Dübbert & Partner DAS NETZWERK, Versicherungsprüfung, Anlageprüfung, leistungsorientierte und beitragsoptimierte Tarife, das Auswerten des "Kleingedruckten" durch Fachmakler (biometrische Risiken), Fachanwälte (Bank- und Kapitalmarktrecht), gerichtlich zugelassene Rentenberater.

>Zum Datenschutz finden Sie die Ausführungen hier unter diesem Link<

Beiträge

Drucken

Datenschutz-Grundverordnung (DSGVO) bringt ab dem 25. Mai 2018 viele Neuerungen

am . Veröffentlicht in Pressemappe

Bewertung:  / 11
SchwachSuper 

 

 

SCHLATTER Informationen vom 26.04.2018 Schlatter Rechtsanwälte Steuerberater, Heidelberg

Für DAS Netzwerk Dübbert & Partner zur Veröffentlichung freigegeben.

Rechtsanwältin Katrin Staier - Rechtsanwältin Denise Primus

Noch neu und schon in aller Munde: Datenschutz-Grundverordnung

Fast jeder spricht inzwischen davon und in einem Monat gilt sie: Die Datenschutz-Grundverordnung (DSGVO) bringt ab dem 25. Mai 2018 viele Neuerungen. Fast jeder weiß, dass durch die neue Gesetzeslage vor allem auf Unternehmen einiger Handlungsbedarf zukommt. Doch nicht nur Unternehmen, auch Vereine und Gemeinden sollten sich spätestens jetzt mit der Umsetzung des neuen Datenschutzrechts befassen. Was sind die Schwerpunkte? Wo liegt der größte Handlungsbedarf? Welche Risiken gibt es? Unser Newsletter stellt für Sie die wichtigsten Fakten zusammen.

Gesetzesgrundlagen

Die wichtigste rechtliche Grundlage für den Datenschutz wird künftig die Datenschutzgrundverordnung (DSGVO) sein. Diese wird unmittelbar geltendes Recht und regelt den Bereich der Datenverarbeitung durch Private mit einem weitgehend harmonisierten Datenschutzrecht. Daneben findet insbesondere für öffentliche Stellen des Bundes und der Länder das neue Bundesdatenschutzgesetz Anwendung, soweit keine landesrechtlichen Datenschutzgesetze (Landesdatenschutzgesetze) eingreifen.

Gesetzliche Definitionen von einzelnen zentralen Begriffen im Datenschutzrecht finden sich unmittelbar in der DSGVO. Danach gibt es künftig „personenbezogene Daten“, für die die Rechtmäßigkeit der Verarbeitung abschließend in Art. 6 der Datenschutzgrundverordnung geregelt ist. Daneben gibt es die „besonderen Kategorien von personenbezogenen Daten“, deren Verarbeitung nur unter den Ausnahmetatbeständen des Art. 9 DSGVO beziehungsweise für den öffentlichen Bereich nach § 20 BDSG-neu zulässig sein wird. Zu den personenbezogenen Daten gehören wie bisher alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.

Inhaltliche Schwerpunkte

Nach wie vor handelt es sich beim Datenschutzrecht um einen sogenannten „Verbotstatbestand mit Erlaubnisvorbehalt“, so dass die Verarbeitung nur dann erlaubt ist, wenn ein Erlaubnistatbestand vorliegt. Die Datenschutzgrundverordnung führt insbesondere die  Einwilligung, Vertragserfüllung und unter bestimmten weiteren Umständen das Vorliegen eines berechtigen Interessens des Verantwortlichen als Erlaubnistatbestand auf.

Die Einwilligung kann künftig auch konkludent erfolgen, was in der Anwendungspraxis eine Erleichterung darstellen dürfte. Der Schutz von Minderjährigen ist hingegen in der Datenschutzgrundverordnung deutlich verschärft worden.

Richtig bei den Erlaubnistatbeständen ist der Zweckbindungsgrundsatz:  Wenn die Nutzung zu einem anderen als dem ursprünglich mitgeteilten Zweck erfolgen soll, werden datenschutzrechtliche Fragen unter dem Gesichtspunkt der Weiterverarbeitung relevant. Im Jahr 2015 hat die bayerische Landesdatenschutzbehörde ein Bußgeld in fünfstelliger Höhe verhängt, nachdem im Rahmen eines Asset-Deals Kundendaten vom Verkäufer an den Erwerber weitergegeben wurden. Weitere Bußgelder in vergleichbaren Fällen hat die Landesdatenschutzbehörde bereits angekündigt.

Informationspflichten ausgeweitet

Die Informationspflichten sind im Vergleich zum alten Bundesdatenschutzgesetz ausgeweitet und an Fristen gekoppelt worden. Nur wenige Ausnahmen von der Informationspflicht sind in besonderen Fällen zugelassen, so zum Beispiel, wenn der Aufwand unverhältnismäßig groß wäre oder es besondere Rechtsvorschriften gibt, die Ausnahmen regeln.


