedenen Regelungen der DSGVO enthalten, insbesondere in Artikel 32 DSGVO zur „Sicherheit der Verarbeitung“.

Artikel 32 der DSVGO verpflichtet Unternehmen, die personenbezogene Daten verarbeiten, zum Ergreifen „geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau gewährleisten“.

Das Schutzniveau ergibt sich aus der Schutzbedürftigkeit der jeweiligen personenbezogenen Daten. Zur Feststellung und Einordnung des Schutzbedarfs der jeweiligen Daten hat sich eine Kategorisierung z. B. nach dem „Standard 100-2“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bewährt (BSI-Schutzkategorien: „normal“, „hoch“ und „sehr hoch“).

Die Angemessenheit des Schutzniveaus ergibt sich auf Grundlage folgernder Kriterien:

  • Stand der Technik,
  • Implementierungskosten,
  • Verarbeitungszweck und
  • Schwere sowie Eintrittswahrscheinlichkeit eines Risikos für die Rechte natürlicher Personen.

Der Begriff „Stand der Technik“ wird nicht ausdrücklich in der DSGVO definiert. Als Stand der Technik werden jedoch im Allgemeinen solche technischen Maßnahmen verstanden, die aktuell verfügbar sind und die sich außerdem im praktischen Einsatz bewährt haben. Neu entwickelte und noch nicht erprobte Techniken gehören also (noch) nicht zum Stand der Technik.

Die Bewertung von Risiko-Schwere und Eintrittswahrscheinlichkeit erfordert die Durchführung einer „Risikoinventur“, die sich auf alle möglichen Schwachstellen und Bedrohungen für die „Rechte und Freiheiten natürlicher Personen“ bezieht.

Zu den Maßnahmen, die der Verarbeitungssicherheit dienen, gehört die „Pseudonymisierung und Verschlüsselung personenbezogener Daten“ (Artikel 32 Absatz 1 Ziffer a DSGVO). Weitere konkrete Maßnahmen zählt der Referentenentwurf zum deutschen Ausführungsgesetz zur Datenschutz-Grundverordnung auf:

  • Datenträgerkontrolle
  • Speicherkontrolle
  • Verfügbarkeitskontrolle
  • Zugangskontrolle
  • Benutzerkontrolle
  • Eingabekontrolle
  • Übertragungskontrolle
  • Transportkontrolle
  • Datenintegrität
  • Auftragskontrolle

Die Ergebnisse der Risikobewertung fließen auch in die Datenschutz-Folgeabschätzung ein, die gemäß Artikel 35 DSGVO erforderlich ist, wenn eine Datenverarbeitung (insbesondere bei Einsatz neuer Technologien) nach Art, Umfang, Umständen oder Verarbeitungszweck „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat. Eine danach notwendige Datenschutz-Folgeabschätzung ist vom Verantwortlichen „vorab“ durchzuführen. Dabei muss sich der Verantwortliche vom Datenschutzbeauftragten beraten lassen. Sollte die Datenschutz-Folgeabschätzung ergeben, dass mit einer Datenverarbeitung ein hohes Risiko verbunden ist, so muss der Verantwortliche die Datenschutzbehörde konsultieren – es sei denn, der Verantwortliche trifft Maßnahmen zur Risiko-Eindämmung (Artikel 36 DSGVO).

Artikel 25 DSGVO enthält erweiterte Anforderungen an den technischen und organisatorischen Daten-Schutz.

  • „Data protection by design“ (technischer Datenschutz) bedeutet die Einbeziehung von Überlegungen zur Datensicherheit bereits in der Planungs- und Entwicklungsphase von IT-Systemen. IT-Security soll nicht erst nach der Installation von IT-Systemen beginnen. Vielmehr sollen schon bei der Herstellung von IT-Systemen alle Möglichkeiten zur Deaktivierung von Funktionen, zur Anonymisierung und Pseudonymisierung sowie zur Authentifizierung und Verschlüsselung genutzt werden.
  • „Data protection by default“ zielt auf eine datenschutzfreundliche Voreinstellung von IT-Systemen, um sicherzustellen, dass nur solche personenbezogenen Daten verarbeitet werden, die für den vorgesehenen Zweck benötigt werden. Hinter dieser Vorschrift steht die Erkenntnis, dass zahlreiche Nutzer nicht über die erforderlichen IT-Kenntnisse verfügen, um technische Einstellungen zum Schutz personenbezogener Daten vornehmen zu können. Adressaten von Data protection by default sind sowohl die für die Datenverarbeitung Verantwortlichen als auch System- und Produkt-Entwickler.

