Alles zur EU-Datenschutzgrundverordnung (EU-DSGVO) - Kompakt und einfach erklärt
Übersicht:
- EU-DSGVO: Grundlagen
- Datenschutz: Rechte und Pflichten
- Datenschutzbeauftragter (DSB)
- Sanktionen
- Datenschutz-Folgenabschätzung (DSFA)
- EU-DSGVO im Betrieb
- Internationale Datentransfers
- Einwilligung in die Datenverarbeitung
- EU-DSGVO und Kinder
EU-DSGVO: Grundlagen
Die Datenschutz-Grundverordnung (EU-DSGVO oder auch nur DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden.
Mit der EU-DSGVO wird das Datenschutzrecht innerhalb der EU für den privaten und öffentlichen Bereich vereinheitlicht. Zwischen den Mitgliedsstaaten wird damit ein einheitlicher Rechtsrahmen geschaffen. Folglich gilt ein hoher Datenschutzstandard für alle 500 Millionen Bürger und gleiches Recht für alle.
Elementarer Grundsatz ist die Transparenz. Betroffene sollen in die Lage versetzt werden, die Datenerhebung, -verarbeitung bzw. -nutzung zu prüfen oder, wie es das Bundesverfassungsgericht ausgedrückt hat, es soll ihnen möglich sein, zu wissen und zu kontrollieren, „wer was wann und bei welcher Gelegenheit über sie weiß.“ Zusammenfassend lässt sich sagen, dass die EU-DSGVO die Rechte der Betroffenen grundsätzlich zu stärken versucht und diese in manchen Bereichen sogar ausweitet. Dabei bieten vor allem die neuen Transparenz- und Informationspflichten für Unternehmen einen deutlich stärkeren Schutz des Betroffenen als die alten Regelungen des Bundesdatenschutzgesetzes (BDSG).
Seit dem 24. Mai 2016 und strafbehwert seit dem 25. Mai 2018. Seit letzterem Datum dürfen also Sanktionen wie Strafzahlungen angeordnet werden.
Es ist zu unterscheiden zwischen dem sachlichen und dem räumlichen Anwendungsbereich.
Sachlicher Anwendungsbereich nach Art. 2 DSGVO:
„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.
Zur Verarbeitung zählen nach Art. 4 Nr. 2 DSGVO „das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ von Daten.
Räumlicher Anwendungsbereich nach Art. 3 DSGVO:
Der räumliche Anwendungsbereich der DSGVO ergibt sich nach Art. 3 DSGVO grundsätzlich bei der Verarbeitung personenbezogenen Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet (Art. 3 Abs. 1 DSGVO).
Die DSGVO gilt nicht nur für in der EU niedergelassene Unternehmen. Voraussetzung für die Anwendbarkeit ist nach Art. 3 Abs. 2 EU-DSGVO lediglich, dass sich ein Angebot an einen bestimmten nationalen Markt in der EU richtet oder dass die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient.
Gemäß Art. 27 Abs. 1 EU-DSGVO müssen Unternehmen, die keine Niederlassung in der EU unterhalten, aber Personen in der Union Waren oder Dienstleistungen anbieten oder ihr Verhalten – z.B. durch „Tracking“ oder „Profiling“ – beobachten, grundsätzlich einen EU-Vertreter bestellen.
Der räumliche Anwendungsbereich kann vertraglich nicht geändert werden. Hat ein Mitgliedstaat jedoch im Rahmen einer Öffnungsklausel eine nationale Datenschutzregelung getroffen, ist grundsätzlich das Datenschutzrecht des jeweiligen Mitgliedstaats maßgeblich.
Die DSGVO gilt nur, wenn personenbezogene Daten betroffen sind. Dieser Begriff ist allerdings sehr weit gefasst (Art. 4 Nr. 1 DSGVO) und umfasst beispielsweise Informationen zu
- Name
- Adresse
- Telefonnummer
- Autokennzeichen
- IP-Adresse einer Person
- Rasse oder Ethnie
- politischen Meinungen
- religiösen oder weltanschaulichen Überzeugungen
- Gewerkschaftszugehörigkeit
- genetischen Daten
- biometrischen Daten zu eindeutigen Identifizierung einer Person
- Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person
- Daten über strafrechtliche Verurteilungen und Straftaten
Dabei ist letztlich entscheiden, ob die jeweilige Information einer Person irgendwie zugeordnet und damit ein Personenbezug hergestellt werden kann.
