Ab 25. Mai 2018 wird mit der vollständigen Anwendbarkeit der Datenschutz-Grundverordnung das europäische Datenschutzrecht grundlegend reformiert und vereinheitlich. Mit dieser Internetseite wollen wir unseren Mandanten einen Überblick mit weiteren Informationen zum Thema bieten.
Inhaltsverzeichnis
Zweck des Datenschutzes
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union sowie Art. 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
Im deutschen Recht …
Grundsätze
Verbotsprinzip
Der europäische Gesetzgeber verbietet grundsätzlich das automatisierte Verarbeiten personenbezogener Daten, es sei denn, es ist ein Erlaubnistatbestand des Art. 6 DSGVO vorliegend.
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Art. 5 Abs. 1 a) DSGVO, ErwG 39
Der wichtigste Grundsatz der DSGVO ist, dass personenbezogene Daten auf rechtmäßige Weise (Art. 6 DSGVO) und nach Treu und Glauben verarbeitet werden sollen. Außerdem muss für jede natürliche Person Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchen Umfang dies geschieht und künftig geschehen wird.
Zweckbindung
Art. 5 Abs. 1 b) DSGVO, ErwG 39
Die personenbezogenen Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden, die zum Zeitpunkt der Erhebung feststehen.
Datenminimierung
Die personenbezogenen Daten müssen auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden.
Richtigkeit
Die personenbezogenen Daten müssen sachlich richtig und erforderlichenfalls auf dem neusten Stand sein.
Speicherbegrenzung
Art. 5 Abs. 1 e) DSGVO, ErwG 39
Die personenbezogenen Daten dürfen nur so lange in einer die Identifikation mit der betroffenen Person ermöglichenden Form gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist.
Integrität und Vertraulichkeit
Art. 5 Abs. 1 f) DSGVO, ErwG 39
Die personenbezogenen Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, sodass die Sicherheit und Vertraulichkeit der personenbezogenen Daten gewährleistet ist. Hierzu gehört auch die Sicherstellung, dass Unbefugte keinen Zugang zu den personenbezogenen Daten haben.
Rechenschaftspflicht/Accountability
Jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet („Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO) ist für die Einhaltung der genannten Grundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit) verantwortlich und muss dessen Einhaltung nachweisen können.
Gebot der Datensicherheit
Managementsystem
Datenschutz-Compliance
Betroffenenrechte
Datenschutzverletzungen
Meldungen an Betroffene, Art. 34 DSGVO
Meldungen an die Aufsichtsbehörde, Art. 33 DSGVO
Risikoanalyse
Folgenabschätzung
ISO 29134
Dokumentation
Verfahrensverzeichnis, Art. 30 DSGVO
Datenschutzsensibilisierung
Datenschutzfreundliche Voreinstellungen
Art. 25 GSGVO, ErwG 78
„Privacy by Design“ und „Privacy by Default“
Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) hat Empfehlungen für die „Privacy by Design“ veröffentlicht.
Datenschutzbeauftragte
Aufsichtsbehörden
Als Aufsichtsbehörden sind jeweils die Datenschutzbeauftragten der (Bundes-)Länder und der Bundesdatenschutzbeauftragte vorgesehen.
Änderungen mit der DSGVO
Eine wechselnde Zuständigkeit von unterschiedlichen Aufsichtsbehörden (derzeitige Rechtslage) stellt die Praxis häufig vor erhebliche Probleme. Aktuell kann dasselbe Unternehmen hinsichtlich datenschutzrechtlicher Fragestellungen der Aufsicht von gleich mehreren Behörden unterliegen, insbesondere dann, wenn ein Unternehmen in mehreren europäischen Ländern tätig ist. Dies führt dazu, dass mehrerer betroffener Datenschutzaufsichtsbehörden involviert sind und es zwangsläufig auch zu unterschiedlichen Rechtsauffassungen dieser kommen kann.
Dieses Problem soll mit Art. 56 DSGVO angegangen werden.
Nach Art. 56 Abs. 6 DSGVO ist bei grenzüberschreitender Datenverarbeitung die federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen (bzw. des Auftragsverarbeiters). Dies bedeutet, dass Unternehmen bei grenzüberschreitenden Datenverarbeitungen künftig nur noch einen Ansprechpartner für die Beurteilung der datenschutzrechtlichen Belange haben sollen.
Hierfür wurde in Art. 56 DSGVO das sog. „One-Stop-Shop“-Prinzip verankert. Dieses sieht vor, dass in der Regel die Aufsichtsbehörde in deren Zuständigkeitsbereich der Sitz oder Hauptsitz eines Unternehmens liegt für das Unternehmen zuständig ist.
Sanktionen
Bußgelder
Die Vorschriften zu Sanktionen finden sich in den Artikel 83 und 84.
Es drohen Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Zeitgleich findet man aber auch das Beispiel von Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu zwei Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
Es kommt hierbei auf die genaue Datenschutzverletzung an, um festzustellen, welche Art von Bußgeld droht.
Strafvorschriften
Strafrechtliche Sanktionen sollen von den einzelnen Mitgliedsstaaten festgelegt werden.