Header pic

Datenschutz-Grundverordnung 2018 - Wichtige Zusammenfassung

https://www.rechtsanwalt-r.de/assets/image-cache/client/downloads/dsgvo-rechtsanwalt.d8596dc5.png

Die Datenschutz-Grundverordnung ist ein EU-weites vereinheitlichtes Datenschutzgesetz, welches zum Zeitpunkt 25.05.2018 sämtliche Datenschutzangelegenheiten in der EU regeln wird. Damit löst sie das alte Bundesdatenschutzgesetz (BDSG) ab.

Die DSGVO beinhaltet Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Zum einen soll der Schutz peronenbezogener Daten (im folgenden PD) innerhalb der EU sichergestellt, und zum anderen der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Inhalt:

  1. Aufbau der DSGVO
  2. Neuerungen der DSGVO
  3. Relevanzen für Unternehmensorgane
  4. Links und Quellen


Aufbau der DSGVO

Die DSGVO besteht aus 99 Artikeln in elf Kapiteln (siehe hier):

  • Kapitel 1 (Artikel 1 bis 4): Allgemeine Bestimmungen
  • Kapitel 2 (Artikel 5 bis 11): Grundsätze und Rechtmäßigkeit
  • Kapitel 3 (Artikel 12 bis 23): Rechte der betroffenen Person
  • Kapitel 4 (Artikel 24 bis 43): Verantwortlicher und Auftragsverarbeiter
  • Kapitel 5 (Artikel 44 bis 50): Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
  • Kapitel 6 (Artikel 51 bis 59): Unabhängige Aufsichtsbehörden
  • Kapitel 7 (Artikel 60 bis 76): Zusammenarbeit und Kohärenz
  • Kapitel 8 (Artikel 77 bis 84): Rechtsbehelfe, Haftung und Sanktionen
  • Kapitel 9 (Artikel 85 bis 91): Vorschriften für besondere Verarbeitungssituationen
  • Kapitel 10 (Artikel 92 bis 93): Delegierte Rechtsakte und Durchführungsrechtsakte
  • Kapitel 11 (Artikel 94 bis 99): Schlussbestimmungen


Neuerungen der DSGVO

Ungehemmter Austausch PD in der EU

Der Austausch PD in der EU darf nicht (mehr) mit dem Argument abgelehnt werden, dass der Datenschutz innerhalb der EU verschieden gehandhabt wird. Artikel 1, Absatz (3) formuliert:

Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Geltungsbereich

Im Gegensatz zum BDSG unterscheidet die DSGVO nicht mehr zwischen der Verarbeitung der PD durch öffentliche und private Stellen. Dennoch fallen bestimmte Arten der Verarbeitung laut Artikel 2 nicht unter die Verordnung:

(16) Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten.
(18) Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten. Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.

Marktortprinzip

Die DSGVO gilt auch in nicht EU-Länder, soweit Waren oder Dienstleistungen im europäischen Markt angeboten werden (Facebook, Dropbox, etc.).

Anforderungen an eine Einwilligung

Die Schriftform ist nicht mehr die Regel (siehe BDSG), auch eine stillschweigende Einwilligungserklärung ist nach Erwägungsgrund (32) zulässig, wenn sie eindeutig ist. Da aber dies vom Verarbeiter nachzuweisen ist, wird die Schriftform benötigt. Für besondere PD (sensible PD) ist sie weiterhin vorgeschrieben.

Begrenzung der verarbeiteten Daten

Die etwa im BDSG festgeschriebene allgemeine Datensparsamkeit wird durch den Grundsatz der (zweckbezogenen) Datenminimierung ersetzt. Die DSGVO beschränkt damit nicht die Big Data-Massenverarbeitung.

Transparenz

Der Bereich der Transparenz ist ein wesentlicher Bestandteil der neuen DSGVO. Mehrere Artikel verweisen darauf:

  • Nach Artikel 15 hat jede Person das Recht auf Auskunft über alle seine betreffenden Daten
  • Diese Informationen sind laut Artikel 12 in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu liefern
  • Nach Artikel 13 und 14 muss jeder betroffenen Person bei einer Datenerhebung umfangreich Auskunft u. a. über Zweck, Empfänger und Verantwortliche der Datenverarbeitung, Dauer der Datenspeicherung, Rechte zur Berichtigung, Sperren und Löschen und Verwendung der Daten für Profiling-Zwecke gegeben werden. Wenn sich der Zweck ändert, ist die betroffene Person aktiv zu informieren
  • Nach Artikel 16 hat die betroffene Person ein Recht auf Berichtigung falscher Daten sowie laut Artikel 18 ein Recht auf Einschränkung („Sperrung“) der Datenverarbeitung, wenn Richtigkeit oder Grundlage der Datenverarbeitung bestritten werden

Darüber hinaus soll die DSGVO laut Erwägungsgrund (13) auch Transparenz und Rechtssicherheit für die verarbeitenden Unternehmen bewirken.

