Neue Datenschutz-Regelungen

Im kommenden Jahr wird es in puncto Datenschutz ernst. Spätestens ab 25. Mai gelten die Anforderungen der neuen EU-Datenschutz-Verordnung. Der Kölner Rechtsanwalt Markus W. Pauly stellt die wesentlichen Neuerungen vor – und warnt zugleich vor verschärften Kontrollen.

EU-Datenschutz-Verordnung: Was sich 2018 ändert


Ab dem 25. Mai 2018 gilt die neue EU-Datenschutzgrundverordnung. Die Verordnung ist zwar bereits im Mai 2016 im Amtsblatt der EU erschienen. Allerdings „von vielen weitgehend unbemerkt“, wie der Kölner Rechtsanwalt Markus W. Pauly mitteilt.

Dabei ist es unverzichtbar, sich mit den neuen Anforderungen auseinanderzusetzen. Denn künftig müsse sich jeder, der personenbezogene Daten Dritter erhebt, verarbeitet und nutzt, auf verschärfte Kontrollen durch die Vollzugsbehörden einstellen, warnt Pauly. Bei der Überwachung durch die Datenschutzbehörden zeichne sich bereits ab, dass diese wesentlich umfassender und engmaschiger ab bisher verlaufen wird.

Ziel der der neuen Verordnung mit ihren 99 Artikeln ist ein einheitliches Datenschutzrecht innerhalb Europas. Der Einzelne soll dadurch mehr Kontrolle über seine Daten bekommen. Konkret geregelt werden vor allem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen. Einige der weitergehenden Anforderungen, die vor allem Unternehmen betreffen, sind laut Pauly:

Neue Pflichten des Verantwortlichen

Die Technik („privacy by design“) und datenschutzrechtlichen Voreinstellungen („privacy by default“) müssen unbedingt datenschutzfreundlich ausgestaltet werden.

Unter „privacy by design“ fallen bestimmte Verschlüsselungs- oder Pseudonymisierungstechniken in der automatisierten Datenverarbeitung. Zu „privacy by default“ zählen beispielsweise die leichte Erkennbarkeit des Umfangs bestimmter Einwilligungserklärungen und die Beschränkung der Datenverarbeitung auf das erforderliche Maß.

Hierzu müssten Unternehmen als Verantwortliche geeignete technische und organisatorische Maßnahmen treffen. Unternehmen sollten unbedingt dokumentieren, welche Maßnahmen sie diesbezüglich ergriffen haben, betont Pauly. Nur so könnten sie im Falle entsprechender Kontrollen den nötigen Nachweis erbringen.

Zahlreiche neue Betroffenenrechte

Die rechtliche Position der von der jeweiligen Datenverarbeitung betroffenen Person werde deutlich ausgeweitet. Zudem würden ganz neue Rechte geschaffen. Dazu zähle das sogenannte Recht auf Datenportabilität. Dadurch werden Firmen und Behörden dazu verpflichtet, von den Nutzern bereitgestellte Daten an diese in strukturierter und maschinenlesbarer Form zurückzugeben.

Diese Anforderungen seien teilweise mit großen technischen und organisatorischen Umstellungen verbunden, darauf weist die Kölner Rechtsanwaltskanzlei hin. Unternehmen sollten analysieren, ob und inwieweit hiermit entsprechende Maßnahmen im eigenen Hause verbunden sind.

Im Wesentlichen müssen folgende Informationen mitgeteilt werden:

  • Name und Kontaktdaten des Verantwortlichen,
  • gegebenenfalls Kontaktdaten des Datenschutzbeauftragten (DSB),
  • Zwecke und Rechtsgrundlage der Datenverarbeitung,
  • gegebenenfalls Empfänger oder Kategorien von Empfängern der Daten,
  • gegebenenfalls Informationen zur Datenübermittlung in Drittländer,
  • Dauer der Datenspeicherung,
  • Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Datenportabilität und Beschwerderecht zur Aufsichtsbehörde),
  • Grundlage der Bereitstellung der Daten auf gesetzlicher oder vertraglicher Basis und Folgen der Nichtbereitstellung,
  • Bestehen einer automatisierten Einzelfallentscheidung einschließlich Profiling

Stärkung bestehender Betroffenenrechte:

Gestärkt wurde unter anderem das Recht auf Löschung von Daten. Unternehmen müssen sich laut Pauly darauf einstellen, dass von der Datenverarbeitung Betroffene ihre Rechtspositionen geltend machen und nötigenfalls auch gerichtlich durchsetzen werden.

