Einleitung in die neue Datenschutzgrundverordnung: Was wird gelten?

Am 24. Mai 2016 ist die Datenschutzgrundverordnung in Kraft getreten. Nach einem mehr als 4-jährigen Prozess der Reform der alten, aus dem Jahr 1995 stammenden, europäischen Datenschutzvorschriften treten nun neue und umfassende Regeln zum Datenschutz auf europäischer Ebene in Kraft. Ab dem 25. Mai 2018, wird die DSGVO in allen europäischen Mitgliedstaaten unmittelbar gelten. Das bedeutet, dass die deutschen Datenschutzgesetze, wie wir sie bisher kannten, und allen voran das Bundesdatenschutzgesetz (BDSG), dann größtenteils nicht mehr anwendbar sein werden. Sie werden ersetzt durch ein „europäisches Gesetz“ – die DSGVO.

Auch wenn die Ziele und Grundsätze der alten Datenschutzrichtlinie aus 1995 im Grundsatz erhalten bleiben, machen die neuen Regeln in Unternehmen und Behörden Veränderungen im Bereich der internen Anforderungen an die gesetzliche Zulässigkeit („Compliance“) beim Umgang mit personenbezogenen Daten nötig. Betroffen von den neuen Vorschriften sind dem Grunde nach alle Stellen, Unternehmen wie Behörden, die personenbezogene Daten automatisiert oder in Teilen automatisiert verarbeiten. 

Mit unseren Praxistips geben wir Ihnen einen Überblick über einige der wichtigsten Änderungen, die die DSGVO mit sich bringt. Auf diese Weise können Sie sich einen Eindruck verschaffen, was zukünftig anders sein wird und welche Ihrer internen Verfahren Sie voraussichtlich umstellen müssen. Aufgrund des sehr großen Umfangs der Änderungen kann die Darstellung hier allerdings nicht abschließend sein. Hinzu kommt, dass an zahlreichen Stellen noch immer offen ist, wie die Umsetzung der Vorschriften in der Praxis aussehen wird.

Im Mittelpunkt der DSGVO: Personenbezogene Daten 

Wenn Sie personenbezogene Daten - Daten von Kunden, Mitarbeitern, Antragstellern, Dienstleistern, Patienten ... - mittels IT-Technik verarbeiten, werden die neuen Regelungen entsprechende Änderungen Ihrer internen Prozesse erforderlich machen. Wie erwähnt, müssten alle notwendigen Anpassungen zum 25. Mai 2018 umgesetzt sein; eine weitere Übergangsfrist ist nicht vorgesehen.

RÄUMLICHER ANWENDUNGSBEREICH

Der räumliche Anwendungsbereich des europäischen Datenschutzrechts wurde mit der DSGVO erweitert. Zum einen gilt europäisches Datenschutzrecht wie bisher für die Verarbeitung personenbezogener Daten, soweit diese „im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt“. Dabei spielt es keine Rolle, ob die Verarbeitung der Daten in der EU stattfindet oder nicht (Art. 3 Abs. 1). Die Anwendbarkeit der neuen DSGVO ist mit anderen Worten nicht davon abhängig, wo die Daten physisch verarbeitet werden, ob die Server innerhalb oder außerhalb der EU stehen.

Aber damit nicht genug…

Entgegen anderslautenden Gerüchten handelt es sich bei der DSGVO nicht um ein spezielles Gesetz ausschließlich für Online-Angebote, auch wenn ein Motiv für die Neuordnung der Anspruch des europäischen Gesetzgebers war, Datenschutzrisiken im Zusammenhang mit der Nutzung des Internets zu verringern.

Die DSGVO gilt darüber hinaus nun aber auch in folgenden Szenarien (Art. 3 Abs. 2):

Es werden Daten von Personen verarbeitet, die sich in der EU befinden - und diese Verarbeitung erfolgt durch eine nicht in der Union niedergelassene Stelle. Die Datenverarbeitung steht dabei entweder im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen (auch unentgeltlicher Art) oder das Verhalten der Personen wird beobachtet. Ob eine Beobachtung des Verhaltens von Personen vorliegt, soll gemäß den Ausführungen in Erwägungsgrund Nr. 24 daran festgemacht werden, ob die Internetaktivitäten von Personen nachvollzogen werden, durch die ein Profil der Person erstellt wird, das dann weiter verwendet wird, beispielsweise um "persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten" zu "analysieren oder vorauszusagen".

