1. Wesentliche Inhalte der Datenschutzgrundverordnung

Transkript

1 Datenschutz Inhalt 1. Wesentliche Inhalte der Datenschutzgrundverrdnung 2. Was bleibt gleich? 3. Was ändert sich? 3. Umsetzung vn Regelungsspielräumen der DSGVO 4. Regelungen zur Videüberwachung 5. Beschränkung vn Infrmatinspflichten und Auskunftsrechten 6. Sanktinen Checkliste mit Punkten, die Unternehmen jetzt angehen sllten 1. Wesentliche Inhalte der Datenschutzgrundverrdnung Ab dem gilt in Deutschland und den weiteren EU-Staaten die EU-Datenschutzgrundverrdnung (DSGVO). Diese löst dann das bisherige Bundesdatenschutzgesetz (BDSG) ab. Die DSGVO führt zu diversen datenschutzrechtlichen Änderungen, die Unternehmen ab dem berücksichtigen müssen. 2. Was bleibt gleich? Das Prinzip des Verbts mit Erlaubnisvrbehalt bleibt gleich. Das bedeutet, dass eine Verarbeitung persnenbezgener Daten grundsätzlich verbten ist, außer die Verarbeitung ist gesetzlich erlaubt der es liegt eine Einwilligung in die Datenverarbeitung vr. Im Grßen und Ganzen gleich bleiben auch die Grundsätze der Datenvermeidung und Datensparsamkeit, der Zweckbindungsgrundsatz und das Transparenzgebt. Zudem muss auch weiterhin ein Verfahrensverzeichnis erstellt werden, allerdings fällt die Verpflichtung weg, es öffentlich machen zu müssen.

2 3. Was ändert sich? Neu geregelt sind viele Definitinen, z.b. in Art. 4 Nr. 17 bis 26 DSGVO. Was die Übermittlung persnenbezgener Daten in Drittstaaten außerhalb der EU betrifft, gibt es nun klare gesetzliche Regelungen. Demnach ist eine Datenübermittlung zulässig, wenn 1. die Eurpäische Kmmissin entschieden hat, dass in dem Staat ein angemessenes Schutzniveau besteht der 2., geeignete Garantien einschließlich Standarddatenschutzklauseln der 3., Binding Crprate Rules vrliegen. Neu ist die Verpflichtung zur Erstellung einer Datenschutz-Flgenabschätzung. Diese Datenschutz- Flgenabschätzung (DSFA) ist der Nachflger der bisher im deutschen Datenschutzrecht schn bekannten Vrabkntrlle. Die für die Datenverarbeitung Verantwrtlichen haben in bestimmten Fällen eine DSFA vrzunehmen, vr allem dann, wenn besnders riskante Datenverarbeitungsvrgänge im Unternehmen stattfinden. Wenn aus ihr hervrgeht, dass die Datenverarbeitung ein hhes Risik zur Flge hätte, wenn der Verantwrtliche keine Maßnahmen zur Eindämmung des Risiks trifft, ist vr einer Datenverarbeitung die zuständige Aufsichtsbehörde zu knsultieren. Die Rechte der Betrffenen bleiben im Grßen und Ganzen gleich, allerdings sind jetzt ausdrücklich geregelt das Recht auf Vergessenwerden und das Recht auf Datenübertragbarkeit. Die DSGVO regelt in den Art. 13 und 14 DSGVO umfangreichere Infrmatinspflichten gegenüber Betrffenen als bisher nach dem BDSG. Diese umfassen z.b. die aktive Pflicht zur Infrmatin über die Angabe der Dauer der Speicherung vn persnenbezgenen Daten der über ein berechtigtes Interesse an der Datenverarbeitung. Die DSGVO nimmt den Auftragsverarbeiter (nach BDSG: Auftragsdatenverarbeiter) weitaus stärker in die Pflicht zur Einhaltung des Datenschutzrechts, als dies bislang nach dem BDSG der Fall war. Während nach dem BDSG ausschließlich der Auftraggeber für die Datenverarbeitung verantwrtlich ist, wird durch die DSGVO der Auftragnehmer für die Verarbeitung der Daten mitverantwrtlich. Jedch beschränkt sich die Haftung des Auftragsverarbeiters auf Verstöße gegen speziell den Auftragsverarbeitern auferlegten Pflichten. Beiden Parteien steht die Möglichkeit der Exkulpatin zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwrtlich sind. Neu ist, dass eine Datenverarbeitung im Auftrag auch außerhalb der EU stattfinden kann. Die verantwrtliche Stelle ist nach der DSGVO verpflichtet, datenschutzrechtliche Grundprinzipien nicht nur einzuhalten, sndern die Einhaltung auch nachweisen zu können. Dies gilt auch für den Auftragsverarbeiter. Ein betrieblicher Datenschutzbeauftragter ist gemäß DSGVO erst bei besnderen Risiken der Verarbeitung verpflichtend. Die Bestellung richtet sich als eigentlich nicht mehr nach der Anzahl der Persnen, die in der Regel ständig mit der autmatisierten Verarbeitung persnenbezgener Daten beschäftigt sind. Der derzeit vrliegende Entwurf des BDSG-neu sieht allerdings zumindest für Deutschland eine Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten nach den bis dat geltenden Regelungen vr. Die DSGVO enthält verschärfte Vrgaben zur Meldung vn Datenpannen. Künftig muss grundsätzlich jede Verletzung des Schutzes persnenbezgener Daten an die zuständige Aufsichtsbehörde gemeldet werden. Eine Ausnahme vn der Meldepflicht besteht nach Art 33 Abs. 1 DSGVO dann, wenn die Datenpanne vraussichtlich nicht zu einem Risik für die Rechte und Freiheiten natürlicher Persnen führt. Ob dies der Fall ist, ist wiederum im Wege einer Risikabwägung festzustellen. Ergibt die Risikabwägung, dass durch die Datenpanne vraussichtlich ein hhes Risik für die persönlichen Rechte und Freiheiten natürlicher Persnen besteht, sind die betrffene natürliche Persn unverzüglich und die Aufsichtsbehörde innerhalb vn 72 Stunden zu benachrichtigen. Vn diesen Meldepflichten gibt es bestimmte, in der DSGVO geregelte Ausnahmen.

