Datenschutz NEWSLETTER IT-RECHT. Wesentliche Inhalte der Datenschutzgrundverordnung. 1. Was bleibt gleich? 2. Was ändert sich?

Transkript

1 NEWSLETTER IT-RECHT Datenschutz Wesentliche Inhalte der Datenschutzgrundverordnung Ab dem gilt in Deutschland und den weiteren EU-Staaten die EU-Datenschutzgrundverordnung (DSGVO). Diese löst dann das bisherige Bundesdatenschutzgesetz (BDSG) ab. Die DSGVO führt zu diversen datenschutzrechtlichen Änderungen, die Unternehmen ab dem berücksichtigen müssen. 1. Was bleibt gleich? Das Prinzip des Verbots mit Erlaubnisvorbehalt bleibt gleich. Das bedeutet, dass eine Verarbeitung personenbezogener Daten grundsätzlich verboten ist, außer die Verarbeitung ist gesetzlich erlaubt oder es liegt eine Einwilligung in die Datenverarbeitung vor. Im Großen und Ganzen gleich bleiben auch die Grundsätze der Datenvermeidung und Datensparsamkeit, der Zweckbindungsgrundsatz und das Transparenzgebot. Zudem muss auch weiterhin ein Verfahrensverzeichnis erstellt werden, allerdings fällt die Verpflichtung weg, es öffentlich machen zu müssen. 2. Was ändert sich? Neu geregelt sind viele Definitionen, z.b. in Art. 4 Nr. 17 bis 26 DSGVO. Was die Übermittlung personenbezogener Daten in Drittstaaten außerhalb der EU betrifft, gibt es nun klare gesetzliche Regelungen. Demnach ist eine Datenübermittlung zulässig, wenn 1. die Europäische Kommission entschieden hat, dass in dem Staat ein angemessenes Schutzniveau besteht oder 2., geeignete Garantien einschließlich Standarddatenschutzklauseln oder 3., Binding Corporate Rules vorliegen. Neu ist die Verpflichtung zur Erstellung einer Datenschutz-Folgenabschätzung. Diese Datenschutz-Folgenabschätzung (DSFA) ist der Nachfolger der bisher im deutschen Datenschutzrecht schon bekannten Vorabkontrolle. Die für die Datenverarbeitung Verantwortlichen haben in bestimmten Fällen eine DSFA vorzunehmen, vor allem dann, wenn besonders riskante Datenverarbeitungsvorgänge im Unternehmen stattfinden. Wenn aus ihr hervorgeht, dass die Datenverarbeitung ein hohes Risiko zur Folge hätte, wenn der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, ist vor einer Datenverarbeitung die zuständige Aufsichtsbehörde zu konsultieren. Die Rechte der Betroffenen bleiben im Großen und Ganzen gleich, allerdings sind jetzt ausdrücklich geregelt das Recht auf Vergessenwerden und das Recht auf Datenübertragbarkeit. Die DSGVO regelt in den Art. 13 und 14 DSGVO umfangreichere Informationspflichten gegenüber Betroffenen als bisher nach dem BDSG. Diese umfassen z.b. die aktive Pflicht zur Information über die Angabe der Dauer der Speicherung von personenbezogenen Daten oder über ein berechtigtes Interesse an der Datenverarbeitung. Die DSGVO nimmt den Auftragsverarbeiter (nach BDSG: Auftragsdatenverarbeiter) weitaus stärker in die Pflicht zur Einhaltung des Datenschutzrechts, als dies bislang nach dem BDSG der Fall war. Während nach dem BDSG ausschließlich der Auftraggeber für die Datenverarbeitung verantwortlich ist, wird durch die DSGVO der Auftrag-