Auf diese Weise kann sich keine datenverarbeitende Stelle mehr mit dem Argument aus der Verantwortung ziehen, es habe keinen Unternehmenssitz in der EU, solange es personenbezogene Daten von EU-Bürgern verarbeitet.

Die 6 Grundsätze der Datenverarbeitung:

Artikel 5 der DSGVO beschreibt die Grundsätze für die Verarbeitung personenbezogener Daten. Ein besonderes Augenmerk liegt hierbei auf Art. 5 Abs. 2, der vorschreibt, dass „der Verantwortliche“ für die Einhaltung dieser Grundsätze verantwortlich ist und deren Einhaltung nachweisen können muss.

„Der Verantwortliche“ ist die Bezeichnung, die die DSGVO für die Unternehmen und Behörden wählt, die die personenbezogenen Daten verarbeitet.

Der Erste der insgesamt sechs Grundsätze lautet:

„Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“.

Dies bedeutet nach dem Wortlaut der DSGVO, personenbezogene Daten müssen „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“ (Art. 5 Abs. 1 Buchst. a).

Die "rechtmäßige Weise" der Datenverarbeitung lässt sich herstellen, indem die von der DSGVO vorgegebenen Regeln für eine erlaubte Datenverarbeitung eingehalten werden. Die für die betroffene Person "nachvollziehbare Weise" dürfte schon schwieriger zu bewerkstelligen sein. Welche Konsequenz hat dieser Grundsatz beispielsweise für ein Unternehmen, das auf Webseiten im Hintergrund Werkzeuge einsetzt, die in Sekundenschnelle beim Onlinekauf die Bonität des Bestellers prüfen.

Der Zweite Grundsatz ist altbekannt und war in der Entwicklung der DSGVO heftig umstritten: „ZWECKBINDUNG“.

Die Zweckbindung hängt eng mit der Anforderung zusammen, personenbezogene Daten nur für Zwecke zu verarbeiten, die nach der DSGVO auch erlaubt sind. Personenbezogene Daten müssen „für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“.

Die Weiterverarbeitung für Archivzwecke, die im öffentlichen Interesse liegen, ist jedoch erlaubt, ebenso die Weiterverarbeitung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke. (Art. 5 Abs. 1 Buchst. b).

Beispiel: 

Ein im Sinne der DSGVO legitimer Zweck ist die Verarbeitung von personenbezogenen Daten im Rahmen eines Vertrages. Erhebt und verarbeitet eine Bank Daten einer Person, die bei ihr ein Girokonto führt, ist die Bank berechtigt, alle für den Betrieb des Kontos notwendigen Informationen zu verarbeiten. Dazu gehören neben den Kontaktdaten des Kontoinhabers auch die Kontostände und möglicherweise eingeräumte Dispositionskredite. Hingegen ist die Bank nicht berechtigt, die Kontobewegungen im Einzelnen zu analysieren und daraus Werbemaßnahmen zu generieren. Dies geht über den ursprünglichen Zweck hinaus und benötigt die vorherige Zustimmung des Kontoinhabers.

In der Praxis wird die Schwierigkeit in dem Nachweis der Einhaltung dieser Grundsätze liegen. Mit welchen praxistauglichen Mitteln soll ein Unternehmen darlegen, dass es sich mit seiner Datenverarbeitung an Recht und Gesetz hält? Mit welchen praxistauglichen Mitteln soll ein Unternehmen seine Datenverarbeitung für diejenigen, um deren Daten es geht, „nachvollziehbar“ machen? Hierzu wird der Schlüssel in der präzisen Dokumentation aller Verarbeitungsprozesse liegen, die personenbezogene Daten beinhalten. Vorstellbar ist ein Vorgehen nach dem Muster von Qualitätsmanagement, bei dem jeder Ablauf im Unternehmen in einen Prozess zerlegt, beschrieben und mit Vorgaben versehen wird, wie er abzulaufen hat.

