22. September 2015 - Best Practice

EU-Datenschutz-Grundverordnung: Das muss Ihr Management wissen

Die Berichterstattung in den Medien über die Reform des europäischen Datenschutzrechts nimmt zu – auch außerhalb der Fachzeitschriften. So fragt das Management interne und externe Datenschutzbeauftragte immer häufiger danach, was da auf die Unternehmen zukommt. Was können Sie der Führungsetage momentan zum Stand der Dinge und zu den Auswirkungen der EU-Datenschutz-Grundverordnung sagen?

Best Practice für den DSB Viele Detailfragen zur EU-Datenschutz-Grundverordnung sind noch offen, manche Punkte lassen sich aber schon weitergeben (Bild: feoris / iStock / Thinkstock)

Zum jetzigen Zeitpunkt kann noch niemand ganz konkret vorhersagen, wie das künftige europäische Datenschutzrecht im Detail aussehen wird: EU-Kommission, EU-Parlament und EU-Ministerrat ringen noch um zu viele Einzelformulierungen. Damit Sie trotzdem bei Fragen nach der Zukunft des Datenschutzes im Unternehmen in Grundzügen Auskunft geben können, haben wir einen Überblick über die wichtigsten Punkte zur europäischen Datenschutzgrundverordnung erstellt.

Warum eine Reform des Datenschutzrechts?
Bislang beruht das europäische Datenschutzrecht auf einer Richtlinie aus dem Jahr 1995 (Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr). Diese Richtlinie ist die Basis für ein europaweites Datenschutzniveau, dessen Kernelemente

  • Verbot mit Erlaubnisvorbehalt,
  • Zweckbindung,
  • Gewährleistung von Betroffenenrechten und
  • unabhängige Aufsichtsbehörden

alle Mitgliedstaaten bei personenbezogenen Daten zu beachten und in einzelstaatliches Recht umzusetzen haben. Dadurch sind aber im Ergebnis mittlerweile 28 Varianten und Interpretationen entstanden, die dem Grundgedanken eines gemeinsamen Markts entgegenstehen.

Um dem entgegenzuwirken und zudem die technische Weiterentwicklung einzubeziehen, beauftragte das EU-Parlament die EU-Kommission, einen neuen Gesetzgebungsentwurf vorzulegen.

Technische Weiterentwicklung berücksichtigt

Um die einzelstaatlichen Gestaltungsmöglichkeiten gering zu halten und das Ziel des gemeinsamen Markts zu erreichen, hat die Kommission die Form einer Verordnung gewählt: Am 25.01.2012 legte sie ihren Entwurf einer „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ vor. Diese Verordnung soll nach dem Willen der Kommission für Unternehmen und Behörden unmittelbar gelten und bedarf nur noch in speziell vorgesehenen Bereichen einzelstaatlicher Umsetzungen. Ganz ausgenommen ist der Bereich der Strafverfolgung: Hier wird es weiterhin eine Richtlinie geben.

Europäisches Gesetzgebungsverfahren

Ausgehend vom Entwurf der EU-Kommission bildeten sich das EU-Parlament und der EU-Ministerrat eine eigene Meinung zum Entwurf. In Verhandlungen zwischen EU-Kommis- sion, EU-Parlament und EU-Ministerrat, dem sogenannten Trilog, wird nun um eine gemeinsame Version gerungen, die dann EU-Ministerrat und EU-Parlament durch Abstimmungen bestätigen müssen.

Der Trilog begann im Juni 2015, nachdem sich auch der Ministerrat auf eine Fassung verständigte, mit der er in die Verhandlungen ging. Der Abschluss des Trilogs ist für den Dezember 2015 geplant – vorausgesetzt, in allen Punkten wird eine Einigung erzielt.

Für jedes Unternehmen wird sich etwas ändern

Auch wenn die Kernelemente gleich bleiben: Von den Änderungen wird jedes Unternehmen betroffen sein, das personenbezogene Daten verarbeitet – unabhängig von seiner Größe. Unternehmen müssen die Rechtmäßigkeit für jede Verarbeitung neu überprüfen und in vielen Fällen detaillierter dokumentieren. Sie müssen interne Prozesse überprüfen und oft auch anpassen.

Was heißt das nun konkret?

Was tut sich bei … der Zulässigkeit der Datenverarbeitung?

