Die Europäische Datenschutz-Grundverordnung und ihre Folgen für die Wirtschaft RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.v. Seite 2 Inhalt: Folgen für die Wirtschaft anhand ausgewählter Themenkomplexe Schlussfolgerungen Seite 1
Seite 3 Folgen für die Wirtschaft anhand ausgewählter Themenkomplexe Schlussfolgerungen Unterschiedliches Datenschutzrecht in der EU Unterschiedliche Umsetzung europäischer Richtlinien in nationales Recht Nationale eigenständige und unabhängige Datenschutzaufsichtsbehörden Nationale Sonderregelungen (z.b. in Deutschland zu Werbung, Adresshandel, Scoring) Seite 2
Europäischen Kommission: Zielsetzung der Reform Betroffene erhalten mehr Kontrolle über ihre Daten Globale Standards für Datenschutz werden gesetzt Datenschutzregeln passend für den digitalen Binnenmarkt Harmonisiert (EUR 2,3 Milliarden Einsparungen durch Vereinheitlichung unterschiedlicher Datenschutzregeln) Vereinfacht (EUR 130 Millionen Einsparung durch Abschaffung von Meldepflichten) Kein forum-shopping (Datenverarbeitung in Mitgliedsstaat mit weniger strengem Datenschutzrecht) One-stop-shop (eine zuständige Aufsichtsbehörde für Unternehmen in der Europäischen Union) Effiziente Kooperation der Datenschutzaufsichtsbehörden Mehr Konsistenz der Anwendung des Datenschutzrechts Wirkung einer EU-Datenschutz- Grundverordnung Europäische Verordnungen sind direkt anwendbares Recht Grds. Vollharmonisierung Nationales Datenschutzrecht wird ersetzt Öffnungsklauseln für nationalen Gesetzgeber in best. Bereichen Anwendung zwei Jahre nach Veröffentlichung im Amtsblatt TMG LDSG SGB X Seite 3
Verbleibendes uneinheitliches Datenschutzrecht in der EU Nationale Umsetzungen der eprivacy Richtlinie Spezielle Bereiche nationalen Umsetzungsspielraums Öffentlicher Bereich (Art. 1 Rat) Betroffenenrechte (Artikel 21) -> auch Ausnahmen Presse (Artikel 80) -> auch Ausnahmen Gesundheit (Artikel 81) Arbeitnehmerdatenschutz (Artikel 82) Forschung (Artikel 83) Berufsgeheimnisse (Artikel 84) Kirchen (Artikel 85) Seite 8 Interpretation/Auslegung der Gesetze Gefestigte Interpretations- bzw. Auslegungshilfen: Rechtsprechung Stellungnahmen/Orientierungshilfen der Aufsichtsbehörden (einschl. Konferenz der Datenschutzbeauftragten bzw. Düsseldorfer Kreis) Kommentierungen aus der Literatur Artikel-29-Datenschutzgruppe Keine gefestigte Interpretations- bzw. Auslegungshilfen: EuGH-Rechtsprechung bezieht sich auf Richtlinie 95/46/EG Stellungnahmen/Orientierungshilfen des Europäischen Datenschutzausschusses müssen erst noch formuliert werden Kommentierungen aus der Literatur existieren noch nicht Unternehmen werden sich anfangs einer großen Rechtsunsicherheit bei der Auslegung der stellen müssen. Eine Unterschiedliche Auslegungspraxis in den Mitgliedstaaten muss durch den Europäischen Datenschutzausschuss nivelliert werden. Seite 4
Seite 9 Wegfall von Spezialtatbeständen zur Rechtmäßigkeit der Verarbeitung 28 Abs. 3 Nutzung personenbezogener Daten zu Werbezwecken 32 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses 28a Datenübermittlung an Auskunfteien 28b Scoring [ ] Art. 6 f) - Werbung ist an der Erforderlichkeit zur Wahrung berechtigten Interessen des für die Verarbeitung Verantwortlichen zu messen Art. 6 (Allgemeine) Rechtmäßigkeit der Verarbeitung oder spezielle Regelung in den Mitgliedstaaten (Öffnungsklausel) Art. 6 (Allgemeine) Rechtmäßigkeit der Verarbeitung Art. 6 (Allgemeine) Rechtmäßigkeit der Verarbeitung [ ] Die allgemeineren und gleichzeitig flexibleren Regelungen in der gehen zu Lasten der