Ja. Hierzu zählt beispielsweise der private und familiäre Lebensbereich, also privater Schriftverkehr, ein privates Anschriftenverzeichnis oder die private Nutzung sozialer Netze und private Online-Tätigkeiten.
Datenschutz: Rechte und Pflichten
In Art. 32 Abs. 1 b) DSGVO sind Schutzziele aufgelistet, die bei der Verarbeitung personenbezogener Daten sicherzustellen sind.
- Vertraulichkeit, d.h. Daten sind für unberechtigte Dritte nicht zugänglich.
- Integrität, d.h. Daten können nicht verfälscht werden.
- Verfügbarkeit, d.h. Daten stehen zur Verfügung, wenn sie gebraucht werden.
- Informationsrecht
- Auskunfts- und Widerspruchsrecht
- Recht auf Berichtigung, Löschung und Einschränkung
- Recht auf Datenübertragbarkeit
Nach Art. 23 DSGVO sind nationale Abweichungen der einzelnen Mitgliedstaaten auf bestimmten Gebieten möglich, wie zum Beispiel bei Fragen der nationalen und öffentlichen Sicherheit oder wichtigen Zielen des allgemeinen öffentlichen Interesses.
Werden personenbezogene Daten beim Betroffenen erhoben, muss der Verantwortliche nach Art. 13 Abs. 1 DSGVO folgende Informationen mitteilen:
- Identität des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- Verarbeitungszwecke der Daten und Rechtsgrundlage
- Berechtigtes Interesse an der Datenverarbeitung
- Konkrete Empfänger der Daten
- Übermittlung in Drittstaaten
- Dauer der Speicherung
- Rechte der Betroffenen
- Widerrufbarkeit von Einwilligungen
- Beschwerderecht bei der Aufsichtsbehörde
- Verpflichtung zur Bereitstellung personenbezogener Daten
- Automatisierte Entscheidungsfindung und Profiling, sofern zutreffend
Wann müssen Betroffene informiert werden?
Bei der Direkterhebung muss der Betroffene nach Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung informiert werden.
Werden die Daten nicht beim Betroffenen erhoben, muss der Verantwortliche die Informationen nach Art. 14 Abs. 3 DSGVO grundsätzlich innerhalb einer angemessenen Frist, spätestens jedoch nach einem Monat erteilen. Werden die Daten allerdings zur Kommunikation mit dem Betroffenen verwendet oder sollen an einen Empfänger übermittelt werden, ist die Information zwingend zum Zeitpunkt der Kontaktaufnahme oder ersten Übermittlung
In welcher Form müssen die Informationen bereitgestellt werden?
Nach Art. 12 DSGVO sind die oben dargestellten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen. Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden.
Ja. Soweit die Daten nicht beim Betroffenen erhoben werden, sind die Informationspflichten gemäß Art. 14 Abs. 5 DSGVO in drei Fällen entbehrlich:
- Die Information ist unmöglich oder unverhältnismäßig aufwendig.
- Die Erhebung oder Übermittlung ist gesetzlich vorgeschrieben.
- Es besteht ein Berufsgeheimnis oder eine sonstige satzungsmäßige Geheimhaltungspflicht.
Datenschutzbeauftragter (DSB)
Ein Datenschutzbeauftragter (DSB) wirkt in einer Organisation auf die Einhaltung des Datenschutzes hin.
Die Aufgaben und Pflichten eines betrieblichen Datenschutzbeauftragten sind laut Art. 39 DSGVO:
- Unterrichtung und Beratung der Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten
- Überwachung der Einhaltung der DSGVO und nationaler Sonderregelungen
- Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung
- Sensibilisierung und Schulung der Mitarbeitenden
- Auf Anfrage: Beratung und Erstellung von Datenschutz-Folgenabschätzungen und Ansprechpartner für Aufsichtsbehörden
Der DSB unterliegt dem besonderen Kündigungsschutz und der Verschwiegenheitspflicht und hat ein Zeugnisverweigerungsrecht.
