Seit dem 06. April 2016 liegt die redaktionell überarbeitete Fassung der neuen Datenschutzgrundverordnung in den 24 EU-Sprachen vor. Zwar ist das Gesetzgebungsverfahren damit noch nicht ganz abgeschlossen, mit Änderungen ist aber nicht mehr zurechnen. Grund genug für unsere neue Serie, in der wir wesentliche Bereiche der Verordnung vorstellen. In diesem ersten Teil geben wir einen Überblick über die neuen Regelungen.
Wie zu erwarten, krempelt die Datenschutzgrundverordnung (DSGVO) das Datenschutzrecht nicht von Grund auf um. Vielmehr entwickelt sie das europäische Datenschutzrecht, das insbesondere in der EU-Datenschutzrichtlinie enthalten war, weiter. Die Richtlinie war nach zwei Jahrzehnten in die Jahre gekommen – viele der Neuerungen tragen dem technischen Fortschritt Rechnung, insbesondere der weitergehenden Vernetzung, dem Internet, der Ubiquität (Allgegenwart) technischer Verarbeitung und dem Fortschritt in der Verarbeitung genetischer und biometrischer Daten.
Begriffe
Art. 4 DSGVO übernimmt im Wesentlichen die Begrifflichkeiten der EU-Datenschutzrichtlinie und fügt einige neue Definitionen hinzu.
Im Vergleich zum Bundesdatenschutzgesetz entfällt die lästige Unterscheidung der Datenverarbeitungsvorgänge in “Erhebung”, “Verarbeitung” und “Nutzung”. Sämtliche Aktivitäten heißen nunmehr schlicht “Datenverarbeitung”. Dies führt zu einem deutlich besser lesbaren Verordnungstext. Die Terminologie des Bundesdatenschutzgesetzes (BDSG) ist demgegenüber so verwirrend, dass selbst der Gesetzgeber durcheinandergekommen ist (s. etwa die unpassende Überschrift von § 28 BDSG).
Sensible Daten nennt die Verordnung “besondere Kategorien personenbezogener Daten” und stellt sie in Art. 9 DSGVO unter besonderen Schutz. Eigens definiert werden die Unterkategorien der „Gesundheitsdaten“, „biometrischen Daten“ und „genetischen Daten“. Anders als diese Definitionen erwarten lassen, enthält die Verordnung für diese Unterkategorien aber keine Sonderregeln. Sie stellt es lediglich den Mitgliedstaaten frei, entsprechende Sonderregeln zu erlassen (Art. 9 Abs. 4 DSGVO).
Neu ist die Definition des “Profiling”, unter das verschiedene Formen der Profilbildung, wie etwa Tracking und Scoring, fallen. Daran knüpfen Vorschriften wie das Widerspruchsrecht in Art. 21 DSGVO an. Hier zeigt sich, dass der Verordnungsgeber gerade die Datenverarbeitung im Rahmen von vermeintlich kostenfreien, werbefinanzierten Internetangeboten (Tracking, Targeting) als wesentliche Gefahr für das informationelle Selbstbestimmungsrecht sieht.
Grundsätze der Datenverarbeitung
Art. 5 DSGVO nennt die allgemeinen Grundsätze, die für jede Datenverarbeitung gelten:
- Rechtmäßigkeit
- Verarbeitung nach Treu und Glauben
- Transparenz
- Zweckbindung
- Datenminimierung (bisher: “Datensparsamkeit”)
- Richtigkeit
- Speicherbegrenzung (gemeint: Speicherung nur solange wie nötig)
- Integrität und Vertraulichkeit
- Rechenschaftspflicht des Verantwortlichen
Die meisten dieser Grundsätze waren bereits in Artikel 6 Abs. 1 der Datenschutzrichtlinie enthalten. Neu ist die ausdrückliche Nennung der Transparenz: unabhängig von der Rechtfertigung einer Datenverarbeitung soll diese grundsätzlich nicht erfolgen, ohne dass die Betroffenen den Verarbeitungsvorgang nachvollziehen können. Damit wird die Idee des informationellen Selbstbestimmungsrechts gestärkt. Denn ohne Kenntnis der Verarbeitung ist eine Kontrolle durch die Betroffenen nicht möglich.
Rechtmäßigkeit
Erhalten bleibt auch das grundsätzliche Verbot der Datenverarbeitung mit Erlaubnisvorbehalt (s. Art. 6 Abs. 1 DSGVO: “Die Verarbeitung ist nur rechtmäßig, wenn…”). Erlaubt sind danach weiterhin nur Datenverarbeitungen, die entweder durch eine Erlaubnisvorschrift oder durch eine Einwilligung der Betroffenen gedeckt sind.
