Mit der DS-GVO hat das EU-Parlament heute eine Fundamentalreform des Datenschutzrechts beschlossen. Die Rechtslage in Europa wird damit einheitlicher, aber auch strenger – und Bußgelder können in die Milliarden gehen. Ein Überblick.
Das EU-Parlament hat heute die EU-Datenschutz-Grundverordnung (DS-GVO) verabschiedet. Diese Regelung wird zukünftig alle nationalen Gesetze der Mitgliedsstaaten zum Datenschutz und damit auch das bisher geltende Bundesdatenschutzgesetz (BDSG) ersetzen. Sie tritt 2018 in Kraft.
Die einheitliche Neuregelung des Datenschutzes auf EU-Ebene bringt umfangreiche neue Anforderungen mit sich. Damit hat das EU-Parlament das größte Reformvorhaben des EU-Datenschutzes der letzten 20 Jahre umgesetzt. Ein Überblick der wichtigsten Änderungen:
Harmonisierung des europäischen Datenschutzrechts
Ziel der DS-GVO ist es insbesondere, das Datenschutzrecht auf europäischer Ebene vollständig zu harmonisieren. Die Verordnungsgeber möchten ein europaweit einheitlich hohes Datenschutzniveau schaffen. Gleichzeitig soll der freie Datenverkehr im EU-Binnenmarkt gefördert werden. Schutzlücken und Wettbewerbsverzerrungen zwischen den Mitgliedsstaaten durch eine unterschiedliche Umsetzung der bisherigen Datenschutzrichtlinie (Richtlinie 95/46/EG) auf nationaler Ebene sollen durch die DS-GVO weitestgehend beseitigt werden.
Diese Ziele erreicht die Verordnung, indem sie in allen EU-Mitgliedsstaaten unmittelbar und zwingend gilt. Zwar erlaubt sie durch entsprechende Ermächtigungen, zu einzelnen Themenkomplexen abweichende nationale Regelungen zu treffen, um nationalen Besonderheiten Rechnung zu tragen. Ein einheitlich hohes Datenschutzniveau wird zukünftig allerdings auch durch die Verpflichtung der nationalen Datenschutz-Aufsichtsbehörden zur verstärkten Zusammenarbeit erreicht. Insbesondere sollen die Behörden der Mitgliedsstaaten zukünftig untereinander Informationen austauschen und Amtshilfe leisten, um die einheitliche Anwendung der DS-GVO sicherzustellen.
Geltungsbereich und Umsetzungsfrist
Die Neuregelung des Datenschutzrechts auf EU-Ebene betrifft alle Unternehmen, die personenbezogene Daten verarbeiten (z.B. Kunden- oder Mitarbeiterdaten). Diese müssen die Vorgaben der DS-GVO umsetzen. Das gilt beispielsweise für sämtliche Unternehmen, die Gerichtsverfahren führen, CRM- oder Personaldatensysteme vorhalten oder interne Ermittlungen durchführen.
Die DS-GVO tritt am 20. Tag nach ihrer Verkündung in Kraft und gilt zwei Jahre nach diesem Tag. Nach dieser relativ kurz bemessenen Umsetzungsfrist müssen Unternehmen die umfangreichen Neuregelungen zwingend beachten.
Bußgeldsummen vervielfacht
Zu den wichtigsten Neuerungen zählen Ansprüche auf immateriellen Schadensersatz für Betroffene mit einer Beweislastverteilung zulasten des datenverarbeitenden Unternehmens, ein Verbandsklagerecht sowie Bußgelder von bis zu vier Prozent des globalen Unternehmensumsatzes beziehungsweise bis zu 20 Millionen Euro für betroffene Manager oder andere Entscheidungsträger. Dies ist ein Vielfaches des bisherigen Bußgeldrahmens von bis zu 300.000 Euro pro Verstoß. Diese neue Art der Sanktionierung von Verstößen ist an das Kartellrecht angelehnt, aus dem Milliardenbußgelder in prominenten Fällen bereits hinreichend bekannt sind.