Recht auf Vergessenwerden

Dieses Recht ist eines der zentralen Rechte der DSGVO. Es umfasst, dass eine betroffene Person das Recht hat, das Löschen aller sie betreffenden Daten zu fordern, wenn die Gründe für die Datenspeicherung entfallen. Weiterhin muss aber auch der Verarbeiter selbst aktiv die Daten löschen, wenn es keinen Grund mehr für eine Speicherung und Verarbeitung gibt.

Recht auf Datenübertragbarkeit

Artikel 20 verlangt, dass eine betroffene Person das Recht hat, betreffende Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, auch und insbesondere für den Zweck, sie anderen ohne Behinderung durch den Verantwortlichen zu übermitteln.

Sanktionen

Es werden nun weitaus höhere Bußgelder bei Nichteinhalten der DSGVO erlassen, nicht nur gegenüber private Datenverarbeiter, sondern auch gegenüber Behörden, wenn das im nationalen Recht vorgesehen ist. Die Höhe der Bußgelder für Ordnungswidrigkeiten ist nun auf 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes begrenzt (vormals BDSG: 300.000 €). Die Mitgliedsstaaten können darüber hinaus weitere Sanktionsmöglichkeiten vorsehen (Erwägungsgrund (119)).

Privacy by Design, Privacy by Default

Diese Grundsätze bedeuten, dass die Technik („design“) der Datenverarbeitung von Beginn her darauf entworfen und ausgerichtet ist und die Voreinstellungen („defaults“) so ausgewählt sind, dass die Grundsätze des Datenschutzes eingehalten werden können.

Verpflichtung zur Bestellung betrieblicher und behördlicher Datenschutzbeauftragter

Europaweit müssen nun Datenschutzbeauftragte bestellt werden, zumindest bei allen öffentlichen Stellen und solchen privaten Unternehmen, bei denen besonders risikoreiche Datenverarbeitungen erfolgen. Damit wird ein Mindeststandard für die Einrichtung dieser Stellen erreicht.



Relevanzen für Unternehmensorgane

Relevanz für die Geschäftsführung

Die Geschäftsführung ist für die gesamte Organisation verantwortlich. Im Falle einer Klage oder Haftung muss sie für die Schäden und weiteren Maßnahmen geradestehen. Von daher ist es umso wichtiger, dass die Geschäftsführung in Zusammenarbeit mit dem Datenschutzbeauftragten (DSB) alle relevanten Fragen und Problemstellungen klärt und schriftlich, dokumentarisch festhällt. Die Beweislast in allen Fällen liegt nämlich bei den Verantwortlichen!/p>

Da ein einfaches mittelständiges Unternehmen kein Unternehmen mit einem weltweit lohnenden Umstaz darstellt, sind in dem Fall die 20 Millionen Euro realistischer als die 4 %-Marke. Bei geringfügigen Verstößen drohen 10 Millionen Euro bzw. bis zu 2 % des gesamten weltweiten Umsatzes, je nachdem welcher Betrag höher ist.

Unter Verantwortlicher versteht die Datenschutz-Grundverordnung die

natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]. (Artikel 4, Absatz (7))

Unter Umständen können Verantwortliche, sprich die GF und der DSB mit dem Privatvermögen haftbar gemacht werden. Zur Absicherung empfiehlt sich deshalb eine Vermögensschaden-Haftpflichtversicherung. Sie zahlt aber nicht, wenn es sich um grobe Fahrlässigkeit handelt. Um mehr Rechtssicherheit zu bekommen, können GF die Datenschutzverarbeitung ihres Unternehmens zertifizieren lassen lassen. Denn nach neuem Recht müssen sie nachweisen, dass sie die Verpflichtungen aus der Verordnung erfüllen.

