Mit Wirkung zum 25. Mai 2018 ist die Europäische Datenschutz-Grundverordnung (EU-DSGVO) heute in Kraft getreten und ersetzt das bisherige deutsche Datenschutzrecht.
Die wesentliche Zielsetzung des europäischen Normgebers war, neben der Stärkung des Verbraucherschutzes, eine Harmonisierung der Datenschutz-Vorschriften der Mitgliedsländer durch Ausprägung eines einheitlichen europäischen Datenschutzniveaus. Die DSGVO bildet insoweit das grundlegende Datenschutz-Fundament, an dem sich die sonstigen Rechtsvorschriften und auch die unternehmensinternen Datenschutz-Policies auszurichten haben. Parallel zur Datenschutz-Grundverordnung tritt daher auch ein reformiertes, komplett neu geregeltes Bundesdatenschutzgesetz in Kraft, das ergänzende Bestimmungen zur DSGVO enthält. Bei Verstößen drohen den betroffenen Unternehmen Bußgelder von bis zu 20 Mio. € bzw. in Höhe von 4 % des globalen Umsatzes. Den Verantwortlichen droht eine Freiheitsstrafe von bis zu drei Jahren.
Vor diesem Hintergrund kursiert folgender Witz im Netz:
Treffen sich zwei Unternehmer…
A: „Kennen Sie einen guten DSGVO Berater?“
B: „Ja.“
A: „Können Sie mir dessen E-Mail-Adresse geben?“
B: „Nein.“
Im Grunde hätte dies auch eine Kommunikation vor dem 25. Mai 2018 sein können und vielleicht sogar müssen, denn personenbezogene Daten eines Anderen ohne dessen (ausdrückliche!) Einwilligung weiterzugeben, war auch nach deutschem Datenschutzrecht nicht erlaubt. Auch die nunmehr in vielen Fällen notwendige Datenschutz-Folgenabschätzung war als grundsätzliche Risikoabwägung auch bislang notwendig, ebenso war eine Art Verarbeitungsverzeichnis vorgeschrieben. Nur… So richtig ernst genommen hat das kaum jemand, schon gar nicht international tätige Unternehmen mit Konzernsitz außerhalb Deutschlands.
Unternehmen werden zukünftig weitaus mehr Aufwand betreiben müssen, um den geänderten Datenschutz-Anforderungen gerecht zu werden. Dies betrifft auch Weltkonzerne wie Facebook und Google, aber auch mittelständische und kleine Unternehmen.
Die Transparenz- und Informationspflichten sowie insbesondere die erheblich angewachsenen Dokumentationspflichten der verantwortlichen Stelle, die sich wiederum in den umfassenden Rechten der betroffenen Personen widerspiegeln, treffen alle Unternehmen unabhängig von der Unternehmensgröße.
In Art. 5 der DSGVO und § 47 BDSG n.F. werden wesentliche Grundsätze für die Verarbeitung personenbezogener Daten formuliert. Die Verarbeitung muss auf rechtmäßige Weise und nach den anerkannten Grundsätzen von Treu und Glauben, in einer für die betroffene Person nachvollziehbaren Weise, fair und transparent sowie zweckgebunden, auf das notwendige Maß beschränkt, auf der Basis richtiger Daten, vor Verlust, Zerstörung und Schädigung geschützt und die Integrität und Vertraulichkeit wahrend erfolgen.
Diese allgemeinen Grundsätze galten ebenfalls bereits nach dem bisherigen deutschen Datenschutzrecht, finden allerdings in der Europäischen Datenschutz-Grundverordnung ihre besondere Ausprägung insbesondere in den neuen Grundsätzen des „Privacy by Design“ und „Privacy by Default“ sowie in verschärften Regelungen zur Datenminimierung und zu Löschungspflichten. Hinzu kommt der weite Anwendungsbereich der Datenschutz-Grundverordnung weit über die Grenzen der EU hinaus, da neben dem Sitz des Unternehmens auch auf den Aufenthaltsort der betroffenen Person abgestellt wird.
Die DSGVO spricht an verschiedenen Stellen von technischen und organisatorischen Maßnahmen (TOM´s), die seitens der verantwortlichen Stelle zu ergreifen sind, um im Rahmen der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten und somit die Rechte der Betroffenen zu wahren (vgl. Art. 24 Abs. 1 DSGVO).
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen schließt dies gemäß Art. 32 Abs. 1 DSGVO ausdrücklich Folgendes ein:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Auch gelten verschärfte Melde- und Benachrichtigungspflichten: Ein Datenschutzverstoß muss unter Umständen innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde gemeldet werden. Darüber hinaus müssen die betroffenen Personen umgehend benachrichtigt werden.