Nahezu jede maßgebliche Vorgabe der DS-GVO ist zukünftig bußgeldbewehrt. Das wirkt sich beispielsweise auch auf IT-Sicherheit und Cyber-Security aus. Fehler bei der Datensicherheit ziehen Bußgelder von bis zu zwei Prozent des globalen Umsatzes nach sich. Für die Einhaltung der Datenschutzvorgaben sind zukünftig nicht nur Vorstände, Geschäftsführer und andere Entscheidungsträger persönlich verantwortlich. Auch Datenschutzbeauftragte müssen künftig aktiv überwachen, ob das Unternehmen die Vorgaben der DS-GVO einhält. Damit erweitert die DS-GVO die Verantwortung und Verpflichtungen des Datenschutzbeauftragten deutlich. Denn nach dem BDSG muss der Datenschutzbeauftragte derzeit nur auf die Einhaltung hinwirken.
Geltungsbereich, Kopplungsverbot, Meldepflichten
Die Verordnung wird über die EU hinaus extraterritorial wirken. Auch in Drittländern außerhalb der EU ansässige Unternehmen müssen somit die Vorgaben der DS-GVO beachten, wenn sie Daten von Personen in der EU verarbeiten, um diesen Waren oder Dienstleistungen anzubieten, oder wenn sie das Verhalten von Personen in der Union beobachten.
Der Umgang mit personenbezogenen Daten auf Grundlage einer Einwilligung eines Betroffenen bleibt erfreulicherweise auch nach der DS-GVO zulässig. Wie bisher sind Einwilligungen nur wirksam, wenn der Betroffene sie freiwillig abgibt. Darüber hinaus gilt zukünftig ein strenges Koppelungsverbot. Dies bedeutet, dass vertragliche Zusatzleistungen nicht mehr davon abhängig gemacht werden dürfen, dass der Betroffene eine Einwilligung in die Verarbeitung seiner personenbezogenen Daten erteilt.
Hinzu kommen vor allem noch weitere umfassende Transparenz-, Informations- und Dokumentationspflichten, die über die bisher geltenden Vorgaben nach dem BDSG hinausgehen. Bei Datenschutzverletzungen sieht die Verordnung beispielsweise im Vergleich zur bisherigen Rechtslage erweiterte Melde- und Benachrichtigungspflichten vor.
2/2: Das Recht auf Vergessenwerden und die Compliance
Neu ist auch das Recht auf Datenportabilität. Dies bedeutet, dass Verbraucher von Unternehmen verlangen können, sämtliche über sie gespeicherte personenbezogen Daten herauszugeben. Als Gegenstück hierzu sieht die DS-GVO auch ein Recht auf "Vergessenwerden" vor, das über die bisherigen Löschungspflichten nach dem BDSG hinausgeht. Die Umsetzung dieser neuen Vorgaben kann für Unternehmen einen erheblichen finanziellen und administrativen Mehraufwand mit sich bringen.
Durch den deutlich erhöhten Bußgeldrahmen wirkt sich die DS-GVO zwangsläufig auch auf Compliance-Abläufe im Unternehmen aus. Zum einen müssen Unternehmen mögliche Fehler beim Datenschutz wegen der hohen Bußgelder und möglichen Schadensersatzansprüche im Rahmen von Gefährdungsanalysen neu bewerten. Zum anderen werden auch die Voraussetzungen für datenschutzkonforme Compliance-Kontrollen und interne Ermittlungen durch die neuen Anforderungen und Sanktionen unter der DS-GVO komplexer. Auch organisatorische Compliance-Maßnahmen, um die Einhaltung der datenschutzrechtlichen Vorschriften zu gewährleisten, gewinnen durch die neuen Vorgaben an Bedeutung.
Beschäftigtendatenschutz
Es spricht derzeit einiges dafür, dass die nationalen Regelungen zum Beschäftigtendatenschutz und die dazu ergangene ausdifferenzierte Rechtsprechung der Arbeitsgerichte auch unter der DS-GVO weiter gelten werden. Denn die DS-GVO sieht hier einen Umsetzungsspielraum für nationale Spezialregelungen vor, damit die einzelnen Mitgliedsstaaten die bei ihnen bestehenden Besonderheiten im Beschäftigungskontext angemessen berücksichtigen können. Viele sonstige Regelungen der DS-GVO betreffen allerdings auch direkt oder mittelbar den Datenschutz am Arbeitsplatz. Beispielsweise müssen Arbeitgeber die neuen Anforderungen zur Transparenz bei der Datenverarbeitung auch im Rahmen des Beschäftigtendatenschutzes erfüllen.
