EU-Datenschutzgrundverordnung: Abwarten oder Handeln?

Mit der Verabschiedung der EU-Datenschutz-Grundverordnung (DSGVO) durch das EU-Parlament am 14. April 2016 stehen für den Bereich des Datenschutzrechtes umfangreiche Änderungen an, welche sich für Unternehmen auf vielfältige Weise auswirken. Insbesondere kleine und mittelständige Unternehmen, die das Thema Datenschutz bisher vernachlässigt haben, werden jetzt zum Handeln gezwungen.

Warum jetzt?

Die DSGVO tritt am 25. Mai 2018 in Kraft und entfaltet als Verordnung im Gegensatz zu EU-Richtlinien dann bereits unmittelbare Wirkung (Art 288 Abs. 2 AEUV). Wer jedoch meint, dass die Implementierung der DSGVO im Unternehmen angesichts dieses vermeintlich langen Zeitraums keine Eile habe, verkennt das Ausmaß der Aufgabe: Die Einführung der DSGVO ist ein Projekt, das neben rechtlichen Kenntnissen und der Bereitstellung eines entsprechenden Budgets eine Vielzahl von Prozessschritten, von der Bestandsaufnahme, über eine Risikoanalyse, die Planung einzelner DSGVO-Prozesse bis hin zur betriebsverfassungsrechtlichen Abstimmung sowie der Implementierung eines Vertrags- und Einwilligungsmanagements, beinhaltet.

Die DSGVO erfordert zudem eine Anpassung bereits im Unternehmen bestehender Datenschutzkonzepte, da die Bestimmungen der DSGVO zum Teil weiter gehen als das bestehende Datenschutzrecht oder von diesem deutlich abweichen.

Was ist neu?

Das Marktortprinzip

Die wohl bedeutendste Änderung ist das in Art. 3 Abs. 2 DSGVO neben dem Niederlassungsprinzip geltenden Marktortprinzip – die DSGVO gilt damit künftig auch für Unternehmen oder deren Auftragsdatenverarbeiter, welche ihren Sitz außerhalb der Europäischen Union haben, ihre Waren oder Dienstleistungen jedoch an Personen innerhalb der EU anbieten. Wollen ausländische Unternehmen also weiterhin Zugang zum europäischen Markt haben, werden sie künftig mindestens die Datenschutzhöhe der DSGVO erfüllen müssen.

Der „One-Stop-Shop“

Unternehmen mit mehren EU-Niederlassungen können künftig durch das Prinzip des so genannten „One-Stop-Shop“, welches durch Art. 56 Abs. 1, Abs. 2 DSGVO eingeführt wird, datenschutzrechtliche, insbesondere grenzüberschreitende Belange mit der Aufsichtsbehörde des Hauptsitzes besprechen und ihnen bleibt die zeit- und energieintensive Ansprache sämtlicher für die Niederlassungen zuständigen Aufsichtsbehörden erspart.

Der überarbeitete Datenschutzbeauftragte

Die Bestellung eines Datenschutzbeauftragten für Unternehmen, bei dem sich in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen, wird voraussichtlich weiterhin verpflichtend bleiben (vgl. Referentenentwurf des BMI v. 5.8.2016, vgl. § 14 Abs. 1 Satz 2 ABDSG).  

Anders als bisher unterliegt der Datenschutzbeauftragte jedoch fortan umfassenden Überwachungspflichten (Art. 39 Abs. 1 lit. (b) DSGVO) – und damit einem erheblichen Haftungsrisiko, welches durch entsprechende Haftpflichtversicherungen abzudecken ist.

Privacy by Design / Privacy by Default

Zur Umsetzung des Prinzips der Datenvermeidung und -sparsamkeit geht die DSVGO mit der Regelung eines Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) einen Schritt weiter und zwingt die Verantwortlichen nunmehr zu einer datenschutzkonformen Produktentwicklung und Produktimplementierung – Privacy by Design bzw. Privacy by Default. Unternehmen sind mithin gut beraten, angemessene technische Maßnahmen und Mittel zu ergreifen, welche die Datenschutzkonformität von Anwendungen bzw. Leistungen sichern.