Mit der Zweckbindung hängt der nächste von der DSGVO genannte Grundsatz zusammen, auch er unter neuer Bezeichnung altbekannt: „DATENMINIMIERUNG", EHEMALS DATENSPARSAMKEIT.

Alle personenbezogenen Daten, die erhoben werden, müssen „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwenige Maß beschränkt sein“ (Art. 5 Abs. 1 Buchst. c).

Beispiel: Zum Zweck der Organisation eines Arbeitsverhältnisses darf nicht die Personalausweisnummer des Ehemannes der Arbeitnehmerin erhoben werden; sie wird für diesen Zweck nicht gebraucht.

Anders als es das Beispiel vermuten lässt, ist der Grundsatz der Zweckbindung im Unternehmensalltag allerdings oft höchst strittig. Je nach Blickwinkel lässt sich teilweise mit durchaus überzeugenden Argumenten eine sehr umfangreiche Erhebung und Verarbeitung personenbezogener Daten rechtfertigen, z.B. im Vertrieb.

 „RICHTIGKEIT“

Personenbezogene Daten müssen „sachlich richtig“ und „erforderlichenfalls auf dem neuesten Stand sein“. Dabei sind „alle angemessenen Maßnahmen zu treffen“, damit personenbezogene Daten, die unrichtig sind, „unverzüglich gelöscht oder berichtigt werden“. Welchen Daten richtig oder unrichtig sind, entscheidet sich anhand des Rückgriffs auf den Zweck (Art. 5 Abs. 1 Buchst. d).

Grundsatz Nummer fünf begrenzt die Erlaubnis zum Speichern von personenbezogenen Daten, „SPEICHERBEGRENZUNG“,

und erlaubt eine längere Speicherung, sofern die betroffene Person nicht mehr identifizierbar ist (Art. 5 Abs. 1 Buchst. e). Ausnahmen sind wiederum für Archiv- und Forschungszwecke sowie statistische Zwecke vorgesehen.

„INTEGRITÄT UND VERTRAULICHKEIT“

Der sechste und letzte Grundsatz schließlich greift die Verknüpfung von Recht und Technik wieder aufund verlangt eine Verarbeitung personenbezogener Daten nur in einer Weise, „die die angemessene Sicherheit der personenbezogenen Daten gewährleistet“, einschließlich des Schutzes vor „unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“.

Zu treffen sind „geeignete technische und organisatorische Maßnahmen“, die diese Folgen verhindern sollen. Den Schutzzielen entsprechend heißt dieser Grundsatz:  „Integrität und Vertraulichkeit“.

(Art. 5 Abs. 1 Buchst. f).

Angemerkt:

Auf diese am Anfang der DSGVO festgelegten Grundsätze lassen sich letztlich alle weiteren Vorschriften der Verordnung zurückführen. Die insgesamt 99 Artikel und 172 vorangestellten Erwägungsgründe formulieren diese Grundsätze aus und setzen sie in konkretere Handlungsanweisungen an die Unternehmen und Behörden um, für die die Verordnung zukünftig der Maßstab ihres Handelns in Bezug auf die Verarbeitung personenbezogener Daten sein wird.

Die Verkehrsregeln 

Genauso, wie die Straßenverkehrsordnung festlegt, was auf der Straße erlaubt ist oder nicht, ist der Umgang mit den persönlichen Daten anderer Menschen durch Unternehmen erlaubt oder verboten. Diese Spielregeln finden sich in der DSGVO.

 Verkehrsregeln

 

ARTIKEL 6: ERLAUBNIS

Auch in Zukunft ist die Verarbeitung personenbezogener Daten auf der Grundlage von „Erlaubnistat-beständen“ (wie Juristen sagen) zulässig. Mindestens eine der von Artikel 6 Abs. 1 DSGVO genannten Bedingungen muss erfüllt sein, damit eine Datenverarbeitung mit der DSGVO im Einklang steht.