3 In der DSGVO findet sich keine Definitin des Begriffs Annymisieren und keine Regelungen zum Beschäftigtendatenschutz, zur Videüberwachung, zum Scring, der Markt- und Meinungsfrschung der einer Datenübermittlung an Auskunfteien. Diese Lücken wird aber whl das BDSG-neu wieder füllen. Ergänzungen zur DSGVO im neuen BDSG Die Bundesregierung hat am den Gesetzentwurf für das neue Bundesdatenschutzgesetz (BDSG-neu) verabschiedet. Der Gesetzentwurf der Bundesregierung sll die ab Mai 2018 gültige DSGVO knkretisieren und ergänzen und ebenfalls am in Kraft treten. Der Gesetzentwurf muss nch vn Bundestag und Bundesrat behandelt werden. Es ist damit zu rechnen, dass es im weiteren Gesetzgebungsverfahren nch zu Änderungen am Text des Entwurfs kmmen wird. Nachflgend sllen einige wesentliche Regelungen des BDSG-neu dargestellt werden, Bearbeitungsstand ist der Umsetzung vn Regelungsspielräumen der DSGVO Im BDSG-neu werden Regelungsspielräume mit Blick auf die Verarbeitung besnderer Kategrien persnenbezgener Daten genutzt. 24 BDSG-neu regelt Verarbeitungsmöglichkeiten bei geändertem Zweck. Anders als nch im Vr-Entwurf der Regelung wird die zweckändernde Datenverarbeitung auf Grundlage eines legitimen Interesses in Abwägung der Interessen des Betrffenen erheblich begrenzt. Dies weicht vn der DSGVO insweit ab, als dass die DSGVO Regelungen hne einengende Bestimmung unter entsprechenden Vrgaben zulässt. Der Beschäftigtendatenschutz wird knkretisiert und die bisherige Frmulierung des BDSG zum Beschäftigtendatenschutz übernmmen und ergänzt. Das Gesetz nennt nun auch ausdrücklich Betriebsvereinbarungen und Tarifverträge als Rechtsgrundlage für eine Datenverarbeitung. Außerdem wird erstmals auf die Frage der Freiwilligkeit vn Einwilligungen vn Arbeitnehmern im Arbeitsverhältnis eingegangen. Diese sllen freiwillig sein, wenn der Arbeitnehmer einen Vrteil erlangt der die Einwilligung in beiderseitigem Interesse ist. 38 BDSG-neu übernimmt die bislang geltenden Regelungen zur Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten in Unternehmen, sweit sie in der Regel mindestens zehn Persnen ständig mit der autmatisierten Verarbeitung persnenbezgener Daten beschäftigen. Ohne Rücksicht auf die Anzahl der Persnen ist ein Datenschutzbeauftragter immer zu bestellen, sweit Verarbeitungen vrgenmmen werden, die einer Datenschutz-Flgenabschätzung nach Art. 35 DSGVO unterliegen der persnenbezgene Daten geschäftsmäßig zum Zweck der Übermittlung, der annymisierten Übermittlung der für Zwecke der Markt - der Meinungsfrschung, verarbeitet werden. 4. Regelungen zur Videüberwachung 4 BDSG-neu befasst sich mit der Videüberwachung. In der DSGVO gibt es zur Videüberwachung keine gesnderte Regelung. Im Wesentlichen werden die alten Regelungen aus 6b BDSG beibehalten, insbesndere die Knstruktin der Videüberwachung im öffentlichen und nicht-öffentlichen Bereich. Die

