13 wichtige Fakten über die DSGVO und das neue BDSG
In Kürze wird in Europa erstmals ein einheitlicher Datenschutz eingeführt. Dann startet die EU-Datenschutz-Grundverordnung (EU-DSGVO). AStW hat für Sie die 13 wichtigsten Fakten im Schnellüberblick zusammengefasst.
1. Wann tritt die DSGVO in Kraft?
Die EU-Datenschutz-Grundverordnung ist bereits am 25.5.2016 in Kraft getreten. Nach der darin geregelten Übergangsfrist kommt sie allerdings erst zwei Jahre nach Inkrafttreten zur Anwendung. Das bedeutet, dass sie ab 25.5.2018 für alle gilt. Ab dem 25.5.2018 regelt also die DSGVO EU-weit einheitlich die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen.
2. Wie wirkt die EU-Datenschutzgrundverordnung in Deutschland?
Die für Unternehmen einschlägigen Regelungen des BDSG werden weitgehend durch die Regelungen der Verordnung ersetzt. Da es sich bei dem neuen Gesetz um eine europäische Verordnung handelt, gilt sie direkt in allen Mitgliedstaaten und bedarf keines nationalen Umsetzungsgesetzes. Die nationalen Gesetzgeber werden lediglich neue Gesetze erlassen, um die nationalen Vorschriften, die durch die Verordnung ersetzt werden, aufzuheben. Das heißt im Klartext: Das bestehende BDSG wurde in weiten Teilen überarbeitet und tritt ebenfalls am 25.5.2018 in Kraft.
3. Gibt es eine Übergangsfrist?
Nein, eine Übergangsfrist wird es nicht geben. Rein rechtlich ist sie ja bereits am 25.5.2016 in Kraft getreten. Sie entfaltet nur jetzt erst ihre Wirkung. Unternehmer müssen sich umgehend mit den notwendigen Maßnahmen zur Einhaltung der DSGVO befassen. Denn bisherige Datenverarbeitungen und vor allem Einwilligungen bleiben nur gültig, wenn sie der DSGVO entsprechen.
4. Betrifft die DSGVO jedes Unternehmen?
Jedes Unternehmen muss am 25.5.2018 nachweisen, dass es den Datenschutz einhält. Nach Art. 2 DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Datensystem gespeichert sind oder gespeichert werden sollen.
Damit sind praktisch alle erfasst: Händler, Shop-Betreiber, Unternehmer, Arztpraxen, Kanzleien, Vereine. Wenn eine elektronische Datenverarbeitung erfolgt, auch wenn sie nur aus einem Computer besteht oder Daten aus einem Karteikartensystem auf Papier verarbeitet werden, dann gilt die DSGVO.
Beachten Sie
Für Privatpersonen bleibt es dabei, dass die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit) vorgenommen wird, nicht erfasst wird. Das heißt: Privatpersonen sind ausgenommen!
5. Sind nur EU-Unternehmen betroffen?
Nein, die DSGVO betrifft nicht nur Unternehmen, die in der EU sitzen. Betroffen sind auch Unternehmer aus „Drittstaaten“ außerhalb der EU, die personenbezogene Daten der EU-Bürger verarbeiten. Damit werden auch US-Anbieter wie Google oder Facebook der DSGVO unterfallen.
6. Was sind nun personenbezogene Daten?
Als „personenbezogene Daten“ gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. „Identifizierbar“ bedeutet, dass die Person nicht identifiziert werden muss. Es reicht aus, dass die Person mithilfe der zur Verfügung stehenden Daten identifiziert werden könnte.
Beispiele für personenbezogene Daten sind: Name, Adresse, Geburtsdatum, Bankdaten, etc. Aber auch Fingerabdruck, Irisscan und Krankengeschichte gehören dazu.
7. Wann „verarbeitet“ man überhaupt Daten?
Der Begriff der Verarbeitung ist nach Art. 4 DSGVO weit gefasst. Danach ist jeder „mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ eine Verarbeitung im Sinne des Gesetzes.
Beispiele für die Verarbeitung von Daten sind: Die Erstellung einer Kundendatei, Aufnahme der Daten zur Erstellung einer Rechnung oder das Anlegen oder Führen einer Mitarbeiterdatenbank.
