Neues Bundesdatenschutzgesetz
Neues Bundesdatenschutzgesetz (BDSG-neu) ergänzt die EU-Datenschutz-Grundverordnung (DSGVO)

Teil 1: Die DSGVO

Am 25.05.2016 ist die DSGVO in Kraft getreten; zur Anwendung kommt sie ab dem 25.05.2018. Da es sich bei dem neuen Gesetz um eine europäische Verordnung handelt, gilt sie direkt in allen Mitgliedstaaten und es bedarf keines nationalen Umsetzungsgesetzes. Der deutsche Gesetzgeber musste lediglich tätig werden, um Vorschriften des BDSG zu ändern, die in Widerspruch zur DSGVO stehen. Für einige Regelungen sieht die DSGVO Öffnungsklauseln vor, durch die die Mitgliedstaaten eigene Gesetze erlassen können, um die Regelungen der DSGVO zu konkretisieren und zu ergänzen. Hiervon hat der deutsche Gesetzgeber mit dem BDSG­neu Gebrauch gemacht, das ebenfalls am 25.05.2018 in Kraft tritt. Mit den neuen Rechtsnormen kommen einige wesentliche Änderungen auf Unternehmen zu. Im Folgenden soll ein kurzer Überblick über die für die Praxis wichtigsten Änderungen gegeben werden.

Höhere Bußgelder

Art. 83 DSGVO sieht für Unternehmen Bußgelder von bis zu EUR 20.000.000,00 bzw. bis zu 4 % des globalen Umsatzes vor, je nachdem, welcher der Beträge höher ist. Natürliche Personen, die an einem Verstoß gegen die DSGVO beteiligt sind, können mit Bußgeldern bis zu ebenfalls EUR 20.000.000,00 belegt werden. Das alte BDSG sah lediglich Bußgelder von maximal EUR 30.000,00 vor.

Erweiterte Haftung für Verantwortliche und Auftragsdatenverarbeiter

Die Risiken für Unternehmen steigen auch im Hinblick auf die zivilrechtliche Haftung wegen Datenschutzverstößen. Nach Art. 82 DSGVO sind materielle und immaterielle Schäden zu erstatten, die auf Verstößen gegen die Verordnung beruhen. Bisher waren die Gerichte eher zurückhaltend, betroffenen Personen wegen Datenschutzverstößen nennenswerte Schadenersatzzahlungen zuzusprechen. Durch die ausdrückliche Nennung immaterieller Schäden dürfte sich dies in Zukunft ändern. Die Haftung erstreckt sich nun ausdrücklich auch auf Auftragsdatenverarbeiter.

Datenschutzbeauftragter (DSB)

In Zukunft wird die Stellung des DSB (noch) bedeutender werden; allerdings ist er auch einem schärferen Haftungsmaßstab ausgesetzt. Die DSGVO sieht die Bestellung eines DSB nur unter engen Voraussetzungen vor, Art. 37 DSGVO, und zwar wenn die Kerntätigkeit des Unternehmens

in der Datenverarbeitung besteht oder besonders sensible Daten (rassische Herkunft, politische Meinungen, Gesundheitsdaten etc.) verarbeitet werden. Der deutsche Gesetzgeber hat aber mit § 38 BDSG­neu eine weitergehende Regelung getroffen, die dem geltenden BDSG entspricht: Grundsätzlich ist ein DSB zu bestellen, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Anders als nach dem bisherigen Recht sieht Art. 39 Abs. 1 lit. b) DSGVO umfassende Überwachungspflichten des DSB vor. Es bleibt abzuwarten, ob und in welchem Umfang die DSB künftig einer straf­ und zivilrechtlichen Verantwortlichkeit aufgrund ihrer Überwachungsfunktion unterliegen.