2 nehmer für die Verarbeitung der Daten mitverantwortlich. Jedoch beschränkt sich die Haftung des Auftragsverarbeiters auf Verstöße gegen speziell den Auftragsverarbeitern auferlegten Pflichten. Beiden Parteien steht die Möglichkeit der Exkulpation zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind. Neu ist, dass eine Datenverarbeitung im Auftrag auch außerhalb der EU stattfinden kann. Die verantwortliche Stelle ist nach der DSGVO verpflichtet, datenschutzrechtliche Grundprinzipien nicht nur einzuhalten, sondern die Einhaltung auch nachweisen zu können. Dies gilt auch für den Auftragsverarbeiter. Ein betrieblicher Datenschutzbeauftragter ist gemäß DSGVO erst bei besonderen Risiken der Verarbeitung verpflichtend. Die Bestellung richtet sich also eigentlich nicht mehr nach der Anzahl der Personen, die in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Der derzeit vorliegende Entwurf des BDSG-neu sieht allerdings zumindest für Deutschland eine Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten nach den bis dato geltenden Regelungen vor. Newsletter-Abo Wenn Sie regelmäßig aktuelle Informationen zum IT-Recht und anderen Rechtsgebieten erhalten möchten, können Sie auf kostenfrei unsere Newsletter abonnieren. Die DSGVO enthält verschärfte Vorgaben zur Meldung von Datenpannen. Künftig muss grundsätzlich jede Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde gemeldet werden. Eine Ausnahme von der Meldepflicht besteht nach Art 33 Abs. 1 DSGVO dann, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Ob dies der Fall ist, ist wiederum im Wege einer Risikoabwägung festzustellen. Ergibt die Risikoabwägung, dass durch die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, sind die betroffene natürliche Person unverzüglich und die Aufsichtsbehörde innerhalb von 72 Stunden zu benachrichtigen. Von diesen Meldepflichten gibt es bestimmte, in der DSGVO geregelte Ausnahmen. In der DSGVO findet sich keine Definition des Begriffs Anonymisieren und keine Regelungen zum Beschäftigtendatenschutz, zur Videoüberwachung, zum Scoring, der Markt- und Meinungsforschung oder einer Datenübermittlung an Auskunfteien. Diese Lücken wird aber wohl das BDSG-neu wieder füllen. Ergänzungen zur DSGVO im neuen BDSG Die Bundesregierung hat am den Gesetzentwurf für das neue Bundesdatenschutzgesetz (BDSG-neu) verabschiedet. Der Gesetzentwurf der Bundesregierung soll die ab Mai 2018 gültige DSGVO konkretisieren und ergänzen und ebenfalls am in Kraft treten. Der Gesetzentwurf muss noch von Bundestag und Bundesrat behandelt werden. Es ist damit zu rechnen, dass es im weiteren Gesetzgebungsverfahren noch zu Änderungen am Text des Entwurfs kommen wird. Nachfolgend sollen einige wesentliche Regelungen des BDSG-neu dargestellt werden, Bearbeitungsstand ist der

3 1. Umsetzung von Regelungsspielräumen der DSGVO Im BDSG-neu werden Regelungsspielräume mit Blick auf die Verarbeitung besonderer Kategorien personenbezogener Daten genutzt. 24 BDSG-neu regelt Verarbeitungsmöglichkeiten bei geändertem Zweck. Anders als noch im Vor-Entwurf der Regelung wird die zweckändernde Datenverarbeitung auf Grundlage eines legitimen Interesses in Abwägung der Interessen des Betroffenen erheblich begrenzt. Dies weicht von der DSGVO insoweit ab, als dass die DSGVO Regelungen ohne einengende Bestimmung unter entsprechenden Vorgaben zulässt. Der Beschäftigtendatenschutz wird konkretisiert und die bisherige Formulierung des BDSG zum Beschäftigtendatenschutz übernommen und ergänzt. Das Gesetz nennt nun auch ausdrücklich Betriebsvereinbarungen und Tarifverträge als Rechtsgrundlage für eine Datenverarbeitung. Außerdem wird erstmals auf die Frage der Freiwilligkeit von Einwilligungen von Arbeitnehmern im Arbeitsverhältnis eingegangen. Diese sollen freiwillig sein, wenn der Arbeitnehmer einen Vorteil erlangt oder die Einwilligung in beiderseitigem Interesse ist. 38 BDSG-neu übernimmt die bislang geltenden Regelungen zur Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten in Unternehmen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Ohne Rücksicht auf die Anzahl der Personen ist ein Datenschutzbeauftragter immer zu bestellen, soweit Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt - oder Meinungsforschung, verarbeitet werden. 2. Regelungen zur Videoüberwachung 4 BDSG-neu befasst sich mit der Videoüberwachung. In der DSGVO gibt es zur Videoüberwachung keine gesonderte Regelung. Im Wesentlichen werden die alten Regelungen aus 6b BDSG beibehalten, insbesondere die Konstruktion der Videoüberwachung im öffentlichen und nichtöffentlichen Bereich. Die DSGVO sieht keine konkreten Vorgaben für die Videoüberwachung vor, die Verarbeitung kann daher aufgrund von Art. 6 Abs. 1) DSGVO zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten gerechtfertigt sein. Zudem ist eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO vorzunehmen. 3. Beschränkung von Informationspflichten und Auskunftsrechten Im BDSG-neu befinden sich Regelungen zur Beschränkung von Informationspflichten und Auskunftsrechten. Demnach kann eine Informationserteilung nun unterbleiben, wenn dadurch anerkannte Geschäftszwecke des Verantwortlichen gefährdet würden. Allerdings darf dabei das Interesse des Betroffenen an Informationserteilung nicht überwiegen. Entsprechend sind nun die - im Zweifel dann nicht bestehenden - Auskunftsrechte in 34 BDSG-neu beschrieben. Die DSGVO sieht für diese Beschränkungen keine eindeutige Öffnungsklausel vor. Die Erleichterungen sind daher womöglich rechtswidrig und nicht anzuwenden. 4. Sanktionen Das Kapitel Sanktionen wurde ebenfalls überarbeitet und um weitere Bestimmungen u.a. zu Strafvorschriften und zum Gerichtsstand bei Klagen gegen Verantwortliche erweitert. Nach der DSGVO können Mitgliedsstaaten neben Geldbußen mitgliedstaatlich strafrechtliche Sanktionen vorsehen. Hiervon macht 42 BDSG-neu Gebrauch. Hinsichtlich der Bußgelder, die von der DSGVO vorgegeben werden, können Aufsichtsbehörden