So beinhaltet die Verarbeitung praktisch jede Art des Umgangs mit personenbezogenen Daten. Insbesondere wird jeder Umgang mit personenbezogenen Daten erfasst, die in Computern oder anderen digitalen Medien gespeichert sind.
8. Worauf basieren die Grundsätze für die Verarbeitung personenbezogener Daten?
Bei der Datenverarbeitung in Europa gilt das sogenannte Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass jede Verarbeitung personenbezogener Daten verboten ist, außer wenn sie per Gesetz (zum Beispiel aus BDSG, Telemediengesetz-TMG, DSGVO) oder durch eine Einwilligung erlaubt wurde.
In der DSGVO sind die Art. 5 und 6 quasi die entscheidenden Artikel, wann eine Verarbeitung erlaubt sein kann: Art. 5 Abs. 1 a-f stellt die Prinzipien – quasi die Kernelemente des Gesetzes – dar:
- Transparenz – Die Verarbeitung personenbezogener Daten muss für Betroffene nachvollziehbar sein.
- Zweckbindung – Unternehmen sollen Daten nur für den Zweck verarbeiten, für den sie erhoben worden sind. Das heißt, man muss sich bereits zu Beginn von Verarbeitungsprozessen Gedanken machen, wofür die Daten benötigt werden. Dies ist zu dokumentieren.
- Datenminimierung – Unternehmen müssen die Verarbeitung von personenbezogenen Daten auf das den Verarbeitungszweck notwendige Maß beschränken.
- Richtigkeit – Unternehmen müssen dafür sorgen, dass die personenbezogenen Daten korrekt sind. Dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werde.
- Speicherbegrenzung – Unternehmen dürfen personenbezogene Daten nur so lange speichern, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
- Integrität und Vertraulichkeit – Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.
Nach Art. 6 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere konkrete Zwecke gegeben.
- Die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
- Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
- Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
- Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
9. Was ändert sich für die Unternehmen konkret?
Eine der wichtigsten Neuerungen ist die Einführung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Unternehmen sind danach verpflichtet, die Einhaltung der DSGVO nachzuweisen.
Daraus ergeben sich verstärkte Dokumentations- und Nachweispflichten:
- Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten,
- die Durchführung von Datenschutz-Folgenabschätzungen sowie
- die Dokumentation von Datenschutzvorfällen.
Das aus dem BDSG bekannte Verfahrensverzeichnis – dort „Übersicht“ genannt – wird mit der DSGVO abgelöst durch ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten.
Ein Verzeichnis von Verarbeitungstätigkeiten gemäß DSGVO muss erheblich umfangreicher ausfallen, als das bisherige Verfahrensverzeichnis, wenn es als Grundlage dienen soll, um den Nachweispflichten der DSGVO nachzukommen. Das Verzeichnis kann durch die Aufsichtsbehörde jederzeit angefordert werden. Falls das Verzeichnis von Verarbeitungstätigkeiten nicht und unvollständig vorliegt drohen empfindliche Bußgelder.
Das Verfahrensverzeichnis betrifft sämtliche – auch teilweise – automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Grundsätzlich ist jeder Verantwortliche z. B. Unternehmen, Freiberufler, Verein und Auftragsverarbeiter zur Erstellung und Führung eines solchen Verzeichnisses verpflichtet.
Ein Verzeichnis von Verarbeitungstätigkeiten enthält mehrere Verfahrensbeschreibungen. In den Verfahrensbeschreibungen werden die Verarbeitungsschritte von personenbezogenen Daten dokumentiert. Aus den Dokumenten muss hervorgehen, welche personenbezogenen Daten das Unternehmen mithilfe welcher Verfahren auf welche Weise verarbeitet und welche technisch-organisatorischen Maßnahmen zum Schutz dieser Daten dabei getroffen wurden.
Hierzu empfiehlt es sich, eine Übersicht aller im Unternehmen eingesetzten Anwendungen und IT-Verfahren und Dateien, in denen personenbezogene Daten verarbeitet werden, zu erstellen. Typische Beispiele sind Zeiterfassungssysteme, E-Mailverarbeitungen, CRM-Systeme, Personalverwaltung und Websitebesucheranalysen.
Eine gewisse Erleichterung gibt es für Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern. Diese könnten von der Führung eines Verzeichnisses befreit sein, sofern die Verarbeitungen von personenbezogenen Daten
- kein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen,
- nur gelegentlich erfolgen oder
- keine besonderen Datenkategorien z. B. Gesundheitsdaten oder strafrechtliche Verurteilungen und Straftaten betreffen.