Rechtssicherheit des Rechtsanwenders. Seite 10 Zweckänderung von Datenverarbeitungen 28 Abs. 2 Nr. 1 Zulässigkeit der Zweckänderung Art. 6 Abs. 4 S. 2 (nur Rat): Zweckänderungen für den Verantwortlichen oder einen Dritten sind zulässig im Rahmen einer Interessenabwägung Vielfach stehen Zwecke der Datenverarbeitung bei der Datenerhebung nicht konkret fest (z.b. Werbung, Übermittlung an Dritte (Auskunfteien, Forderungsverkauf) aber auch Big-Data-Anwendungen). Wenn diese Weiterverarbeitungen im regulären Geschäftsprozess nur möglich sind, ist hierüber bei der Datenerhebung umfänglich präventiv zu informieren; ansonsten Unzulässigkeit Seite 5
Seite 11 Neue Informationspflichten 4 Abs. 3 : Identität der verantwortlichen Stelle, Zweckbestimmung, Empfänger 28 Abs. 4 S. 2 : Widerrufsrecht Art. 14, so u.a.: Identität der verantwortlichen Stelle Datenschutzbeauftragter Verfolgte berechtigte Interessen (vgl. Art. 6 f)) Dauer der Datenspeicherung (KOM und Parlament) Neue Information im Falle der Zweckänderung bei der Weiterverarbeitung (Rat) Alle sonstigen Informationen nach Treu und Glauben (KOM und Parlament) [ ] Wenn Einwilligungserklärungen den Betroffenen schon oftmals überfordern, wie helfen dann die vielen neuen Informationspflichten? Seite 12 Neue Dokumentationspflichten 4e : Anforderungen für die Inhalte an das Verfahrensverzeichnis 4d Abs. 5 : Vorabkontrolle 11 : Dokumentation der Prüfung der Einhaltung von TOMs beim Auftragnehmer Art. 28 : Dokumentation von Verarbeitungsvorgängen der für die Verarbeitung Verantwortlichen und Auftragsverarbeiter Art. 31 Abs. 2 : Dokumentation von Sicherheitsvorfällen Art. 33 Datenschutz-Folgenabschätzung Art. 33a Abs. 4 (Parlament): Dokumentation der Überprüfung der Einhaltung der Datenschutz-Folgenabschätzung spätesten nach zwei Jahren Art. 44 Abs. 6 : Dokumentation geeignet Drittlandsgarantien [ ] Tue Gutes und schreibe es auf: Neue Dokumentationspflichten sorgen für mehr Transparenz, bedingen aber einen hohen bürokratischen Aufwand. Seite 6
Seite 13 Der Datenschutzbeauftragte 4f Abs. 1 : o Bestellpflicht des DSB ab 10 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind o Bestellpflicht unabhängig von der Beschäftigtenzahl bei Pflicht zur Vorabkontrolle, der geschäftsmäßigen Übermittlung, Markt-und Meinungsforschung Art. 35 : o Bestellflicht bei mehr als 250 Beschäftigten oder bei Kerntätigkeiten, die eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen (KOM) o Bestellpflicht bei Verarbeitungen mit mehr als 5000 Betroffenen in einem durchgängigen 12- Monatszeitraum sowie bei systematischer Beobachtung und der Verarbeitung besonderer Arten personenbezogener Daten (Parlament) o Keine Bestellpflicht (Rat), aber Öffnungsklausel Unternehmen, die die abgesenkten Anforderungen an die Bestellpflicht nutzen, um Personal einzusparen oder den Datenschutz nebenbei zu betreiben, werden mit den neuen gesetzlichen Vorgaben einer überfordert sein. Seite 14 Datenschutz-Folgenabschätzung 4d Abs. 4 : Vorabkontrolle ist durchzuführen bei Daten nach 3 Abs. 9 oder Verarbeitungen, die die Persönlichkeit des Betroffenen, einschl. seiner Fähigkeiten, Leistungen oder seines Verhaltens bewerten Ausnahme: Gesetzliche Verpflichtung oder Erforderlichkeit für Begründung oder Durchführung eines Schuldverhältnisses Zuständig: DSB Keine bestimmten Anforderungen an Verfahren und Dokumentation Art. 33 : Weiter, auch technologieabhängiger Anwendungsbereich der Folgenabschätzung, so u.a. bei: Systematischer und umfassender Auswertung persönlicher Aspekte von natürlichen