Auch bei Betriebsvereinbarungen gibt es teilweise erheblichen Änderungsbedarf. Als Rechtsgrundlage für den Umgang mit Beschäftigtendaten werden sie grundsätzlich weiter zulässig sein. Die DS-GVO schafft insoweit jedoch auch eine Reihe neuer Anforderungen, die Unternehmen bei bestehenden und neuen Betriebsvereinbarungen umsetzen müssen. Die erforderliche Bestandsaufnahme und der anschließende Abstimmungs- und Anpassungsprozess mit den Arbeitnehmervertretungen können durchaus zeitintensiv sein.
Geringere Bußgelder bei nachweislichen Bemühungen
Unternehmen sollten die einzelnen Phasen der Umsetzung der neuen Anforderungen der DS-GVO in der Praxis zügig planen. Sie sollten analysieren, welche Veränderung die DS-GVO gegenüber dem bisherigen Datenschutz nach dem BDSG bringt und wie sich dies in der Praxis auf die Geschäftstätigkeit und die Prozesse im Unternehmen auswirkt. Projekte zur Implementierung des neuen EU-Datenschutzrechts sollten von der ersten Budgetplanung über eine Gap-Analyse und eine Risikobewertung bis hin zur Umsetzung neuer Datenschutz-Management-Strukturen, Datenschutzrichtlinien, Schulungen und der Kontrolle einzelner Prozesse professionell geplant sein.
Ob ein Unternehmen diese Anforderungen erfüllt, werden zukünftig auch die Datenschutzaufsichtsbehörden berücksichtigen, wenn sie entscheiden, ob und in welcher Höhe ein Bußgeld wegen Datenschutzverstößen verhängt wird. Je besser ein Unternehmen also angemessene Bemühungen bei der Umsetzung der organisatorischen Anforderungen der DS-GVO an Datenschutz-Compliance-Strukturen nachweisen kann, desto geringer sind die Bußgeldrisiken bei Datenschutzverstößen.
Teils erhebliche Änderungen nötig
Die Änderungen unter der DS-GVO sind gravierend: Millionenbußgelder, eine verschärfte zivilrechtliche Haftung auch für immaterielle Schäden mit Beweislastumkehr und einem Verbandsklagerecht, umfassende Pflichten bei der Unterrichtung über Datenverarbeitungen oder bei der Dokumentation von Datenschutzprozessen sowie weitgehende Meldepflichten bei Datenpannen.
Die zweijährige Umsetzungsfrist wirkt auf den ersten Blick komfortabel lang. Tatsächlich aber ist sie kurz bemessen. Denn die Neuregelung betrifft jeden Unternehmensbereich, der personenbezogene Daten verarbeitet. In der Praxis sind das vor allem Informationen über Kunden oder Mitarbeiter, teilweise müssen IT-Strukturen und Geschäftsprozesse umgestellt werden.
Viele Firmen haben bereits Budgets zur Umsetzung der neuen Anforderungen der DS-GVO aufgesetzt. In die Umsetzung sollten nicht nur die Bereiche Datenschutz und IT, sondern auch Personal, Recht, Revision und vor allem die operativen Unternehmensfunktionen eingebunden werden. Denn gerade diese sind oft auf umfangreiche Datenverarbeitungen angewiesen. Neben einer professionellen Projektplanung ist es für eine erfolgreiche Umstellung auf das neue Datenschutzrecht entscheidend, die komplexen rechtlichen Anforderungen zu verstehen und in praktikable und wirksame Lösungen umzusetzen. Unternehmen sollten sich deshalb frühzeitig und systematisch mit der Umsetzung des neuen Datenschutzrechts befassen.
Tim Wybitul ist Partner bei Hogan Lovells und berät Unternehmen umfassend zum Datenschutz. Bundesgerichtshof und Bundesarbeitsgericht zitieren seine Veröffentlichungen in mehreren Entscheidungen.
Dr. Wolf-Tassilo Böhm ist als Senior Associate am Frankfurter Standort von Hogan Lovells tätig. Er berät Unternehmen schwerpunktmäßig in arbeits- und datenschutzrechtlichen Fragen, zu IT am Arbeitsplatz, zu Compliance und bei internen Ermittlungen.
Tim Wybitul und Dr. Wolf-Tassilo Böhm, EU-Parlament beschließt Datenschutz-Grundverordnung: Einheitlicher, strenger, teurer . In: Legal Tribune Online, 14.04.2016 , https://www.lto.de/persistent/a_id/19074/ (abgerufen am: 20.04.2024 )
Infos zum Zitiervorschlag