Datenschutz-Grundverordnung (DS-GVO) – Mehr Fluch oder mehr Segen?

Datenschutz-Grundverordnung (DS-GVO) – Mehr Fluch oder mehr Segen?

Die EU-Datenschutz-Grundverordnung führt zu einer weitgehenden Vereinheitlichung des europäischen Datenschutzrechtes

Die Datenschutz-Grundverordnung der EU (kurz: DS-GVO) gilt ab 25. Mai 2018 europaweit. Es handelt sich dabei nicht nur um die größte Reform des europäischen Datenschutzrechts seit den 1990ern Jahren, sondern um eine weit reichende Vereinheitlichung des europäischen Datenschutzniveaus, das viele Unternehmen in ihrem Umfang bzw. ihren Rechtsfolgen womöglich „eiskalt“ erwischen wird. Damit Sie dieser Gefahr trotzen und ggf. erforderliche Nachbesserungen in Ihrem Unternehmen rechtzeitig durchführen können, informiert der nachfolgende Beitrag der Rechtsanwaltskanzlei Kotz über die wesentlichen Änderungen und möglichen Fallstricke bei der Umsetzung.

I. Einleitung – oder: worüber wir überhaupt sprechen

Datenschutz-Grundverordnung
Die EU-Datenschutz-Grundverordnung gilt ab dem 25. Mai 2018 innerhalb der EU einheitlich. Doch wer ist betroffen und was steht genau drin? Foto: silvabom

Bereits im Januar 2012 präsentierte die Europäische Kommission den Entwurf der DS-GVO. Sodann folgten viele Jahre der Diskussionen, der Lobbyarbeit sowie entsprechende Änderungen und Verbesserungen, bis die EU-Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ schließlich am 25. Mai 2016 in Kraft. Nach einer Übergangsfrist von zwei Jahren, die gem. Art. 99 Abs. 2 DS-GVO am 25. Mai 2018 endet, wird sie ab diesem Zeitpunkt in der gesamten EU geltendes Recht. Von der Datenschutz-Grundverordnung ebenfalls betroffen ist das Bundesdatenschutzgesetz (BDSG), was nun ebenfalls einer umfassenden Überarbeitung unterzogen wurde und als neues BDSG auch am 25. Mai 2018 in Kraft treten wird. Die Ziele der DS-GVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO). Diese Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

II. Was hat das nun konkret mit mir bzw. meinem Unternehmen zu tun?

Wie bereits zuvor erwähnt, regelt die DS-GVO das Datenschutzrecht – also den Umgang von Unternehmen mit personenbezogenen Daten – ab dem 25. Mai 2018 einheitlich und europaweit. Aufgrund des bisher bestehenden datenschutzrechtlichen Flickenteppichs mit unterschiedlichen Datenschutzniveaus und somit mit unterschiedlichen länderspezifischen Regelungen, soll nun durch die DS-GVO ein europaweit einheitlicher Schutzstandard etabliert werden. Somit können Unternehmer künftig darauf vertrauen, dass faktisch europaweit dieselben datenschutzrechtlichen Standards gelten. Darüber hinaus soll die Verordnung auch für außereuropäische Unternehmen gelten, die die Daten europäischer Bürger verarbeiten. Somit sollen sich Soziale Netzwerke, wie beispielsweise Facebook, auch an den neuen europäischen Datenschutzstandard halten müssen. Wenn Sie nun denken, dass zwischen einem riesigen Konzern wie Facebook oder aber einem anderen großen deutschen Unternehmen und Ihrem kleinen bzw. mittelständischen Unternehmen ein gewaltiger Unterschiedbesteht, so haben Sie mit dieser Annahme zugleich sowohl Recht als auch Unrecht. Selbstverständlich bestehen diverse Unterschiede zwischen riesigen Unternehmen und beispielsweise einem kleinen mittelständischen Unternehmen. Nicht jedoch in Bezug auf die DS-GVO. Denn diese betrifft jedes datenverarbeitende Unternehmen, völlig unabhängig von der Größe und der Branche.