Personen Verarbeitung besonderer Daten nach Art. 9 EU-DS- GVO Weiträumiger Überwachung öffentlich zugänglicher Bereiche Verarbeitung personenbezogener Daten aus umfangreichen Dateien, die Daten über Kinder, genetische Daten oder biometrische Daten enthalten (KOM) Verarbeitung pbdaten von mehr als 5.000 Betroffenen in einem durchgängigen 12- Monatszeitraum (Parlament) [ ] Zuständigkeit: Verantwortlicher für die DV Neuland für den DSB: Wann ist eine Datenschutz-Folgenabschätzung durchzuführen und anhand welcher Parameter? Seite 7
Seite 15 Meldung von Datenschutzverletzungen 42a : Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten durch Dritte Nur bei bestimmten Datenkategorien Nur soweit schwerwiegende Beeinträchtigung (str.) Meldepflicht unverzüglich gegenüber Aufsichtsbehörde Meldepflicht gegenüber Betroffenen ggf. erst, wenn Strafverfolgung nicht mehr gefährdet Art. 31 : Meldepflicht unabhängig von den betroffenen Daten (KOM, Parlament) Meldung innerhalb von 24 Stunden (KOM) bzw. 72 Stunden (Rat) Erfasst jede Datenschutzverletzung (auch innerhalb der verantw. Stelle) Spezifische Vorgaben an den Inhalt der Meldung (z.b. Art der Verletzung, Kategorien und Anzahl von Betroffenen, Zahl der betroffenen Datensätze, Maßnahmen- und Folgebeschreibung) Benachrichtigung der Betroffenen unverzüglich (Parlament) bzw. ohne unangemessene Verzögerung (Kommission) Aufsichtsbehörde kann Betroffene informieren (KOM und Parlament) Schnelles Handeln ist gefordert: Unternehmen müssen interne Kontrollstellen ständig verfügbar halten und adäquat ausstatten bzw. besetzen. Seite 16 Verschärfung der Bußgeldvorschriften 43 : o Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis 50.000 EUR, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu 300.000 geahndet werden o Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen Art. 79 : o Bis zu 1.000.000 EUR oder im Fall eines Unternehmens bis zu 2% seines weltweiten Jahresumsatzes (KOM) o Bis zu 100.000.000 EUR oder im Fall eines Unternehmens bis zu 5 % seines weltweiten Jahresumsatzes (Parlament) o Bis zu 1.000.000 EUR oder im Fall eines Unternehmens bis zu 2% seines weltweiten Jahresumsatzes (Rat) Datenschutzverstöße können in Extremfällen gerade für kleinere Unternehmen existenzbedrohend sein. Keine eindeutige Klassifizierung im Gesetz mehr: OrganisationsVerstößekönnen mit den denselben Bußgeldsummen belegt werden, wie schwere materielle Datenschutzverstöße. Seite 8
Seite 17 Inkrafttreten und Anwendung der DS-GVO Art. 91 (KOM und Rat): In-Kraft-Treten: 20. Tag nach Veröffentlichung im Amtsblatt der EU Anwendung: 2 Jahre nach Inkrafttreten EwG124 (Rat): Verarbeitungen sind innerhalb von 2 Jahren anzupassen Keine Datenschutz-Folgeabschätzung und vorherige Konsultation der AB für Verarbeitungen, die vor In-Kraft- Treten begonnen haben Keine Erneuerung der Einwilligung erforderlich Seite 18 Folgen für die Wirtschaft anhand ausgewählter Themenkomplexe Schlussfolgerungen Seite 9
Seite 19 Gerade kleinere und mittelständische Unternehmen brauchen Führung: Auslegungshilfen müssen im Falle der Verabschiedung schnellstmöglich entwickelt werden Transparenz der Datenverarbeitung vs. Bürokratie: Formale Anforderungen an Datenverarbeitersteigen Wer soll es machen? Die Unternehmen müssen sich stärker hinsichtlich der personellen Umsetzung gesetzlicher Anforderungen Das gesunde Augenmaß von Aufsichtsbehörden ist mehr gefragt denn je neue Bußgeldsummen in der können existenzbedrohend werden Seite 20 Vielen Dank für Ihre Aufmerksamkeit! Fragen? Seite 10