Außerdem fordert die Europäische Union die rasche Wiederherstellbarkeit personenbezogener Daten nach technischen Zwischenfällen (Artikel 32 Absatz 1 Ziffer c DSGVO). Um diese Anforderung zu erfüllen, bedarf es eines Notfall-Managements einschließlich von Notfallplänen und Handlungsanweisungen (Leitfäden) sowie regelmäßiger Tests der Verfahren zur Daten-Wiederherstellung.

Zu den Pflichten von Verantwortlichen und Auftragsverarbeitern gehört insbesondere auch die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten ihres Zuständigkeitsbereichs (Artikel 30 DSGVO). Bei einem Verstoß gegen die Datensicherheit, bei dem Unberechtigte vermutlich oder nachweislich Kenntnis über personenbezogene Daten erhalten haben (Data Breach, Datenpanne) gilt ab Mai 2018 eine verschärfte Meldepflicht an Aufsichtsbehörden (Artikel 33 DSGVO) und an Betroffene (Artikel 34 DSGVO). Verantwortliche sind zur Dokumentation aller Datenschutz-Verletzungen verpflichtet (Art 33 Absatz 5 DSGVO).

Künftig ist jede Datenschutzverletzung, die mit einem Risiko für die Rechte und Freiheiten natürlicher Personen verbunden ist, unmittelbar nach Kenntniserlangung an die Aufsichtsbehörde zu melden. Eine Data Breach Notification erhalten Betroffene grundsätzlich bei Vorliegen eines hohen Risikos.

Empfehlungen für die Umsetzung

Zur Umsetzung der geforderten Datenverarbeitungssicherheit (Artikel 32 DSGVO) wird nachfolgende Vorgehensweise empfohlen:

  • Etablierung eines unternehmensinternen Managements für Daten- und Informationssicherheit
  • Identifizierung des Schutzbedarfs für personenbezogene Daten
  • Bewertung der Datenschutz-Risiken
  • Festlegung und Umsetzung technischer und organisatorischer Maßnahmen
  • Dokumentationen und Nachweise zur Erfüllung der Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO

Die Datenschutz-Grundverordnung führt zu einer erheblichen Ausweitung der Informationspflichten von Unternehmen gegenüber den von einer Datenverarbeitung Betroffenen. In den Artikeln 13 und 14 DSGVO werden die Informationspflichten des Verantwortlichen detailliert dargestellt – unterschieden danach, ob die personenbezogenen Daten direkt oder nicht direkt bei dem Betroffenen erhoben werden.

Bei der Erhebung personenbezogener Daten ist der Betroffene zu informieren über

  • den Namen und die Kontaktdaten des Verantwortlichen
  • den Namen und die Kontaktdaten des Vertreters eines Verantwortlichen („EU-Vertreter“, Artikel 27 DSGVO), falls der Verantwortliche seinen Sitz nicht in der Europäischen Union hat,
  • die Kontaktdaten des vom Verantwortlichen bestellten Datenschutzbeauftragten,
  • der Verarbeitungszweck und dessen Rechtsgrundlage,
  • das Vorliegen eines (eventuell erforderlichen) berechtigten Interesses,
  • den Empfänger personenbezogener Daten (bei Übermittlung von Daten an Dritte),
  • die Sicherstellung eines angemessenen Datenschutzniveaus (bei Übermittlung von Daten in Drittstaaten),
  • die konkrete Zeitdauer der Datenspeicherung (falls dies nicht möglich ist: Kriterien, aus denen sich die Speicherdauer ergibt),
  • die Rechte, die Betroffenen zustehen (Auskunft, Berichtigung, Einschränkung der Datenverarbeitung, Widerspruch, Löschung, Berichtigung und Datenübertragbarkeit, Artikel 15 bis 21 DSGVO),
  • das Recht auf Beschwerde bei der Datenschutzbehörde, die gewöhnlich dem Innenministerium des jeweiligen Bundeslandes unterstellt ist (Artikel 77 DSGVO),
  • eine eventuelle vertragliche oder gesetzliche Verpflichtung zur Datenbereitstellung sowie
  • Tragweite und Auswirkungen von Datenspeicherungen im Rahmen automatisierter Entscheidungsfindungen.