Relevanz für das Marketing

Bei Marketing-Aktionen (wie Umfragen oder Trendprognosen) sollte Folgendes bedacht werden:

  • Hinweis, was mit den Daten passiert
  • Nur die Daten verwenden, die unbedingt gebraucht werden
  • Speichern der Daten nur so lange, wie sie unbedingt gebraucht werden
  • Anonymisieren der Daten immer, wenn das möglich ist
  • Klares Kommunizieren mit den Kunden und Einholen derer Einverständnis für eine möglichst konkrete Verwendung
  • Mit Unternehmen zusammenarbeiten, die die DSGVO erfüllen und mit denen eine Datenschutzvereinbarung abgeschlossen wurde
  • Im Zweifelsfall von einem Datenschutzexperten beraten lassen

Relevanz für die IT-Abteilung

Die IT-Sicherheit wird ein wesentlicher Bestandteil des Datenschutz, denn das Unternehmen ist nun umso mehr für die PD verantwortlich, die es erhebt und speichert. Die Sicherheitsmaßnahmen müssen dem Stand der Technik angepasst sein, um im Zweifel vor Klagen zu schützen, sollte es zu einem Datendiebstahl oder Verlust kommen.

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Artikel 32, Absatz (1)).

Eine neue Regelung verpflichtet die Betreiber von technischen Systemen,

ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung [...] (Artikel 32, Absatz (1) Satz 1 d)

einzurichten. Gemeint sind hiermit u.a. differenzierte Penetrationstests, die explizit die Umgehung und Aussetzung von Sicherheitsmechanismen zum Ziel haben.

Die Mitarbeiter eines Unternehmens stellen in gleichwertiger Beziehung die Kunden der IT-Abteilung dar. Damit liegen die PD aller Mitarbeiter in der "Verantwortung" der IT-Abteilung (verantwortlich ist immer noch die GF) und müssen unter den oben genannten Gesichtspunkten auch so behandelt werden. Das bedeutet, dass sämtliche Systeme, auf denen PD vorhanden oder abrufbar sind, eine weitere Stufe sensibler zu betrachten sind.

Damit die IT-Abteilung aus der Haftung genommen werden kann, sollten bestimmte Sicherheitsstandards definiert und unbedingt eingehalten werden:

  • Verschlüsselung von Daten und von Kommunikationswegen
  • Wartungsintervalle aller von außen zugänglichen Systemen (Updates!)
  • Einrichten und regelmäßiges Ändern von langen und sicheren Passwörtern (oder wie bei SSH das Anwenden von Keys)
  • regelmäßiges Überprüfung, ob Daten noch gebraucht werden, ansonsten löschen oder unzugänglich machen (Bandsicherung)
  • klare und konkrete Firewall-Regeln
  • klare und konkrete AV-Richtlinien
  • regelmäßige Mitarbeitersensibilisierung
  • Ggf. Einrichtung weiterer Sicherheitsmaßnahmen
  • Regelmäßiges Durchführen von Penetrationstests

Sämtliche sicherheitsrelevante Aspekte sollten ordungsgemäß schriftlich dokumentiert und nachhaltig gepflegt werden, damit der einfache Nachweis erfolgen kann, wie Sicherheitsmechanismen funktionieren und zusammenwirkend arbeiten. Darunter fallen:

  • Firewall
  • Email Security Appliance (ESA)
  • Antivirenprogramme
  • Patch-Level aller Systeme, die von Außen zugänglich sind (Windows, Linux)
  • Weitere

Siehe hierzu auch interessantes Webinar von Trend Micro.

Was ist zu beachten, wenn es doch zu einer Datenpanne kommt?

Passiert Ihnen eine Datenpanne, muss schnell gehandelt werden! Wird bei der Datenverwendung der Schutz von PD verletzt, müssen Sie das der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden melden. Sollten Sie die Frist von 72 Stunden nicht einhalten können, muss die Verspätung von Ihnen begründet werden.

Die Meldung sollte folgendes enthalten:

  • Beschreibung der Art der Verletzung der Daten
  • Kategorien und Anzahl der betroffenen Personen
  • Kategorien und Anzahl der betroffenen Datensätze
  • Kontakt des Datenschutzbeauftragten oder sonstiger Anlaufstelle
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen Maßnahmen zur Behebung und Abmilderung

Weiterhin sollten alle betroffenen Personen über den Schaden unterrichtet werden.

Sollte so ein Fall nicht gemeldet werden und es kommt irgendwann heraus, dass ein Datendiebstahl passiert ist, dann wird es erst Recht richtig teuer! Also muss man die Meldung ernst nehmen.

Links und Quellen

Sollten Sie Fragen, Anregungen oder Verbesserungsvorschläge haben (jeder kann sich ja täuschen), dann senden Sie mir bitte via Kontakt eine Nachricht zu. Vielen Dank!

Datenschutz-Grundverordnung zum Download:
download

21.02.2018 - 18:54 Uhr - Oliver Stech