Artikel 37 ff. der EU-DSGVO sieht europaweit grundsätzlich eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten vor, wenn das Geschäftsmodell des betreffenden Unternehmens im Kern auf der systematischen Überwachung oder Verarbeitung personenbezogener Daten beruht.
Die Pflicht zur Benennung eines DSB besteht nach § 38 BDSG-neu grundsätzlich, wenn mindestens 20 Personen in einem Unternehmen ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Die EU-DSGVO enthält jedoch einen Katalog neuer Bestellungspflichten; aus diesem Grund sollten auch Unternehmen mit weniger als 10 Mitarbeitern prüfen, ob sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen.
„Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, […]“ (Art. 37, Abs. 5, DSGVO)
Seit der DSGVO ist es also sehr einfach, DSB zu werden: Vereinfacht gesagt, kann jede Person, die entweder theoretisch oder praktisch Ahnung hat, DSB werden. Fazit: Werden Sie DSB – oder engagieren Sie Christian Allner!
Grundsätzlich kann ein Unternehmen wählen, ob die Position des betrieblichen DSB intern oder extern besetzt wird. Ein DSB muss der Geschäftsleitung Bericht erstatten, ggf. auch kritisch. Bei einem internen DSB kann es dabei zu Interessenkonflikten kommen. Die Benennung eines externen DSB bietet mehrere Vorteile: Unternehmen können sich auf ihr Kerngeschäft konzentrieren und vom spezifischen Fachwissen eines externen DSB profitieren.
Die vorsätzliche oder fahrlässige Versäumnis, einen betrieblichen DSB zu bestellen, diesen nicht in der vorgeschrieben Weise oder nicht rechtzeitig zu bestellen, wird gemäß Art. 83 Abs. 4 DSGVO mit einem Bußgeld von bis zu 10 Mio € oder 2 % des weltweiten Jahresumsatzes geahndet, je nachdem, welcher Betrag höher ist.
Sanktionen
Die DSGVO eröffnet die Möglichkeit, im Vergleich zum BDSG-alt deutlich höhere Bußgelder zu verhängen. Die maximale Geldbuße im Rahmen von Art. 83 DSGVO beträgt dabei 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist.
Zum Beispiel wird die vorsätzliche oder fahrlässige Versäumnis, einen betrieblichen Datenschutzbeauftragten zu bestellen, diesen nicht in der vorgeschrieben Weise oder nicht rechtzeitig zu bestellen, gemäß DSGVO mit einem Bußgeld von bis zu 10 Mio € oder 2 % des weltweiten Jahresumsatzes geahndet (je nachdem, welcher Betrag höher ist, vgl. Art. 83 Abs. 4 lit. A DSGVO).
Ein Unternehmen sollte sich professionell datenschutzrechtlich beraten lassen und regelmäßige Compliance-Audits durchführen. Zudem sollten Datenverarbeitungsprozesse, Datenflüsse und der Datenbestand dokumentiert und die innerbetriebliche Organisation so gestaltet werden, dass datenschutzrechtliche Belange von vornherein berücksichtigt werden. DER Datenschutzbeauftragte Christian Alllner hilft Ihnen bei diesen Aufgaben und steht Ihnen mit kompetenter Beratung zur Seite.
Datenschutz-Folgenabschätzung (DSFA)
Mit der EU-DSGVO wurde 2018 das neue Instrument der Datenschutz-Folgenabschätzung eingeführt (auch DSFA, siehe Art. 35 DSGVO). Sie dient der Bewertung von Risiken und deren möglicher Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Im Grunde entspricht sie der auch früher schon im deutschen Datenschutzrecht bekannten Vorabkontrolle zur Rechtmäßigkeit der Datenverarbeitung (§ 4d Abs. 5 BDSG).
Nach Art. 35 Abs. 1 DSGVO ist eine DSFA immer dann durchzuführen, wenn: „(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat]“.
Beispiele für solche Situationen sind laut Art. 35 Abs. 3:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die (…) als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO
- systematische weiträumige Überwachung öffentlich zugänglicher Bereiche
Art. 35 Abs. 7 bestimmt die Mindestanforderungen an eine Datenschutz-Folgenabschätzung. Diese muss demnach enthalten:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
- eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden
- Bei der Durchführung einer Datenschutz-Folgenabschätzung ist zudem stets der Rat des Datenschutzbeauftragten (sofern ein solcher benannt wurde) einzuholen (Art. 35 Abs. 2 DSGVO).