4 DSGVO sieht keine knkreten Vrgaben für die Videüberwachung vr, die Verarbeitung kann daher aufgrund vn Art. 6 Abs. 1) DSGVO zur Wahrung der berechtigten Interessen des Verantwrtlichen der eines Dritten gerechtfertigt sein. Zudem ist eine Datenschutz-Flgenabschätzung gem. Art. 35 DSGVO vrzunehmen. 5. Beschränkung vn Infrmatinspflichten und Auskunftsrechten Im BDSG-neu befinden sich Regelungen zur Beschränkung vn Infrmatinspflichten und Auskunftsrechten. Demnach kann eine Infrmatinserteilung nun unterbleiben, wenn dadurch anerkannte Geschäftszwecke des Verantwrtlichen gefährdet würden. Allerdings darf dabei das Interesse des Betrffenen an Infrmatinserteilung nicht überwiegen. Entsprechend sind nun die - im Zweifel dann nicht bestehenden - Auskunftsrechte in 34 BDSG-neu beschrieben. Die DSGVO sieht für diese Beschränkungen keine eindeutige Öffnungsklausel vr. Die Erleichterungen sind daher wmöglich rechtswidrig und nicht anzuwenden. 6. Sanktinen Das Kapitel Sanktinen wurde ebenfalls überarbeitet und um weitere Bestimmungen u.a. zu Strafvrschriften und zum Gerichtsstand bei Klagen gegen Verantwrtliche erweitert. Nach der DSGVO können Mitgliedsstaaten neben Geldbußen mitgliedstaatlich strafrechtliche Sanktinen vrsehen. Hiervn macht 42 BDSG-neu Gebrauch. Hinsichtlich der Bußgelder, die vn der DSGVO vrgegeben werden, können Aufsichtsbehörden Bußgelder vn bis zu 20 Mi. Eur verhängen. Gegen Unternehmen sind zudem nch deutlich höhere Geldbußen möglich, nämlich vn bis zu 4% des weltweiten Umsatzes des Vrjahrs, vgl. Art. 83 DSGVO. Kurze Checkliste mit Punkten, die Unternehmen jetzt angehen sllten Unternehmen, die persnenbezgene Daten verarbeiten, sllten sicherstellen, dass bis zum flgende Przesse umgesetzt sind und rechtzeitig entsprechende Maßnahmen treffen: Erstellung eines Verfahrensverzeichnisses (sfern nch nicht vrhanden) Umsetzung einer Datenschutz-Flgenabschätzung nach Art. 35 DSGVO Dkumentatin vn Przessen hinsichtlich der Einhaltung datenschutzrechtlicher Grundprinzipien nach Art. 5 Abs. 2 DSGVO Anpassung vn Altverträgen Gestaltung der nach der DSGVO erfrderlichen Przesse betreffend Festlegung der Abarbeitung vn Meldepflichten bei Datenpannen nach Art. 33 f DSGVO und Betrffenenrechte und Infrmatinspflichten nach Art. 12 ff. DSGVO.

5 Autrin Sabine Sbla Rechtsanwältin und M.A. Lehrbeauftragte für IT- und Wirtschaftsrecht Sabine Sbla ist Rechtsanwältin und Partnerin der Kanzlei Paluka Sbla Libl & Partner Rechtsanwälte in Regensburg und leitet drt das Referat IT- / Internetrecht und Geistige Schutzrechte. Ihren Tätigkeitsschwerpunkt im IT-Recht bildet die anwaltliche Beratung und Vertretung zu sämtlichen rechtlichen Fragen im IT-Recht und Internet bezüglich prprietärer Sftware, Open Surce Sftware, IT-Security und Datenschutz swie die Erstellung vn Überprüfung vn IT-Verträgen und die Beratung in den Bereichen Marken-, Wettbewerbs- und Namensrecht swie dem Urheberrecht. Nebenberuflich ist Frau Sbla als Lehrbeauftragte an bayerischen Hchschulen tätig und hält Vrträge, Wrkshps und Schulungen zu ITrechtlichen Themen. Als Master f Arts des Masterstudiengangs Philsphie, Plitik und Wirtschaft (PPW) kann sie auch Themen abdecken, die Bezüge zu aktuellen plitischen, wirtschaftlichen der ethischen Fragestellungen haben. März 2017

6 Paluka Sbla Libl & Partner Rechtsanwälte Prinz-Ludwig-Straße Regensburg Tel: Fax: Partnergesellschaft Amtsgericht Regensburg PR39