Hier könne ein vorausschauendes Datenschutzmanagementsystem helfen, die Berechtigung erhobener Ansprüche auf Anforderung zu prüfen und Verstöße gegen das Datenschutzrecht zu vermeiden.

„Auftrags(daten)verarbeitung“:

Auch bei der Auftragsdatenverarbeitung komme es zu Verschärfungen. Das werde etwa beim Einsatz von Nutzeranalyse-Software, wie „Google Analytics“ oder auch bei einem externen Sekretariat relevant. Hier sei insbesondere darauf zu achten, dass schriftliche Vereinbarungen zur Auftragsdatenverarbeitung geschlossen werden, die den geltenden rechtlichen Anforderungen genügen.

Höherer Rahmen für Geldbußen:

Bei Verstößen gegen bestimmte Vorschriften der EU-Datenschutzgrundverordnung drohen hohe Geldbußen. Diese Geldbußen könnten sich durchaus auf bis zu 20 Millionen Euro belaufen.

Im Falle eines Unternehmens könnten es alternativ auch bis zu 4 Prozent seines gesamten weltweit erzielten (Konzern-)Jahresumsatzes des vorangegangenen Geschäftsjahres sein. Das sei davon abhängig, welcher Betrag höher sei.

Zusätzlicher zivilrechtlicher Haftungsrahmen:

Unternehmen müssen sich wohl auch darauf gefasst machen, dass sich der im Betrieb für den Datenschutz Verantwortliche und der Auftragsverarbeiter zivilrechtlich verantworten müssen. Denn die Möglichkeiten einer zivilrechtlichen Inanspruchnahme auch wegen immaterieller Schäden seien deutlich ausgeweitet worden, so Pauly.

Nur noch Risikominimierung erreichbar?

Die neue EU-Datenschutzgrundverordnung habe die Datenschutzbehörden bereits jetzt dazu veranlasst, ihre personellen Ressourcen aufzustocken, erklärt der Rechtsanwalt. „Angesichts der sich abzeichnenden ‚Aufrüstung‘ der Datenschutzbehörden sowie der erheblichen finanziellen Risiken, die mit einem Verstoß gegen Regelungen des Datenschutzrechts einhergehen können, sind Vorsorgemaßnahmen nunmehr unumgänglich.“. Dies gelte für Kleinunternehmen und den Mittelstand ebenso wie für große Konzerne.

Die Zeit wird bereits knapp. So knapp, dass in Branchenkreisen teilweise der Ansatz vertreten werde, dass bis Mai 2018 lediglich noch eine Risikominimierung erreicht werden könne.

Mehr zum Thema
Die neue Abfall­­­verbringungsverordnung kann kommen
Erstes deutsches Unternehmen für Schiffsrecycling
Verpackungsmüll: Warum bayerische Kommunen weiterhin auf das Bringsystem setzen
Zu viel Bürokratie: „Das macht manche Firmen verrückt“
Regierung in Sachsen beschließt Förderung der Kreislaufwirtschaft
Videoüberwachung an Containern ist „schwieriges Thema“
Circular Economy: München hat die meisten Start-ups
Voestalpine will Buderus Edelstahl verkaufen
Wertstofftonne: Karlsruher hadern mit privatem Entsorger
EU-Länder unterstützen Verpackungs­verordnung
„Das größte Bürokratie­entlastungspaket, das es je gab“
Videoüberwachung an Containerstellplätzen?