Nach Art. 36 EU-DSGVO muss die Aufsichtsbehörde eingeschaltet werden, wenn die Datenschutz-Folgeabschätzung nach Art. 35 EU-DSGVO ergibt, dass eine Datenverarbeitung ohne Maßnahmen ein hohes Risiko bedeutet.
Was passiert, wenn die Aufsichtsbehörde der Auffassung ist, eine Maßnahme verstoße gegen die EU-DSGVO?
Es erfolgt ein schriftlicher Rat der Aufsichtsbehörde mit einer Frist von acht Wochen.
EU-DSGVO im Betrieb
Nein, die EU-DSGVO enthält keinerlei spezifische Regelungen zum Beschäftigtendatenschutz.
Gibt es also keinen Beschäftigtendatenschutz?
Doch, denn auch nach der EU-DSGVO werden Beschäftigte innerhalb ihrer Arbeitsverhältnisse nicht rechtlos sein. So verweisen einzelne Vorschriften der EU-DSGVO (z.B.: Art. 9 Abs. 2 h DSGVO Verarbeitung von besonderen Kategorien von personenbezogen Daten) auf den Mitarbeiterdatenschutz. Und auch die allgemeine Grundätze der Datenverarbeitung (Art. 5 DSGVO) gelten im Beschäftigtenverhältnis. Allerdings gibt es in der DSGVO keine zentrale Regelungsvorschrift zu diesem Thema.
Ob bestehende Betriebsvereinbarungen weiter genutzt werden dürfen, ist im Einzelfall zu prüfen und hängt davon ab, ob die Vereinbarungen die Anforderungen der EU-DSGVO nicht unterlaufen und insbesondere ausreichende Schutzmaßnahmen i.S.d. Art. 88 Abs. 2 EU-DSGVO enthalten.
Nach Art. 33 EU-DSGVO grundsätzlich ja. Verletzungen des Schutzes personenbezogener Daten müssen an die Aufsichtsbehörde gemeldet werden. Dies muss nach Art. 33 EU-DSGVO unverzüglich und ohne unangemessene Verzögerung geschehen, möglichst binnen höchstens 72 Stunden, nachdem die Verletzung bekannt wurde.
Muss auch der Betroffene der Datenschutzverletzung benachrichtigt werden?
Nach Art. 34 EU-DSGVO grundsätzlich ja. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung der Daten und Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten (vgl. Erwägungsgrund 67a EU-DSGVO).
Nein. Es entsteht keine Meldepflicht, wenn ein Risiko für Rechte und Freiheiten von Individuen unwahrscheinlich ist.
Internationale Datentransfers
Grundsätzlich bestehen die in der Datenschutz-Richtlinie festgelegten Regelungen fort. Sofern es eine Rechtsgrundlage für die generelle Datenübermittlung gibt, kann die Übermittlung auch in einen Drittstaat erfolgen. Mechanismen zur Herstellung eines angemessenen Datenschutzniveaus sind beispielsweise Binding Corporate Rules (BCR, siehe Art. 47) und EU-Standardverträge.
Die wechselnde Zuständigkeit von unterschiedlichen Aufsichtsbehörden ist in der Praxis ein erhebliches Problem, insbesondere dann, wenn ein Unternehmen in mehreren europäischen Ländern tätig ist. Der europäische Gesetzgeber hat dieses Problem erkannt und in der EU-DSGVO das sog. „One-Stop-Shop“-Prinzip verankert. Artikel 56 Abs. 1 EU-DSGVO sieht vor, dass in der Regel die Aufsichtsbehörde in deren Zuständigkeitsbereich der Sitz oder Hauptsitz eines Unternehmens liegt für das Unternehmen zuständig ist. Unternehmen müssen also nur noch mit der Datenschutzbehörde desjenigen Mitgliedstaates zusammenarbeiten, in welchem sich der Hauptsitz des Unternehmens befindet. Bürger und Bürgerinnen können sich bei Beschwerden immer an die Datenschutzbehörde ihres Mitgliedstaates wenden, ganz egal in welchem Mitgliedstaat der Datenmissbrauch passiert ist.