 

Auftragsverarbeitung

Wichtige Änderungen gibt es auch im Bereich der Auftragsverarbeitung. Hier ist der Begriff des Verantwortlichen und dem (neu) Auftragsverarbeiter nicht identisch mit dem alten Bundesdatenschutzgesetz. Insbesondere ist das bisherige Abgrenzungskriterium der Funktionsübertragung in der Datenschutzgrundverordnung weggefallen. Der Auftragsverarbeiter erhält mehr Verantwortung, mehr Pflichten und ist weisungsgebunden gegenüber dem Verantwortlichen. Im Fall von Datenschutzverletzungen gelten nun auch für den Auftragsverarbeiter neue Haftungsregelungen. Flankiert werden die Regelungen zur Auftragsverarbeitung durch Novellierungen in verschiedenen Gesetzen zu Berufsgeheimnissen.

Widerspruchsrecht

Künftig gibt es das eigenständig geregelte Widerspruchsrecht, mit dem der Betroffene einer – zulässigen – Datenverarbeitung im Einzelfall widersprechen kann. Der Widerspruch hat zur Folge, dass die weitere Verarbeitung von personenbezogenen Daten verboten ist.

Datenübertragbarkeit und Datensicherheit Anspruchsvoll wird für Unternehmen die Erfüllung der neuen Anforderungen im IT-Bereich.  Sowohl das neue „Recht auf Datenübertragung“ als auch der Grundsatz der „datenschutzfreundlichen Prozesse“ werden von den Unternehmen neue Wege und Lösungen verlangen.

Besondere Fragen werfen hierbei die Anforderungen an die Sicherheit personenbezogener Daten auf, insbesondere, soweit es um die sichere Kommunikation im elektronischen Postverkehr und der Notwendigkeit von Maßnahmen zur Sicherstellung des Schutzes vor unbefugtem Zugriff geht (Stichwort „Mail-Verschlüsselung“).  
Gleiches gilt für die Frage, wie künftig die internationale Datenübermittelung, zum Beispiel bei zentraler Verwaltung der Personaldaten innerhalb eines internationalen Konzerns umgesetzt werden kann. 

Organisatorische Anforderungen

Genauso wichtig wie die inhaltlichen Anforderungen der DSGVO zum Recht der Verarbeitung von personenbezogenen Daten und zu den Rechten des Betroffenen sind die Anforderungen an die organisatorischen und betrieblichen Maßnahmen, die Unternehmen künftig erfüllen müssen. Hierbei kommen vor allem die neue Dokumentationspflichten ins Spiel.

Daneben wird das Erfordernis einer Zertifizierung für Unternehmen diskutiert - die Umsetzung hierfür und entsprechende Richtlinien sind derzeit noch offen. Sicher ist aber bereits jetzt, dass die Dokumentation der datenschutzrelevanten Prozesse, datenschutzrelevanter Entscheidungen und datenschutzbezogener Risikoabwägungen ein zentrales Thema vor allem im Bereich einer etwaigen Zertifizierung werden.


 

Beschäftigten-Datenschutz

Hier dürften wohl auch nach dem 25. Mai 2018 einige der bereits jetzt bestehenden Auslegungsfragen zum Datenschutzrecht offen bleiben. Künftig werden aber auch im Beschäftigtendatenschutz die Grundsätze der Zweckbindung, der Zweckkompatibilität sowie der Informationspflichten wichtiger werden als bisher. Gleiches gilt für Regelungen und Vereinbarungen zur (privaten) Nutzung von Informations- und Kommunikationstechnik im Beschäftigungsverhältnis.
Bußgelder bei Verstößen

Im Ergebnis bringt die neue Datenschutzverordnung viel Neues, aber auch Bekanntes.

Das neue nationale Bundesdatenschutzgesetz und neue Landesdatenschutzgesetze sind auf dem Weg. Die Datenschutz-Grundverordnung gilt ungeachtet der nationalen Gesetzgebung ab dem 25.05.2018 unmittelbar. Einige der Neuerungen werden von der  Rechtsprechung und den Aufsichtsbehörden noch mit Leben gefüllt werden müssen. Es bleibt abzuwarten, welche konkreten Ausgestaltungen in einzelnen Bereichen kommen werden.

Für Unternehmen wird mit der neuen gesetzlichen Regelung vor allem das Haftungsrisiko erhöht: Bei Verstößen drohen Bußgelder bis zu 4% des weltweiten jährlichen Bruttoumsatzes.

Handlungsbedarf?

Unternehmen sollten sich spätestens jetzt die Frage stellen, ob sie für die neue Datenschutzgrundverordnung bereit sind: passen die Datenschutzhinweise sowie die Einwilligungen zur Datenverarbeitung – z.B. auf Internetseiten oder bei Vertragsabschluss? Welche Rechte haben Kunden im Einzelfall? Liegen Vereinbarungen zur Auftragsverarbeitung vor, und zwar insbesondere auch dann, wenn personenbezogene Daten innerhalb eines Konzerns oder gar ins Ausland weitergegeben werden müssen? Muss ein Datenschutzbeauftragter bestellt werden? Wie steht es um das Verfahrensverzeichnis und die Datensicherheit, zum Beispiel im E-Mailverkehr?

Wir beraten Sie gern sowohl bei einzelnen Fragen zur Umsetzung der neuen Anforderungen.

Schlatter
Schlatter Rechtsanwälte Steuerberater
Partnerschaftsgesellschaft mbB
Kurfürsten-Anlage 59
69115 Heidelberg
Telefon  +49.6221.9812-12
Telefax  +49.6221.9812-73
k.staier(at)kanzlei-schlatter.de
d.primus(at)kanzlei-schlatter.de
www.kanzlei-schlatter.de