Wie bisher benötigt ein Unternehmen oder eine Behörde eine Rechtsgrundlage, um personenbezogene Daten verarbeiten zu dürfen (Art. 6 des Entwurfs zur Datenschutz-Grundverordnung – DS-GVO-E). Die Grundlage kann eine gesetzliche Regelung sein oder die Einwilligung des Betroffenen. Bei Unternehmen kommt auch die Wahrung eigener berechtigter Interessen als Grundlage infrage – diese Interessen sind aber gegen die der betroffenen Person abzuwiegen.

Beim Thema „Einwilligung“ (Art. 7 DS-GVO-E) muss man den endgültigen Text der Verordnung abwarten, um abschließend beurteilen zu können, ob Einwilligungen, die bereits unter der bisherigen Rechtslage gegeben wurden, erneuert werden müssen, oder ob bestehende Einwilligungen weitergelten dürfen (Erwägungsgrund 134 der Fassung des EU-Rats).

Was tut sich bei … der Zweckbindung?

Gleich nach welcher Rechtmäßigkeitsgrundlage: Bei der Erhebung muss der Zweck der Datenverarbeitung festgelegt sein. Der Betroffene muss diesen Zweck erkennen können. Inwieweit Zweckänderungen später möglich sind und was dabei zu beachten sein wird, steht noch nicht endgültig fest. Es ist jedoch auch weiterhin davon auszugehen, dass es sich auf die Zulässigkeitsanforderungen auswirken wird, ob diese Zweckänderung im Interesse der verantwortliche Stelle ist oder im Interesse eines Dritten.

Was tut sich bei … den Betroffenenrechten?

Wie bisher ist die betroffene Person über die erstmalige Speicherung ihrer Daten zu informieren (Art. 14 DS-GVO-E). Ob diese Informationspflicht erheblich ausgeweitet wird, muss der Trilog noch klären. So steht zur Diskussion, ob der Betroffene künftig z.B. über die absehbare Speicherdauer informiert werden muss.

Ebenso wird es weiterhin Auskunftspflichten gegenüber der betroffenen Person geben. Allein die Parlamentsfassung berücksichtigt hierbei jedoch, dass Informations- und Auskunftsrechte eingeschränkt sein können, wenn Informationen betroffen sind, die einer berufsrechtlichen Verschwiegenheitspflicht unterliegen.

Schon während des Gesetzgebungsverfahrens wurden die Regelungen zu einem „Anspruch auf Datenportabilität“ und einem „Recht auf Vergessen“ in der Öffentlichkeit diskutiert:

  • Je nach Ausgestaltung im Trilog kann sich die Datenportabilität in einer Variation des Auskunftsanspruchs verfestigen, etwa als Anspruch auf ein elektronisch lesbares Format.
  • Das „Recht auf Vergessenwerden“ könnte sich als Variante eines allgemeinen Löschungsanspruchs gestalten, wenn die Datenerhebung/-verarbeitung ihren Zweck erfüllt hat.

Was tut sich bei … den Dokumentationspflichten?

Das klassische Verfahrensverzeichnis entfällt künftig. Stattdessen führt die Grundverordnung eine Dokumentationspflicht (Art. 28 DS-GVO-E) ein, die auch für Auftragsverarbeiter gelten wird. Diese Dokumentation ist für die Aufsichtsbehörden bereitzuhalten. Die Dokumentation soll die wesentlichen Informationen zusammenfassen wie Zweck der Verarbeitung, Löschfristen und Empfänger.

Der Trilog muss u.a. noch klären, ob die Dokumentationspflicht auch die Abwägungsgründe umfasst und ob und unter welchen Voraussetzungen es Erleichterungen für Unternehmen mit weniger als 250 Mitarbeitern geben kann.

Was tut sich bei … der Sicherheit der Verarbeitung?

Wie bisher muss sowohl der für die Verarbeitung Verantwortliche als auch der Auftragsverarbeiter technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau zu gewährleisten (Art. 30 DS-GVO-E). Die hierbei zu berücksichtigenden Vorgaben ersetzen die bisher aus der Anlage zu § 9 BDSG bekannten Vorgaben der IT-Sicherheit. Details hierzu können europäische Institutionen vorgeben.

Was tut sich bei … der Datenschutz-Folgeabschätzung (Stichwort „Vorabkontrolle“)?