Da nur eine dieser Fallgruppen für eine Pflicht zur Verzeichnisführung erfüllt sein muss, werden nur wenige Unternehmen und Einrichtungen von der Pflicht zur Führung eines Verarbeitungsverzeichnisses entbunden sein. Vor allem die Ausnahme, dass die Verarbeitung nur gelegentlich erfolgen darf, wird dazu führen, dass ein Verzeichnis praktisch doch immer geführt werden muss. Allein Lohn- und Gehaltsabrechnungen erfolgen regelmäßig und nicht nur gelegentlich und da dabei auch Religions- und Gesundheitsdaten (Krankheitstage) betroffen sind, wird in praktisch allen Unternehmen und Einrichtungen ein Verzeichnis für Verarbeitungsverzeichnisse erforderlich sein.
Für kleinere Unternehmen und Einrichtungen z. B. Handwerker, Ärzte und vor allem Vereine bedeutet dies einen erheblichen zusätzlichen bürokratischen Aufwand.
Weitere Änderungen sind: Die Informationspflichten gegenüber Betroffenen (z. B. die Datenschutzerklärung) sind umfangreicher, die Verträge mit Dienstleistern zur Auftragsverarbeitung müssen strengere Anforderungen erfüllen; das Recht auf Datenportabilität sowie die Fristen für die Bearbeitung der Anträge zur Ausübung der Rechte der Betroffenen sind zu beachten. Das bedeutet, man muss jederzeit Nachweis über seine Datenverarbeitungsprozesse führen und belegen, dass deren Zwecke, Art und Umfang und risikomindernde Maßnahmen dokumentiert und die Zulässigkeit geprüft worden sind.
10. Was, wenn sich der Unternehmer nicht an die Vorschriften hält?
Wer die datenschutzrechtlichen Vorschriften nicht einhält, dem drohen empfindliche Strafen: Verstöße können mit Bußgeldern von bis zu 20 Millionen EUR oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes geahndet werden. Die EU will damit ein deutliches Zeichen setzen.
Zusätzlich können weitere Einzelmaßnahmen in Betracht kommen: Zum Beispiel Bußgelder neben oder anstelle von Maßnahmen, wie Herausgabe von Informationen, Verwarnungen oder Beschränkungen der Verarbeitung. Diese finden sich in den sogenannten „Erwägungsgründen“ in der DSGVO detaillierter wieder. Insgesamt gibt es 173 Erwägungsgründe, die zur Interpretation der DSGVO herangezogen werden können.
11. Wer sind die Aufsichtsbehörden?
In Deutschland gibt es sogenannte Datenschutzaufsichtsbehörden. Jedes Bundesland hat seine eigene Behörde. Mit Ausnahme von Bayern sind die Datenschutzbeauftragten der Bundesländer sowohl für den nicht-öffentlichen, als auch für den öffentlichen Bereich zuständig.
12. Wen trifft die Datenschutzreform vor allem?
Wer bereits bis heute ein Verzeichnis der Datenverarbeitungen geführt hat, wird sich viel von dieser Fleißarbeit ersparen. Treffen wird es vor allem diejenigen, die sich bisher um den Datenschutz wenig Gedanken gemacht haben. Genau diese Zielgruppe wollte der Gesetzgeber erreichen.
Der erhöhte Bußgeldrahmen richtet sich vor allem an Großunternehmen, bei denen zum Beispiel die maximalen deutschen Bußgeldgrenzen von 50.000 EUR (im Telemediengesetz, TMG) und 300.000 EUR (im BDSG) kaum Abschreckung entfalteten.
13. Kann es vor dem 25.5.2018 zu „Ahndungen“ kommen?
Wohl nicht. Das Verwaltungsgericht Karlsruhe traf in einem Urteil am 6.7.2017 (10 K 7698/16, BB 17, 2449) bereits eine erste Entscheidung zur DSGVO. Danach kann nicht bereits vor Geltung der DSGVO ab 25.5.2018 eine rechtsgültige Verfügung auf Basis dieser Rechtsvorschrift erlassen werden. Die Behörde stützte ihre Verfügung darauf, es seien bereits jetzt Verstöße gegen die DSGVO erkennbar. Das Gericht folgte dieser Auffassung nicht.