III. Aber die DS-GVO muss doch bestimmt erst noch in nationales Recht umgesetzt werden? Gibt es nicht noch weitere Übergangsfristen?

Auf beide Fragen kann mit einem klaren: „Nein!“ geantwortet werden. Die Datenschutzverordnung ist eine Verordnung. Verordnungen (im Gegensatz zu Richtlinien) müssen von den Mitgliedsstaaten nicht gesondert umgesetzt werden, sondern diese gelten unmittelbar. Bereits am 25. Mai 2016 trat die DS-GVO in Kraft und entfaltet ihre Wirkung nach einer nunmehr zweijährigen Übergangsfrist ab dem 25. Mai 2018. Somit sind keine weiteren Übergangsfristen vorgesehen und Sie bisher noch nichts diesbezüglich unternommen haben, ist es nun zum Jahresende 2017 – bildlich gesprochen – bereits „5 vor 12“.

IV. Was sind denn überhaupt personenbezogene Daten? Vielleicht fällt mein Unternehmen gar nicht in den Anwendungsbereich der DS-GVO?

Nach Art. 2 Abs. 1 DSGVO kommt es darauf an, ob personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden oder ob bei einer nichtautomatisierten Verarbeitung eine Speicherung in einem Dateisystem erfolgen soll. Wichtigster Anknüpfungspunkt der Verordnung ist der Begriff der „personenbezogenen Daten“. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind (vgl. Art. 4 Nr. 1 DSGVO). Personenbezogene Daten sind also beispielsweise:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtsdatum
  • Kontodaten
  • Kfz-Kennzeichen
  • Standortdaten
  • IP-Adresse
  • Cookies

Die DS-GVO schließt sowohl die automatisierte (mittels Computer, Smartphones, Drucker, Scanner) als auch die nicht automatisierte Verarbeitung von Daten ein, so dass eben nicht nur die digitale Speicherung, sondern auch handschriftliche Aufzeichnungen davon erfasst werden. Die einzigen wenigen Ausnahmen, die nicht von der DS-GVO erfasst sein sollen, sind in § 2 Abs. 2 DSGVO enthalten. Danach findet die Verordnung keine Anwendung auf:

  • die Tätigkeit nicht in den Anwendungsbereich des Unionsrechts fällt,
  • im Rahmen von Tätigkeiten durch die Mitgliedstaaten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
  • natürliche Personen ausschließlich persönliche oder familiäre Tätigkeiten ausüben oder
  • die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit tätig werden – hierfür ist die neue Richtlinie 2016/680/EU maßgeblich.

Besonders erwähnenswert ist in diesem Zusammenhang nur die Ausnahme für den privaten und familiären Bereich. Hierunter fallen beispielsweise privater Schriftverkehr, ein privates Anschriftenverzeichnis oder aber die private Nutzung sozialer Netze und private Online-Tätigkeiten.

V. An wen kann man sich bei Verstößen gegen die DS-GVO wenden?

Dies ist aufgrund der europaweiten Geltung eine durchaus berechtigte Frage. Es könnte beispielsweise eine zentrale Aufsichtsbehörde geben. Dem ist jedoch nicht so. Vielmehr gilt das sog. One-Stop Shop-Prinzip, d.h. Bürgerinnen und Bürger können sich bei Verstößen immer an die Datenschutzbehörde ihres Mitgliedsstaats wenden, völlig unabhängig davon, in welchem Mitgliedsstaat sich der Verstoß gegen die DS-GVO bzw. der Datenmissbrauch ereignet hat. Dasselbe gilt auch für Unternehmen: diese müssen nur noch mit der Datenschutzbehörde des Mitgliedsstaats arbeiten, in dem sich der Hauptsitz des Unternehmens befindet.