Binding Corporate Rules sind eine Möglichkeit für die unternehmensinterne Datenübermittlung in unsichere Drittländer (z.B. USA und China).
BCR sollen neben der internen Wirkung auch nach außen Betroffenenrechte wahren.
In Artikel 47 Abs. 2 DSGVO wird der Mindestumfang genau definiert.
Das Kohärenzverfahren ist in Artikel 63 DSGVO geregelt. Es kommt zum Einsatz, wenn der Datenfluss die Grenzen der EWR überschreiten soll. Durch dieses verbindliche Instrument können Konflikte zwischen Aufsichtsbehörden behoben werden. Dies hat zur Folge, dass die Harmonisierung des europäischen Datenschutzrechtes vorangetrieben wird.
Einwilligung in die Datenverarbeitung
Durch die Einwilligung in die Verarbeitung personenbezogener Daten wird die betroffene Person in die Lage versetzt, über sein Persönlichkeitsrecht zu verfügen und persönliche Informationen über sich selbst preiszugeben oder eben nicht.
Im Datenschutzrecht gilt das sog. Verbot mit Erlaubnisvorbehalt, die Datenverarbeitung ist also generell verboten, so lange sie nicht durch ein Gesetz ausdrücklich erlaubt ist oder der Betroffene in die Verarbeitung eingewilligt hat. An diesem Grundsatz hält die EU-DSGVO fest (siehe hierzu Art. 6 Nr. 1a).
Die DSGVO beschreibt in Art. 7 die „Bedingungen für die Einwilligung“. Die wichtigsten Anforderungen an eine rechtsgültige Einwilligung sind:
- Die freie Entscheidung des Betroffenen
- Ausführliche, erkennbare und bestimmte Information des Betroffenen
- Schriftform der Einwilligungserklärung
- Widerruflichkeit der Einwilligungserklärung
Art. 6 Nr. 1 a DSGVO besagt, dass die Datenverarbeitung nur rechtmäßig ist, wenn der Betroffene die Einwilligung für einen oder mehrere bestimmte Zwecke abgegeben hat. Die Einwilligung muss also jeweils an einen bestimmten Zweck gebunden sein, der auch hinreichend bestimmt erläutert werden muss.
Auf schriftlichem oder elektronischem Wege. Die DSGVO verlangt durch Art. 7 Nr. 1 DSGVO die Nachweisbarkeit der Einwilligung durch die verantwortliche Stelle. Eine konkrete Formvorschrift wird nicht genannt. In Erwägungsgrund 32 zur Datenschutz-Grundverordnung wird klargestellt, dass die Einwilligung nur durch eine eindeutige Handlung zustande kommen soll, die auch in elektronischer Form erfolgen kann, wie zum Beispiel Opt-In (z.B. Setzen eines Häkchens). Eine stillschweigende Zustimmung ist dagegen nicht mehr möglich.
EU-DSGVO und Kinder
Ja, wenn sich die Verarbeitung an Kinder richtet, sollten aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer kindgerechten, einfachen Sprache erfolgen. In Bezug auf Dienste der Informationsgesellschaft, die Kindern direkt angeboten werden, ist in der Verordnung festgelegt, dass die Person, die die elterliche Verantwortung für ein Kind trägt, der Verarbeitung der personenbezogenen Daten eines Kindes zustimmen muss.
Nach Art. 8 EU-DSGVO legen die Mitgliedstaaten die Altersgrenze im Bereich von 13 bis 16 Jahren selbst fest.
Die EU-Datenschutz-Grundverordnung (DSGVO) enthält in Art. 8 DSGVO erstmals eine ausdrückliche gesetzliche Regelung in Bezug auf die Einwilligung von Kindern und Jugendlichen.
Bietet ein Unternehmen einen „Dienst der Informationsgesellschaft“ an und wird dieses Angebot einem Kind direkt gemacht, so ist die notwendige Einwilligung des Kindes in Deutschland nur dann wirksam, wenn das Kind das 16. Lebensjahr vollendet hat. Bei Kindern unter 16. Jahren muss die Zustimmung der Eltern eingeholt werden.
Ja. Bei Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, muss keine Einwilligung der Eltern eingeholt werden. Das ist sachgerecht, um Kindern die Möglichkeit zu geben, Beratungsangebote vertraulich wahrnehmen zu können.