Die Anforderungen an eine Einwilligung enthält Art. 7 DSGVO. Dabei fällt eine Verschärfung besonders ins Auge: Nach Art. 7 Abs. 4 DSGVO kann eine Einwilligung unwirksam sein, wenn daran ohne Notwendigkeit die Erfüllung eines Vertrags oder die Erbringung einer Dienstleistung gekoppelt ist. Da die Norm jedoch sehr offen formuliert ist, bleibt abzuwarten, wie streng dieses “Kopplungsverbot” ausgelegt und angewendet wird.
Betroffenenrechte: Recht auf Vergessen und Recht auf Datenübertragbarkeit
Die Rechte der Betroffenen, mit denen diese auf die Verarbeitung ihrer Daten Einfluss nehmen können, wurden deutlich gestärkt.
So wurde als Folge der EuGH-Entscheidung “Google Spain” das Recht auf Löschung ausdrücklich zum “Recht auf Vergessenwerden” erweitert. Wer personenbezogene Daten veröffentlicht hat und diese nun löschen muss, ist nun verpflichtet, zumutbare Anstrengungen zu unternehmen, um Dritte zur Löschung von Links oder Kopien der Daten aufzufordern (Art. 17 Abs. 2 DSGVO).
Art. 20 DSGVO gibt Betroffenen, die ihre Daten einer verantwortlichen Stelle zur Verfügung gestellt haben, dass Recht, diese in einem “strukturierten, gängigen und maschinenlesbaren Format” zu erhalten. Ziel ist insbesondere, zu einem anderen Dienstanbieter wechseln zu können. Daher kann auch verlangt werden, die Daten nach Art. 20 Abs. 2 DSGVO direkt an eine neue verantwortliche Stelle zu übermitteln.
Diese neuen Rechte sind erkennbar auf Internetriesen wie Google und Facebook gemünzt. Sie sind aber technologieneutral formuliert und gelten damit auch außerhalb des Internets. Ob eine Anwendung dieser außerhalb des Internets und elektronischer Dienstleistungen aber viel Sinn ergibt, wird sich zeigen.
Betrieblicher Datenschutzbeauftragter
Nach Art. 37 DSGVO benötigen Unternehmen (auch: Auftragsverarbeiter) einen Datenschutzbeauftragten,
- wenn ihre Kerntätigkeit in einer Datenverarbeitung besteht, die eine umfassende regelmäßige und systematische Überwachung betroffener Personen erfodert,
- wenn ihre Kerntätigkeit in der umfangreichen Verarbeitung sensibler Daten besteht, oder
- wenn das Recht des Mitgliedstaates dies anordnet.
Eine Bestellpflicht trifft also nach der Verordnung hauptsächlich die Unternehmen, die hauptsächlich sensible Daten verarbeiten, wie z.B. private Krankenhäuser, Krankenkassen etc.
Datenverarbeitung im Konzern
Das vieldiskutierte – im bisherigen Recht nicht enthaltene – “Konzernprivileg” gibt es auch mit der Datenschutzgrundverordnung nicht. Damit bedürfen Datenübermittlungen zwischen konzernangehörigen Gesellschaften auch weiterhin einer Rechtfertigung. Allerdings erkennt die Verordnung in Erwägungsgrund 48 ausdrücklich an, dass es ein berechtigtes Interesse geben kann, innerhalb einer Unternehmensgruppe Kunden- und Beschäftigtendaten für interne Verwaltungszwecke zu übermitteln. Dies wird in Zukunft von den Aufsichtsbehörden bei der Beurteilung konzernweiter Datenbanken und IT-Verfahren zu beachten sein. Für die – gerade auch konzernweite – Verarbeitung von Beschäftigtendaten können die Mitgliedstaaten zudem über die Verordnung hinaus eigene Vorschriften erlassen (Art. 88 DSGVO).
Datenübermittlung in Drittländer
Die Datenübermittlung in Länder außerhalb der EU erfordert nach Art. 44 ff. DSGVO bisher besondere Vorkehrungen. Sofern kein Beschluss der Kommission vorliegt, dass das Drittland ein angemessenes Datenschutzniveau bietet (Art. 45 DSGVO), sind geeignete Garantien für den Schutz der Daten erforderlich. Hierzu zählen z.B. “verbindliche interne Datenschutzvorschriften” (bisher bekannt als “verbindliche Unternehmensregelungen” oder “Binding Corporate Rules”), die von der zuständigen Aufsichtsbehörde zu genehmigen sind, s. Art. 47 DSGVO. Auch Standarddatenschutzklauseln mit Genehmigung der Kommission wird es weiterhin geben.