4 Bußgelder von bis zu 20 Mio. Euro verhängen. Gegen Unternehmen sind zudem noch deutlich höhere Geldbußen möglich, nämlich von bis zu 4% des weltweiten Umsatzes des Vorjahrs, vgl. Art. 83 DSGVO. Kurze Checkliste mit Punkten, die Unternehmen jetzt angehen sollten Unternehmen, die personenbezogene Daten verarbeiten, sollten sicherstellen, dass bis zum folgende Prozesse umgesetzt sind und rechtzeitig entsprechende Maßnahmen treffen: Anpassung von Altverträgen Gestaltung der nach der DSGVO erforderlichen Prozesse betreffend o o Festlegung der Abarbeitung von Meldepflichten bei Datenpannen nach Art. 33 f DSGVO und Betroffenenrechte und Informationspflichten nach Art. 12 ff. DSGVO. Erstellung eines Verfahrensverzeichnisses (sofern noch nicht vorhanden) Umsetzung einer Datenschutz- Folgenabschätzung nach Art. 35 DSGVO Dokumentation von Prozessen hinsichtlich der Einhaltung datenschutzrechtlicher Grundprinzipien nach Art. 5 Abs. 2 DSGVO AUTORIN Sabine Sobola Rechtsanwältin und M.A. Lehrbeauftragte für IT- und Wirtschaftsrecht Sabine Sobola ist Rechtsanwältin und Partnerin der Kanzlei Paluka Sobola Loibl & Partner Rechtsanwälte in Regensburg und leitet dort das Referat IT- / Internetrecht und Geistige Schutzrechte. Ihren Tätigkeitsschwerpunkt im IT-Recht bildet die anwaltliche Beratung und Vertretung zu sämtlichen rechtlichen Fragen im IT-Recht und Internet bezüglich proprietärer Software, Open Source Software, IT-Security und Datenschutz sowie die Erstellung von Überprüfung von IT-Verträgen und die Beratung in den Bereichen Marken-, Wettbewerbs- und Namensrecht sowie dem Urheberrecht. Nebenberuflich ist Frau Sobola als Lehrbeauftragte an bayerischen Hochschulen tätig und hält Vorträge, Workshops und Schulungen zu ITrechtlichen Themen. Als Master of Arts des Masterstudiengangs Philosophie, Politik und Wirtschaft (PPW) kann sie auch Themen abdecken, die Bezüge zu aktuellen politischen, wirtschaftlichen oder ethischen Fragestellungen haben.

5 Paluka Sobola Loibl & Partner Rechtsanwälte Prinz-Ludwig-Straße Regensburg Tel: Fax Partnerschaftsgesellschaft Amtsgericht Regensburg PR3