Die Datenschutz-Folgeabschätzung ersetzt die bisherige Vorabkontrolle. Für Verarbeitungen, die mit einem bestimmten Risiko für die betroffenen Personen verbunden sind, müssen Unternehmen die Folgen abschätzen und ihre Maßnahmen dokumentieren.

Die Datenschutz-Folgeabschätzung wird häufiger nötig sein als die Vorabkontrolle (Art. 33 DS-GVO-E). Hier sind jedoch noch zahlreiche Details, v.a. hinsichtlich der Voraussetzungen und des Umfangs, im Trilog zu klären.

Was tut sich bei … der Zurateziehung der Aufsichtsbehörde?

In bestimmten Situationen, die ein hohes Risiko für die betroffenen Personen mit sich bringen können, ist eine vorherige Konsultation der zuständigen Aufsichtsbehörde vorgesehen (Art. 34 DS-GVO-E). Allein das Parlament stellt hier den Datenschutzbeauftragten als Alternative in Aussicht. Bei den Voraussetzungen muss noch eine Einigung erzielt werden, welche konkreten Tatbestandsmerkmale eine Konsultation erforderlich machen:

  • Reicht z.B. ein hohes Risiko, das im Rahmen der Datenschutz-Folgeabschätzung festgestellt wird, aus?
  • Oder machen Gegenmaßnahmen der verantwortlichen Stelle zur Eindämmung des Risikos die Konsultation überflüssig?

Was tut sich bei … der Meldepflicht bei Datenpannen?

Die Grundverordnung wird die Meldepflicht bei Datenpannen – ein System, das das Bundesdatenschutzgesetz (BDSG) 2009 mit § 42a BDSG eingeführt hat – ausweiten:

  • Es wird keine Beschränkung auf bestimmte Datenarten mehr geben.
  • Zudem sollen auch öffentliche Stellen von der Meldepflicht an die zuständige Aufsichtsbehörde (Art. 31 DS-GVO-E) und an die betroffene Person (Art. 32 DS-GVO-E) umfasst werden.

In den Fassungen der Gesetzgebungsinstitutionen finden sich aber erhebliche Unterschiede bei den Voraussetzungen, ob jeder Datenschutzverstoß zu melden ist oder nur derjenige, von dem ein hohes Risiko für den Betroffenen ausgeht. Auch gibt es unterschiedliche Vorstellungen, wie schnell die Information zu erfolgen hat.

Was tut sich bei … Unternehmensgruppen (Stichwort „Konzernprivileg“)?

Es gibt nach wie vor kein absolutes Konzernprivileg im Datenschutzrecht. Allerdings sind in der Fassung des Parlaments Überlegungen zu finden, die Konzernstrukturen berücksichtigen:

  • Das betrifft zum einen die Datenübermittlung zu administrativen Zwecken im Rahmen einer Unternehmensgruppe innerhalb der EU (Art. 22 Abs. 3a).
  • Zum anderen geht es um die Möglichkeit, Beschäftigtendaten zugunsten einer zentralen Personalverwaltung innerhalb einer Unternehmensgruppe zulässig zu übermitteln (Art. 82 Abs. 1d DS-GVO-E).

Für die Behandlung von Beschäftigtendaten erhalten die Mitgliedstaaten insgesamt Gestaltungspielraum, der innerhalb des Rahmens der Verordnung bleiben muss (siehe auch S. 17).

Was tut sich bei … der Auftragsverarbeitung?

Die Grundprinzipien der Auftragsdatenverarbeitung sollen erhalten bleiben, der Auftraggeber bleibt verantwortlich. Eine ausdrückliche Rechtmäßigkeitsgrundlage für die Datenweitergabe an den Dienstleister ist nicht erforderlich – er muss aber bestimmte inhaltliche Punkte regeln (Art. 26 DS-GVO-E).

Die Schriftformerfordernis, wie bislang im BDSG gefordert, entfällt, die Vereinbarung muss nur mindestens dokumentiert werden. Beibehalten wird, dass der Auftraggeber nicht zwingend beim Auftragnehmer vor Ort erscheinen muss, um zu kontrollieren, ob dieser die vereinbarten Pflichten und technisch-organisatorischen Maßnahmen einhält. Hierzu reichen auch Zertifikate oder der Nachweis von Verhaltensregeln.

Was tut sich bei … Datenschutzaudits?