Erweiterte Dokumentations- und Nachweispflichten

Die DSGVO sieht für Verantwortliche und Auftragsverarbeiter erweiterte Nachweispflichten vor. Art. 5 Abs. 2 DSGVO schreibt vor, dass der für die Verarbeitung Verantwortliche nachweisen können muss, dass er die in Art. 5 Abs. 1 DSGVO geregelten Datenschutzgrundsätze einhält; ansonsten drohen die o.g. Bußgelder. Nach Art. 24 Abs. 1 DSGVO muss der Verantwortliche ferner nachweisen können, dass er personenbezogene Daten in Übereinstimmung mit der Verordnung verarbeitet. Auftragsverarbeiter müssen dem Verantwortlichen alle Informationen zur Verfügung stellen, damit der Verantwortliche die Erfüllung seiner datenschutzrechtlichen Verpflichtungen nachweisen kann.

Datenschutz-Folgenabschätzung

Ein neues Konzept in der DSGVO ist die Datenschutz­Folgenabschätzung nach Art. 35 DSGVO. Diese ist durchzuführen, wenn eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Pflichten der betroffenen Personen zur Folge haben kann. Hierbei sollen insbesondere Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos bewertet werden. Ist Ergebnis der Datenschutz­Folgenabschätzung, dass tatsächlich ein hohes Risiko besteht, muss der Verantwortliche die zuständige Aufsichtsbehörde zu Rate ziehen.

Erweiterung des räumlichen Anwendungsbereichs

Zunächst gilt das Niederlassungsprinzip, Art. 3 Abs. 1 DSGVO. Wenn ein Unternehmen mit Sitz in einem EU-Mitgliedstaat Daten verarbeitet, gilt die DSGVO, egal, wo die Server stehen. Das „Marktortprinzip“ des Art. 3 Abs. 2 DSGVO erweitert den Anwendungsbereich; wenn Waren oder Dienstleistungen in der EU angeboten werden, gilt ebenfalls die DSGVO, unabhängig davon, wo das Unternehmen sitzt. Außerdem fndet die DSGVO auch auf Datenverarbeitungen Anwendung, die der Beobachtung von betroffenen Personen in der EU dienen.

Melde- und Benachrichtigungspflichten

Art. 33 und 34 DSGVO sehen erweiterte Meldepflichten sowohl gegenüber der Aufsichtsbehörde als auch gegen­ über der betroffenen Person selbst vor, wenn eine Datenschutzverletzung eingetreten ist.

Löschen von Daten und Recht auf Vergessenwerden

Art. 17 DSGVO sieht umfassendere Löschpflichten vor als das alte BDSG.

Koppelungsverbot bei Einwilligungen

Die Einwilligung in die Datenverarbeitung muss nach Art. 7 DSGVO durch eine eindeutige freiwillige Handlung erfolgen; ein Klick mit der Maus reicht hierbei aus. Nicht ausreichend ist es, dass dem Betroffenen die Möglichkeit gegeben wird, vorformulierte Einwilligungserklärungen zu streichen oder ein Häkchen zu entfernen. Im Zusammenhang mit einem Vertrag ist eine Einwilligung nur noch wirksam, wenn es um Daten geht, die für den Abschluss oder die Erfüllung des Vertrages notwendig sind. Werden darüber hinaus Daten verlangt, droht der Einwand der fehlenden Freiwilligkeit.

Erleichterter Datenaustausch im Konzern

Eine der wenigen Regelungen, die für Unternehmen zu einer Erleichterung führen, ist Art. 6 Abs. 1 lit f) DSGVO. Dort wird anders als im alten BDSG nicht zwischen Datenverarbeitungen für eigene Zwecke und Datenverarbeitungen zur Wahrung berechtigter Interessen Dritte differenziert. Die Vorschrift erlaubt daher auch die Datenverarbeitung zugunsten von Konzernunternehmen, sofern nicht die Interessen der betroffenen Person überwiegen.

Teil 2 mit Ausführungen zum neuen Bundesdatenschutzgesetz (BDSG­neu) folgt.

ANSPRECHPARTNER

Kerstin Kiefer
W+ST Rechtsanwaltsgesellschaft mbH

Telefon: 0 68 31 / 76 2 0
E-Mail: Schreiben Sie mir