DAS QUARTAL 1.2018

Einführung in die EU-DSGVO Am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Dadurch werden unmittelbar das bisherige Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) abgelöst. Z eitgleich tritt ein dazugehöriges deut- sches Ergänzungsgesetz (Datenschutz- Anpassungs- und -Umsetzungsgesetz – DSAnpUG) in Kraft, das die DSGVO zum Teil modifiziert und konkretisiert. Die DSGVO wird durch die noch in Ab- stimmung befindliche EU-E-Privacy-Ver- ordnung, die ebenfalls am 25. Mai 2018 in Kraft treten soll und Internet- und Teleme- diendienste betrifft, ergänzt. Keine Änderung der Grundprinzipien Die DSGVO schreibt die bekannten daten- schutzrechtlichen Grundprinzipien fort. Die Grundsätze des „Verbots mit Erlaub- nisvorbehalt“, der „Datensparsamkeit“, der „Zweckbindung“ und der „Transparenz“ haben auch zukünftig Bestand. Im Mittelpunkt des Datenschutzes steht auch in Zukunft die Datensicherheit. So kann eine Pseudonymisierung oder Verschlüsselung erforderlich sein. Veral- tete Verschlüsselungsstandards können sogar mit Bußgeldern in Höhe von bis zu 2 % des Vorjahresumsatzes belegt werden. Datenverarbeitung und auch Auftragsver- arbeitung ist in Drittstaaten weiterhin nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Betroffenenrechte werden durch Trans- parenz, proaktive Benachrichtigungs- pflichten, Auskunfts-, Berichtigungs- und Löschungsansprüche gewährleistet. Eine besondere Ausprägung des Löschungsan- spruchs stellt das „Recht auf Vergessen- werden“ dar. Wichtige Neuerungen Jede Stelle muss zukünftig nachweisen können, dass sie ein Gesamtkonzept zur Ein- haltung des Datenschutzes besitzt, das sie regelmäßig kontrolliert und weiterentwickelt. Nach der DSGVO müssen Unternehmen personenbezogene Daten auf Antrag in einem gängigen und maschinenlesbaren Format entweder an den User oder gleich an ein anderes Unternehmen übergeben können. Neben diesem Recht auf Daten- übertragbarkeit werden Betroffene ein all- gemeines Widerspruchsrecht gegen eine an sich rechtmäßige Verarbeitung von per- sonenbezogenen Daten, die im öffentlichen Interesse liegt, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten In- teresses des Verantwortlichen oder eines Dritten erfolgte, erhalten. Der Verantwortli- che darf dann die Daten nur noch verarbei- ten, wenn er zwingende berechtigte Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten des Betroffenen überwiegen. Die DSGVO stärkt die Rechte der Auf- sichtsbehörden. Für internationale Orga- nisationen ist nur noch die Datenschutz- Aufsichtsbehörde an ihrem Hauptsitz in der EU zuständig („federführende Auf- sichtsbehörde“). Betroffene können sich an ihre jeweils nächstgelegene Aufsichts- behörde wenden, die das Anliegen dann weiterleiten muss. Die Behörden müssen sich untereinander abstimmen. Auch die Sanktionsmöglichkeiten der Auf- sichtsbehörden werden erheblich ausge- dehnt: Der Bußgeldrahmen wird deutlich erhöht und kann bis zu 20 Mio. Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Neu im Datenschutz-Schadensrecht sind der Direktanspruch des Betroffenen gegen den Auftragsverarbeiter und eine Beweis- lastumkehr für Datenschutzverletzungen. Herausragende Bedeutung des techni- schen und organisatorischen Datenschut- zes haben die Regelungen zu Privacy by Design und Privacy by Default: Datenschutz muss integraler Bestandteil der Entwick- lung sein (Datenschutz durch Technikge- staltung). Zusätzlich muss der maximale Datenschutz die Grundeinstellung sein und nicht mehr nur eine Option (Datenschutz- freundliche Voreinstellungen). Auch die Auftragsdatenverarbeitung wird europaweit einheitlich geregelt und an- gepasst. Eine vertragliche Regelung ist weiterhin als Grundvoraussetzung für die Verarbeitung personenbezogener Daten erforderlich. Neu ist, dass auch der Auf- tragsverarbeiter ein „Verzeichnis der Ver- arbeitungstätigkeiten“ führen muss. DAS QUARTAL 1.18 26 Themen im Fokus