Die Verordnung trifft Regelungen, wer nach welchen Vorgaben die Einhaltung der Datenschutzvorschriften auditieren kann. EU-Parlament und EU-Rat müssen sich nur noch einig werden, ob ausschließlich Aufsichtsbehörden auditieren dürfen oder auch private Einrichtungen.

Zudem sind die Konsequenzen aus einer Auditierung nicht ganz geklärt. Vorgesehen ist, dass der Auftraggeber eine Auditierung für die Auswahl eines Dienstleisters und als Nachweis für die Einhaltung von angemessenen Schutzmaßnahmen verwenden kann.

Was tut sich bei … der internationalen Datenverarbeitung?

Bei der internationalen Datenverarbeitung wird weiterhin unterschieden, ob es sich um eine Verarbeitung innerhalb oder außerhalb der Europäischen Union handelt. Bei Verarbeitung außerhalb der EU bleiben die Instrumente, um ein gleichwertiges Datenschutzniveau herzustellen, erhalten:

  • ein Angemessenheitsbeschluss der EU-Kommission oder
  • die Datenübermittlung auf der Grundlage der Standarddatenschutzklauseln, die die EU-Kommission angenommen hat, auf der Grundlage der Vertragsklauseln, die eine Aufsichtsbehörde genehmigt hat, oder auch auf der Grundlage verbindlicher unternehmensinterner Vorschriften.

Neu ist, dass auch ein Auftragsverarbeiter diese Verträge abschließen kann. Ohne Berücksichtigung einer dieser Voraussetzungen für ein gleichwertiges Datenschutzniveau können Daten in ein Drittland übermittelt werden, wenn z.B. die betroffene Person zustimmt oder die Übermittlung zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist.

Zu den Ausnahmen sind im Trilog noch Änderungen im Detail zu erwarten, sodass eine ausführlichere Darstellung den Rahmen sprengen würde. Das betrifft auch den Umgang mit hoheitlichen Anforderungen aus einem Drittland gegenüber europäischen Unternehmen, die eine Konzernmutter im Drittland haben. Deren Dilemma ist immer noch, dass sie bei widersprechenden gesetzlichen Regelungen gegen mindestens eine Rechtsordnung verstoßen würden – ein Zustand, der sich letztlich nur politisch lösen lässt.

Für Anbieter aus einem Drittland, die auf dem europäischen Markt aktiv sind, wird ebenfalls das europäische Datenschutzrecht gelten (Art. 3 DS-GVO-E). Diese Unternehmen haben einen Vertreter mit Sitz innerhalb der Europäischen Union zu benennen (Art. 25 DS-GVO-E).

Was tut sich bei … den Aufsichtsbehörden?

Über Regelungen, die unter dem Stichwort „One-Stop-Shop“ diskutiert wurden, soll es bei grenzüberschreitenden Fragestellungen eine einzige federführende Aufsichtsbehörde geben. Sie stimmt sich inhaltlich ab mit den weiteren beteiligten Aufsichtsbehörden.

Was tut sich bei … der Haftung?

Auftraggeber und Aufragnehmer müssen gemeinsam gegenüber der betroffenen Person für einen Datenschutzverstoß einstehen. Ein interner Ausgleich erfolgt erst im Nachgang (Art. 77 DS-GVO-E).

  • Aus Sicht des Auftraggebers ändert sich also nichts – war er doch bisher schon als „verantwortliche Stelle“ im Haftungsrisiko.
  • Für den Daten verarbeitenden Dienstleister erhöht sich das Risiko: Geschädigte können Ansprüche auch ihm gegenüber geltend machen. Und er trägt hinterher das Beitreibungsrisiko gegenüber seinem Auftraggeber, wenn die Ursache in dessen Verantwortungsbereich liegt.

Im Trilog zu klären ist, wie eine Regelung konkret aussieht, die die Haftung je nach Verantwortung für den Betroffenen transparent macht und den Daten verarbeitenden Beteiligten keine weiteren Unwägbarkeiten auferlegt.

Was tut sich bei … den Sanktionen?

Waren bei Datenschutzverstößen nach dem BDSG bisher Bußgelder in Höhe von 50.000 oder 300.000 Euro vorgesehen, erhöht sich der Bußgeldrahmen nun auf zwei bis fünf Prozent des weltweiten Jahresumsatzes bzw. auf Beträge bis 100.000.000 Euro – je nachdem, welcher Betrag höher ist (Art. 79 DS-GVO-E). Auch hier wird eine endgültige Formulierung erst der Trilog festlegen.