Die wichtigsten sind:

  • Die Datenverarbeitung beruht auf der Einwilligung der betroffenen Person in die selbige für einen oder mehrere bestimmte Zwecke.
  • Die Datenverarbeitung ist für die Erfüllung eines Vertrags erforderlich oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen.
  • Die Datenverarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
  • Auch ist eine Datenverarbeitung zulässig, die zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Bemerkenswert ist dabei, dass die Einwilligung an erster Stelle der Erlaubnisse für eine Datenverarbeitung genannt wird. Den Vorrang der Einwilligung vor allen anderen Erlaubnistatbeständen spiegelt auch Erwägungsgrund 40 der DSGVO wieder, in dem es heißt: „Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung ergibt“.

ARTIKEL 7: BEDINGUNGEN FÜR INHALT UND FORM

Die Bedingungen, wann eine wirksam erteilte Einwilligung in eine Datenverarbeitung vorliegt, benennt Art. 7 DSGVO:

  • Freiwilligkeit. Insbesondere darf die Erfüllung eines Vertrages nicht von der Einwilligung in eine Datenverarbeitung abhängig gemacht werden, die für die Erfüllung des Vertrages nicht erforderlich ist.
  • Möglichkeit des jederzeitigen Widerrufs durch die Person, um deren Daten es geht. Information der betroffenen Person über diese Möglichkeit und der Widerruf muss so einfach wie die Erteilung der Einwilligung sein.
  • Ist die Einwilligung ein Teil von mehreren schriftlichen Erklärungen, muss die Einwilligung leicht zugänglich in der Form und sprachlich einfach und klar sein, so dass sie von den anderen Teilen unterscheidbar ist.

Während diese Vorschriften dem Grunde nach eine Kodifizierung dessen darstellen, was nach deutschem Datenschutzrecht schon jetzt gilt, ist die Vorgabe neu hinzugekommen, dass der für die Datenverarbeitung Verantwortliche nachweisen können muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

ARTIKEL 8: DIE EINWILLIGUNG DURCH KINDER ONLINE

Ebenfalls neu hinzugekommen ist die Vorschrift des Art. 8 DSGVO, nach der die Einwilligung eines Kindes in die Datenverarbeitung im Zusammenhang mit einem Online-Angebot nur rechtmäßig ist, wenn das Kind das sechzehnte Lebensjahr vollendet hat oder die Sorgeberechtigten zugestimmt haben. Allerdings können die Mitgliedsstaaten durch eigene Rechtsvorschriften eine niedrigere Altersgrenze vorgesehen, wobei diese allerdings nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.

Für die Praxis… 

bedeutet dies, dass sich an der Mühsal mit den Einwilligungserklärungen in Zeiten immer komplexer werdender automatisierter Datenverarbeitung nicht viel verändern wird. Der Mühsal, Einwilligungs-erklärungen zu entwerfen mit denen die betroffenen Personen, wie der Erwägungsgrund 32 der Verordnung verlangt, „freiwillig“, „für den konkreten Fall“, „in informierter Weise“ und „unmissverständlich“ in die Verarbeitung ihrer Daten einwilligen. Die von dem genannten Erwägungsgrund vorgesehenen Möglichkeiten der elektronischen oder gar mündlichen Einwilligung dürfte die Sache nicht wesentlich vereinfachen - ganz abgesehen von der Frage, wie bei einer mündlich erteilten Einwilligung das Erfordernis des Nachweises erfolgen können sollte.

Zu prüfen ist weiterhin, wie die Anforderung, dass "in informierter Weise" in Datenverarbeitung einzuwilligen ist, an Stellen umgesetzt werden soll, wo Unternehmen gar kein Interesse an Transparenz haben. Dies gilt z.B. für den Online Handel, der mittels spezieller Software in Sekundenschnelle die Bonität eines Käufers prüft und von dem Ergebnis den Zahlungsweg abhängig macht.