VI. Welche Strafen drohen bei Datenschutzverstößen?

EU Datenschutz
Mit der neuen EU-Datenschutz-Grundverordnung wird sich für Unternehmen einiges grundlegend ändern. Für Unternehmen mit so genannten „Big Data“ Anwendungen wird es brenzlig und es gilt aufzupassen. Hier erfahren Sie was es mit der DS-GVO auf sich hat, welche neue Pflichten und Rechte es gibt und wie Sie sich vorbereiten. – Foto: Yra1105/Bigstock

Besonders kontrovers diskutiert und gefürchtet sind die hohen Strafen bei Datenschutzverstößen. Waren bisherige Strafen bezüglich der Missachtung des Datenschutzes vergleichsweise recht harmlos, so sieht Art. 83 Abs. 5 DSGVO bei Verstößen Bußgelder von bis zu 20.000.000 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Da die neuen Regelungen jedes Unternehmen, unabhängig von Größe und Branche treffen (s.o. II und III), muss ab dem Stichtag im Mai 2018 mit empfindlichen Sanktionen rechnen, sofern den umfassenden Pflichten nicht in der gebotenen Sorgfalt nachgekommen wird.

Hinzu kommt, dass im Rahmen eines sog. Verbandsklagerechtes auch Verbraucherschutzverbände Datenschutzverstöße gerichtlich und behördlich verfolgen können und dies weitaus weitergehender als das bisher der Fall war. Auch vor diesem Hintergrund sei nochmals darauf hingewiesen, dass die Datenschutzaufsichtsbehörden ab Ende Mai 2018 damit beginnen werden, die entsprechende Umsetzung der neuen Datenschutzvorgaben zu überprüfen und ggf. entsprechende Bußgelder zu verhängen.

VII. Was kann bzw. muss ich als Unternehmer jetzt tun?

Sofern Sie Ihr Unternehmen datenschutzrechtlich bereits optimal auf die Erfordernisse der DS-GVO abgestimmt bzw. vorbereitet haben, brauchen Sie gar nichts zu tun. Sofern Sie das Thema Datenschutz im Allgemeinen bzw. die Geltung der DS-GVO bisher eher verdrängt als proaktiv angegangen haben, so wird es nun Zeit, bestehende Datenschutzkonzepte sorgfältig zu analysieren und entsprechend der europarechtlichen Vorgaben anzupassen. Dabei sollte es zuvorderst um folgende Themenkomplexe gehen: welche personenbezogenen Daten werden im Unternehmen erhoben? Wie sind diese kategorisiert? Wie wird mit ihnen im Detail verfahren und welche technischen Sicherheitsmaßnahmen sind vorhanden. Darüber hinaus empfiehlt sich ein angepasster Aktionsplan, der im Detail festlegt, welche Handlungen zur Umsetzung der neuen datenschutzrechtlichen Vorgaben in Ihrem Unternehmen noch erforderlich sind.

VIII. Fazit & Wo finde ich einen kompetenten Ansprechpartner?

Datenschutz ist in einer globalisierten und zugleich immer gläserner werdenden, rasanten Zeit ein wichtiges und vor allem hohes Gut. Auch die europarechtliche Vereinheitlichung und somit weitest gehende Datenschutzniveauanpassung ist im Kern sicher eine durchaus begrüßenswerte Angelegenheit. Auf der anderen Seite hagelt es zum Teil vernichtende Kritik insbesondere von Seiten der Rechtswissenschaften. Auch ist nicht sicher vorauszusehen, wie sich die Datenschutzbehörden ab Ende Mai nächsten Jahres positionieren und verhalten werden. Da aber nun zunächst einmal die Weichen für die Einhaltung der neuen Standards innerhalb dieses nur noch recht kurzen Zeitrahmens gestellt werden müssen, ist Ihnen die Rechtsanwaltskanzlei Kotz aus Kreuztal bei Siegen gerne bei der Umsetzung behilflich. Sollten Sie diesbezüglich noch weitergehende Fragen haben, so zögern Sie nicht und vereinbaren Sie zeitnah einen Termin in unserer Kanzlei oder nutzen Sie die Möglichkeit der Online-Rechtsberatung.