Transparenz

Als einer der wesentlichen Prinzipien sichert der Transparenzgrundsatz der DSGVO, dass Betroffene in noch größerem Umfang als bisher gegen Verantwortliche einen Auskunftsanspruch hinsichtlich des „Ob“ und „Wie“ der Verarbeitung ihrer Daten haben (Art. 12 – Art. 15 DSGVO). Verantwortliche Unternehmer müssen im Rahmen der Geltendmachung von Auskunftsrechten weitreichende Informationen zur Verfügung stellen – von der Kopie der personenbezogenen Daten, bis hin zu den Kontaktdaten des Verantwortlichen/ Datenschutzbeauftragten, dem Zweck der Datenverarbeitung, etwaigen Empfängern von personenbezogenen Daten, einer etwaigen Übermittlung in Drittländer, der Speicherdauer usw. Unternehmen werden daher gezwungen sein, spezielle IT-Strukturen zu schaffen, die diesen Anforderungen zeitnah und umfassend gerecht werden.

Was bleibt gleich?

Nach wie vor bildet das informationelle Selbstbestimmungsrecht des Einzelnen die wesentliche Grundlage des Datenschutzrechts und wurde auch entsprechend in der DSGVO umgesetzt. Dieses Prinzip wird vom im bereits bestehenden Datenschutzrecht verankerten Verbotsprinzip flankiert, nach dem jegliche Verarbeitung personenbezogener Daten, welche nicht durch eine Einwilligung des Betroffenen legitimiert ist, eines gesetzlichen Erlaubnistatbestands bedarf. Der Stelle, welche die Daten verarbeiten will, bleibt in dieser Hinsicht beweisbelastet.

Auch die bereits heute im Datenschutzrecht geltenden Prinzipien der Datensparsamkeit, der Angemessenheit und Erforderlichkeit, der Transparenz und Zweckbindung, der Gewährleistung der Datensicherheit einerseits, sowie das Prinzip der unabhängigen Aufsicht der Schaffung wirksamer Sanktionsmöglichkeiten andererseits, werden von der DSGVO übernommen und finden mithin auch künftig Anwendung.

Was ist zu tun?

Die zeitige Implementierung der DSGVO stellt die meisten Unternehmen vor eine beachtliche Herausforderung. Dass ein zeitiges Tätigwerden naheliegt, sollte angesichts der durch die DSGVO erheblich erhöhten Geldbußen (Art. 83 DSGVO) in Höhe von 4 % des globalen Unternehmensumsatzes und in Höhe von bis zu 20 Mio. Euro für an Verstößen beteiligte Personen selbstverständlich sein.

Gleichzeitig dürfte im zeitlichen Umfeld des Inkrafttretens der DSGVO eine steigende Kurve von Abmahnungen wegen der (möglicherweise) wettbewerbswidrig unterlassenen Umsetzung von Bestimmungen der DSGVO zu erwarten sein, so dass auch aus diesem Grund jedem kleinen oder mittelständischen Unternehmen geraten werden muss, die Angelegenheit ernst und die Sache in Angriff zu nehmen.

Peer A. Fischer

ist Rechtsanwalt und Fachanwalt für IT-Recht und Partner der auf Medizinrecht, IT-Recht und gewerblichen Rechtsschutz spezialisierten Kanzlei BBP Rechtsanwälte & Fachanwälte mit Standorten in Berlin, Köln und Rostock. Nach Tätigkeiten als Justitiar bei einer Medienagentur und verschiedenen Games-Publishern betreut und berät Peer A. Fischer heute als Rechtsanwalt nationale und internationale Unternehmen in allen Fragen des IT-Rechts, des Gesellschaftsrechts und des Datenschutzrechts.

Mehr