Aufschlußreich ist ferner die Möglichkeit, die internationale Datenübermittlung durch Einsatz genehmigter Zertifizierungsverfahren zu rechtfertigen (Art. 45 Abs. 2 f DSGVO). Überhaupt setzt die Verordnung erkennbar auf Zertifizierungen, Datenschutzsiegel und -prüfzeichen, um die für Unternehmen Rechtssicherheit und für Betroffene Transparenz hinsichtlich der eingesetzten Datenschutzstandards zu schaffen (vgl. Art. 42 DSGVO).
Aufsichtsbehörden: “One-Stop-Shop”
Das neue Recht regelt ausführlich die Abgrenzung der Zuständigkeiten der nationalen Aufsichtsbehörden. Gerade bei Unternehmen, deren Tätigkeit Auswirkungen auf mehrere EU-Mitgliedstaaten hatte, war es hier in der Vergangenheit zu Kompetenzkonflikten gekommen. So wurde die irische Aufsichtsbehörde von Kollegen wiederholt für ihre zurückhaltende Durchsetzung des EU-Datenschutzrechts gegenüber den zahlreichen IT-Unternehmen kritisiert, die in Irland ihr EU-Headquarter unterhalten (z.B. Facebook, Dropbox, eBay, LinkedIn, Twitter).
Nach dem Prinzip des “One-Stop-Shop” hat nunmehr gemäß Art. 56 DSGVO die Aufsichtsbehörde am Ort der Hauptniederlassung die “Federführung”. Sie ist damit zentraler Ansprechpartner für das Unternehmen. Die umständliche Abstimmung von grenzüberschreitenden Verfahren – wie z.B. dem Angebot von Diensten über das Internet – mit den Aufsichtsbehörden aller betroffenen EU-Mitgliedstaaten fällt damit für das Unternehmen in vielen Fällen fort. Stattdessen findet die Koordination unter den Behörden nach dem Verfahren gem. Art. 60 ff. DSGVO statt, während gegenüber dem Unternehmen vor allem die federführende Behörde auftritt.
Drastisch verschärfte Sanktionen
Befürworter eines starken Datenschutzes habe schon lange die relativ schwachen Sanktionsmechanismen des noch geltenden Rechts kritisiert. So sieht § 43 BDSG für unrechtmäßige Datenverarbeitung zwar Bußgelder und § 44 BDSG ggf. sogar die Strafbarkeit vor. Jedoch waren diese Mittel als solche nicht sonderlich effektiv. Die Strafnorm des § 44 BDSG wurde in der Praxis von den Staatsanwaltschaften stiefmütterlich behandelt und fast gar nicht angewandt. Die Bußgelder des § 43 BDSG besaßen angesichts ihrer festen Obergrenzen (50.000 € bzw. 300.000 €) für große Unternehmen keine Abschreckungswirkung. Auch die Schadensersatzvorschriften (§§ 7 und 8 BDSG) erwiesen sich als zahnlos. Dies lag unter anderem daran, dass nach verbreiteter Auffassung Personen, die von einer unberechtigten Datenverarbeitung im nicht-öffentlichen betroffen waren, nur in außergewöhnlichen Fällen einen immateriellen Schaden geltend machen konnten. – Die wesentliche Motivation zur Einhaltung des Datenschutzes bestand daher meist in der Angst vor negativer Presse und Imageschäden bei Datenlecks oder aufsichtsbehördlichen Beanstandungen.
Art. 83 Abs. 1 DSGVO legt nunmehr ausdrücklich fest, dass Bußgelder abschreckend sein müssen. Die neue Obergrenze beträgt 20 Mio. €. Bei großen Unternehmen greift jedoch die flexible Obergrenze von 4% des weltweiten Vorjahresumsatzes. Daneben werden möglicherweise auch die zivilrechtlichen Ansprüche der Geschädigten neue Bedeutung erlangen. Denn Art. 82 Abs. 1 DSGVO stellt klar, dass Betroffene auch für immaterielle Schäden Ersatz verlangen können.
Fazit
Die EU-DSGVO entwickelt das europäische Datenschutzrecht weiter und bringt zahlreiche Neuerungen. Über die wesentlichen Änderungen werden wir Sie in den nächsten Beitragen unserer Serie zur EU-DSGVO informieren.
Andere Beiträge in dieser Serie:
2. Teil der Serie: Bußgelder, Strafen und Schadensersatz für Datenschutzverstöße
3. Teil der Serie: Grundsätze zur Datenverarbeitung, Einwilligung und Erlaubnistatbestände
4. Teil der Serie: Auftragsdatenverarbeitung und internationaler Datenverkehr
Bild: (c) Claude Truong-Ngoc, CC BY-SA 3.0