Betroffene besitzen ein Auskunftsrecht nach Artikel 15 DSGVO, das sich u. a. auf folgende Informationen bezieht:

  • Verarbeitungszweck
  • die verarbeiteten Daten-Kategorien
  • Empfänger personenbezogener Daten und
  • vorgesehene Zeitdauer der Datenspeicherung.

Das Recht auf Datenberichtigung (Artikel 16 DSGVO) verschafft Betroffenen einen Anspruch auf Korrektur unrichtiger personenbezogener Daten. Betroffene verfügen darüber hinaus unter bestimmten Voraussetzungen über ein Recht auf Datenlöschung („Recht auf Vergessenwerden“).

Unternehmen sind gemäß Artikel 17 DSGVO zur unverzüglichen Datenlöschung verpflichtet, wenn

  • gespeicherte Daten für den Zweck, für den sie verarbeitet wurden, nicht mehr erforderlich sind,
  • ein Betroffener seine Einwilligung zur Datenverarbeitung widerruft und auch keine anderweitige Rechtsgrundlage für die Datenverarbeitung vorliegt,
  • der Betroffene der Verarbeitung widerspricht und für die Datenverarbeitung auch keine vorgehenden berechtigten Interessen vorliegen,
  • die Datenverarbeitung unrechtmäßig erfolgte,
  • die Datenlöschung aufgrund einer Rechtsverpflichtung nach EU-Recht oder nach dem Recht eines Mitgliedsstaates erforderlich ist oder
  • die Daten von Kindern im Zusammenhang mit Internetangeboten erhoben wurden.

Artikel 20 DSGVO räumt Betroffenen das Recht ein, die von ihnen gespeicherten Daten zu erhalten und einem anderen Verantwortlichen zu übermitteln. Betroffene Personen können jederzeit gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einlegen (Artikel 21 DSGVO).

Die Rechtsfolgen bei Verstößen gegen die DSGVO

Bei einem Verstoß gegen Rechtspflichten aus der DSGVO drohen je nach Art des Verstoßes Geldbußen bis zu zehn oder 20 Millionen Euro bzw. bis zu zwei oder vier Prozent des Jahresumsatzes eines Unternehmens. Die höhere Summe (absoluter Betrag oder Prozentbetrag) wird zur Bußgeld-Berechnung herangezogen (Artikel 83 Absätze 3 und 4 DSGVO). Die einzelnen EU-Mitgliedsstaaten werden durch eine Öffnungsklausel ermächtigt, weitergehende Strafmaßnahmen einzuführen (Artikel 85 DSGVO).

Ist einer betroffenen Person durch einen Regelverstoß ein Schaden materieller oder immaterieller Art entstanden, so hat der Betroffene einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter (Artikel 82 Absatz 1 DSGVO). Unternehmen mit Firmensitz außerhalb der Europäischen Union erhalten nur bei Einhaltung der Bestimmungen der DSGVO einen Marktzugang zur Europäischen Union.

Die zahlreichen neuen Bestimmungen zur IT-Security dienen dem Verbraucherschutz, bedeuten aber für Unternehmen einen erheblichen Umsetzungsaufwand. Daher sollten Unternehmen die verbleibende Übergangszeit bis zum Inkrafttreten der Datenschutz-Grundverordnung im Mai 2018 unbedingt intensiv nutzen, um die notwendigen Prozesse rechtzeitig effizient zu implementieren. Nur so lassen sich Datenpannen rasch erkennen, Meldepflichten zeitnah erfüllen und ansonsten drohende hohe Bußgelder vermeiden.

Quellen/weiterführende Links:

http://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf?__blob=publicationFile&v=7

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1002.pdf?__blob=publicationFile

https://www.lda.bayern.de/media/baylda_ds-gvo_1_security

http://www.datensicherheit.de/aktuelles/eu-dsgvo-neue-eu-datenschutzregeln-ab-2018-25990