Achtung: Die Aufsichtsbehörden werden voraussichtlich keinen Spielraum mehr haben, ob sie ein Bußgeld verhängen. Lediglich bei der Höhe können sie ihr Ermessen noch ausüben.

Was tut sich bei … dem Datenschutzbeauftragten?

Das sind im Ergebnis viele Änderungen, auch in Detailfragen, die insbesondere vor den verschärften Sanktionsregelungen zu beachten sind. Gut, dass den Unternehmen mit dem betrieblichen Datenschutzbeauftragten hierzu ein fachlich versierter Ansprechpartner zur Verfügung steht – oder fehlt da nicht noch etwas in der Darstellung?

Es ist auf europäischer Ebene nicht gelungen, die Vorteile für Unternehmen, Betroffene und Aufsichtsbehörden zu vermitteln, die ein unabhängiger Experte als Berater, Ansprechpartner und Vertrauensanker bei der Datenverarbeitung mit sich bringt. Hier scheint sich die Fassung des Rats durchzusetzen: Sie überlässt es den jeweiligen Mitgliedstaaten, die Bestellpflichten zu regeln. Sollte dies so sein, ist davon auszugehen, dass der deutsche Gesetzgeber seinen Spielraum zur Regelung der Bestellpflicht nutzen wird (siehe dazu auch „Keine EU-weite Pflicht zur Bestellung von betrieblichen DSB“).

Wie ist der Zeitplan der EU-Datenschutz-Grundverordnung, wie steht es mit der Übergangsfrist?
Es ist davon auszugehen, dass die Verordnung ab dem ersten Halbjahr 2018 zur Anwendung kommen wird. Zuvor müssen der EU-Rat und das EU-Parlament dem Trilog-Ergebnis mit den erforderlichen Mehrheiten zustimmen. Nach der Veröffentlichung im Amtsblatt der Europäischen Union tritt die Verordnung dann nach 20 Tagen in Kraft.

Es ist eine Übergangsfrist von zwei Jahren nach Inkrafttreten der Verordnung vorgesehen. Diese Übergangszeit wird auch nötig sein, damit Unternehmen interne Prozesse anpassen bzw. neu gestalten können. Der deutsche Gesetzgeber muss bis zur Anwendung der EU-DSGVO zudem eine Entscheidung treffen, ob er das BDSG aufhebt oder für die Regelungsbereiche, die noch dem nationalen Gesetzgeber zugewiesen sein werden, verwendet.

Konkrete Handlungsempfehlung

Das BDSG gilt mit all seinen Anforderungen und Sanktionsmöglichkeiten noch mindestens zwei Jahre. Um sich angemessen vorzubereiten, ist es wichtig, den Datenschutzbeauftragten weiterhin fachkundig zu halten, um die richtigen Vorbereitungen zu treffen und unterstützen zu können.

Zunächst hat dies Auswirkungen auf die Budgetplanung des Unternehmens:

  • Es muss neue Literatur zur Datenschutz-Grundverordnung angeschafft werden, und der Datenschutzbeauftragte muss Fortbildungen besuchen, um sich einen Überblick zu verschaffen, aber auch, um sich das Wissen anzueignen, was konkret an Umsetzung im Unternehmen ansteht.
  • Je nach Branche und Intensität der Datenverarbeitung kann auch externes Fachwissen erforderlich werden.
  • Darüber hinaus kommen Kosten für die praktische Umsetzung der nötigen Änderungen auf die Unternehmen zu.

Neben den Mehrkosten, die in verschiedenen Bereichen anfallen, muss man auch mit mehr Rechtsunsicherheit rechnen. Denn einige Bereiche aus der Alltagspraxis wie Videoüberwachung oder Werbung sind nicht mehr ausdrücklich geregelt.

Berater DSB

Zwei Jahre Übergangszeit klingen zunächst lang – sie sind jedoch allzu kurz, wenn alle internen Prozesse der Datenverarbeitung auf Änderungsbedarf überprüft, dokumentiert und in vielen Fällen angepasst werden müssen, nicht zuletzt weil der Sanktionsrahmen drastischer ausfällt. Hierzu bleibt der betriebliche Datenschutzbeauftragte ein unverzichtbarer Berater.

Rudi Kramer
Rudi Kramer ist Rechtsanwalt in Nürnberg.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln