20
Feb
2016
Computerstecker
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

EU-Datenschutz-Grundverordnung: Aktuelles, deutsche Entwurfsfassung, Arbeitshilfen

AKTUELLER STAND: Die Verabschiedung der DSGVO geht auf die Endgerade. In einer außerordentlichen Sitzung am 17. Dezember 2015 hat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments zu dem vom Rat, vom Europäischen Parlament und von der Kommission im Trilog ausgehandelten Text der DSGVO Stellung genommen. Am 18. Dezember 2015 hat der Ausschuss der Ständigen Vertreter (AStV) die Kompromissfassung gebilligt. Am 12. Februar 2016 hat der Rat diese Einigung im Zuge einer politischen Einigung über den Text bestätigt.

DEUTSCHE FASSUNG: Eine deutsche Version des aktuellen Entwurfs der DSGVO finden Sie hier.

NEUES EU-DATENSCHUTZRECHT: Der Entwurf der DSGVO vom Dezember 2015 umfasst Art. 1 bis 91 DSGVO. Insgesamt umfasst die Verordnung wegen vieler nachgebesserter sogenannter “Buchstabenartikel” allerdings deutlich mehr Vorschriften als nur diese 91 Artikel. Daher wird sich auch die Nummerierung der Endfassung von der des hier abgedruckten Entwurfs unterscheiden. Zu den hier abgedruckten Artikeln der Verordnung kommen noch über 135 Erwägungsgründe. Die DSGVO geht deckungsgleichen nationalen Regelungen zum Datenschutz vor und verdrängt diese. Die neuen Regelungen treten voraussichtlich Anfang 2018 in Kraft. Soweit das BDSG Vorgaben enthält, welche die DSGVO nicht abdeckt, oder zu denen sie Öffnungsklauseln enthält, gilt das BDSG bis auf Weiteres fort. Sofern der deutsche Gesetzgeber das BDSG nicht außer Kraft setzt oder durch andere Regelungen ersetzt, bleibt es beispielsweise bei der Regelung des Beschäftigtendatenschutzes in § 32 Abs. 1 BDSG, den deutschen Vorschriften zur Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten oder bei der Strafnorm des § 44 BDSG.

ZEITRAHMEN: Wenn man die Vielzahl der beschlossenen Änderungen in Betracht zieht, sind zwei Jahre nicht viel Zeit, um die neuen Anforderungen umzusetzen. Es geht für Unternehmen schließlich nicht nur darum, nur einige neue Richtlinien auszurollen. Stattdessen müssen sie teilweise komplett neue Prozesse schaffen, Mitarbeiter trainieren und eine Vielzahl weitgehend neuer Anforderungen umsetzen. Im Beschäftigtendatenschutz sind zudem bei vielen Themen Abstimmungen und Verhandlungen mit Betriebsräten erforderlich, die erfahrungsgemäß einige Zeit in Anspruch nehmen.

EINHEITLICHKEIT: Gleicher Datenschutz für alle Bürger in der EU. Künftig gilt mit der DSGVO ein Datenschutzgesetz für ganz Europa. Als Verordnung wirkt die DSGVO direkt und unmittelbar in allen Mitgliedsstaaten, Art. 288 AEUV. Bislang gab es 28 nationale Einzelregelungen zum Datenschutz. Dieser Rechtsrahmen ändert sich nun grundlegend.

AUSNAHMEN: Es gibt Abweichungen von der unmittelbaren Geltung der DSGVO für ganz Europa. Dies betrifft eine ganze Reihe von Punkten. Etwa die Pflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen. Auch beim Datenschutz am Arbeitsplatz gibt es solche  Sonderregeln (Art. 82 Abs. 1 DSGVO). Hier können die einzelnen Mitgliedsstaaten speziellere Regelungen treffen. Diese Ausnahmeregeln dürften allerdings grundsätzlich nur ein Mehr an Datenschutz erlauben – nicht aber einen geringeren Datenschutz (Art. 82 Abs. 2 DSVO). Im Ergebnis gibt es viele Öffnungsklauseln, die es Mitgliedsstaaten erlauben, nationale Sonderregelungen zu schaffen. Dieser politische Kompromiss mindert die beabsichtigte Vereinheitlichung durch die Verordnung ganz erheblich. Letztlich ist die DSGVO damit eher ein Mittelding zwischen EU-Verordnung und Richtlinie.

GRUNDSÄTZE: Die DSGVO hat ein ähnliches Fundament wie das bislang maßgebliche BDSG. Art. 5 DSGVO legt folgende Grundprinzipien fest: Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt), Treu und Glauben Verhältnismäßigkeit), Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht.

TRANSPARENZ: Unternehmen müssen Betroffene von dem Umgang mit ihren personenbezogenen Daten umfassender und genauer als bisher informieren (Art. 12 ff. DSGVO). Hier kommen auf europäische Firmen viele neue Vorschriften zu. Firmen müssen betroffene Personen daher künftig genau, verständlich und umfassend erklären, was genau sie mit ihren Informationen machen (Art. 12 Abs. 1 DSGVO). Das betrifft etwa Einwilligungen (Art. 7 Abs. 2 DSGVI), aber auch interne Regelungen oder Kundeninformationen zum Datenschutz. Als Reaktion hierauf werden viele Unternehmen in Europa wohl bald umfassende “Data Protection Policies” und ähnliche Richtlinien bekanntmachen.

RECHENSCHAFTSPFLICHT: Die in Art. 5 Abs. 2 DSGVO geregelte neue „Accountability“ schafft umfassende Regelungen zur Verantwortlichkeit beim Umgang mit Daten (vgl. auch Art. 12 DSGVO). Unternehmen müssen dokumentieren, was sie zur Einhaltung der Vorgaben der DSGVO tun. Und dies müssen sie auch beweisen können. Bei Beschwerden und Gerichtsverfahren kann das Verantwortlichkeitsprinzip vor allem zu einer Beweislastumkehr führen. Und Gerichtsverfahren werden oft auf der Beweisebene entscheiden. Damit wird die neue Rechenschaftspflicht beim Datenschutz nicht nur eine Vielzahl von Prozessen entscheiden. Zudem kann diese Anforderung auch eine komplett neue Rechtsprechung entscheidend prägen.

ARBEITNEHMERDATENSCHUTZ: Art. 82 DSGVO erlaubt einzelstaatliche Regelungen im Beschäftigtendatenschutz. Wenn der Gesetzgeber in Deutschland § 32 Abs. 1 BDSG nicht aktiv abschafft, bleibt es bei dem von den Gerichten vorgegebenen hohen Standards beim Datenschutz am Arbeitsplatz. Denn hier dürfen die einzelnen Mitgliedsstaaten nationale Sonderregeln treffen. Weitere Einzelheiten zum neuen Beschäftigtendatenschutz nach der DSGVO finden Sie hier.

BETRIEBSVEREINBARUNGEN: Für Betriebe besonders wichtig: Zwischen Betriebsrat und Arbeitgeber vereinbarte Betriebsvereinbarungen zum Datenschutz bleiben möglich und können Datenverarbeitungen weiterhin erlauben (Art. 82 Abs .1 DSGVO). Sie müssen aber den neuen Vorgaben der Datenschutz-Grundverordnung entsprechen (Art. 82 Abs. 2 DSGVO). Hier kommt auf Unternehmen einige Arbeit zu

MILLIONENBUSSGELDER: Die Strafen bei Verstößen werden enorm hoch. Künftig  drohen bis zu 20 Mio. EUR oder sogar bis zu 4% des weltweiten Umsatzes der Unternehmensgruppe. Damit sind im Ergebnis sogar Milliardenbußgelder möglich. Das macht es für Unternehmen viel schwerer als bislang, Bußgelder einfach ”einzupreisen“. Diese extrem hohen Bußgelder werden Entscheidungsprozesse in Unternehmen künftig voraussichtlich ganz erheblich beeinflussen.

COMPLIANCE: Anders als im bisherigen deutschen Datenschutzrecht nach dem BDSG berücksichtigt die EU auch Compliance-Pflichten (z.B. Art. 6 Abs. 1 lit. (c) DSGVO). Das neue Recht enthält zudem an einigen Stellen zusätzliche Voraussetzungen für das Erheben von Daten über Straftaten (vgl. Art. 9a DSGVO).

DATENSCHUTZBEAUFTRAGTE: Deutsche Datenschutzbeauftragte müssen sich wohl erst einmal nicht um ihren Job sorgen. Zwar müssen Unternehmen nach dem neuen EU-Recht Datenschutzbeauftragte nur unter deutlich engeren Voraussetzungen bestellen als nach dem BDSG. Die DSGVO sieht aber auch hier Ausnahmen vor. Dies betrifft die auf nationaler Ebene geregelte Pflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen. Das kommende Recht erlaubt es Mitgliedsstaaten, weitere Voraussetzungen zu bestimmen, unter denen Unternehmen betriebliche Datenschutzbeauftragte bestellen müssen (Art. 35 Abs. 4 DSGVO). Dies erlaubt eine Fortgeltung der Vorschriften des BDSG. Sofern der deutsche Gesetzgeber die bei uns derzeit geltenden Vorschriften zur Bestellung von Datenschutzbeauftragten nicht abgeschafft, bleibt es erst mal beim bisherigen nationalen Recht. Das System des betrieblichen Datenschutzbeauftragten hat sich in Deutschland bewährt. Deutsche Unternehmen, die zehn oder mehr Mitarbeiter mit Computer Arbeitsplätzen beschäftigen oder sensitive Datenverarbeitungen durchführen, müssen somit zunächst weiterhin einen Datenschutzbeauftragten bestellen.

NEUE PROZESSE: Unternehmen müssen vor allem viele Verfahrensregeln einführen. Datenportabilität (Art. 18 DSGVO), Privacy by design, Art. 23 DSGVO), Datenschutz-Folgeabschätzungen (Privacy impact assessments, Art. 33 DSGVO) und Konsultationspflicht mit der Aufsichtsbehörde bei hohen Risiken für die Betroffenen (Art. 34 DSGVO), das Recht auf Vergessenwerden (Art. 17 DSGVO), erhöhte Informations- und Transparenzpflichten (Art. 12 ff. DSGVO) sind nur einige der vielen neuen Anforderungen, die Firmen in den kommenden zwei Jahren analysieren und umsetzen müssen-

FAZIT: Auf Unternehmen, Betriebsräte, Arbeitnehmer und Datenschützer kommt bei der Umsetzung der DSGVO viel Arbeit zu. Neue Prozesse, neue Mechanismen, gerade im Bereich Transparenz erfordern entsprechende Strukturen im Unternehmen. Zudem werden klare und verständliche Informationen gegenüber Datensubjekten, was das Unternehmen mit ihren Daten im Einzelnen macht zur Pflicht. Die DSGVO bringt viel Aufwand und Haftung für Firmen. Aber auch auf Gerichte und Datenschutzbehörden kommt viel Arbeit zu. Man darf eine ganze Reihe von Gerichtsverfahren, Stellungnahmen von Datenschutzbehörden und Ähnliches erwarten. Zudem dürfen die Mitgliedsstaaten noch bei einer ganzen Reihe von Themen konkretisierende Sonderregelungen erlassen. Daher wird künftig auch wird spannend, wie gleich das gleiche Datenschutzrecht für alle Europäer wirklich werden wird und wie Gerichte und Aufsichtsbehörden die Vorgaben der DSGVO interpretieren werden.

 

Arbeitshilfe zum Einstieg in die DSGVO – was steht wo?

Der vorliegende Überblick soll es dem Praktiker im Unternehmen erleichtern, sich schnell einen ersten Überblick über die zentralen Bestimmungen der DSGVO zu verschaffen.

Kapitel 1: Allgemeine Bestimmungen

Kapitel 1 regelt in Art. 1 bis 10 DSGVO die allgemeinen Bestimmungen der Verordnung. Art. 1 DSGVO bestimmt Gegenstand und Ziele des neuen EU-Datenschutzrechts. Die DSGVO soll das Recht natürlicher Personen auf den Schutz ihrer personenbezogenen Daten umsetzen ohne dabei den freien Verkehr personenbezogener Daten in der EU übermäßig einzuschränken.

Art. 2 und 3 DSGO regeln den sachlichen und räumlichen Anwendungsbereich der Verordnung. Sie gilt für die automatisierte Verarbeitung personenbezogener Daten sowie für die nichtaustomatisierte Verarbeitung personenbezogener Daten, die noch in Dateien gespeichert werden sollen. Damit ist der Anwendungsbereich der Verordnung sehr weit, denn „Verarbeitung“ umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (Art. 4 Abs. 3 DSGVO).

Die DSGVO gilt zunächst für Datenverarbeitungen in der EU (Art. 3 DSGVO). Die Verordnung gilt auch für Datenverarbeitungen in Bezug auf Personen in der EU durch nicht in der EU niedergelassene Verantwortliche, wenn diese betroffenen Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten.

Art. 4 DSGVO enthält die wichtigsten Begriffsbestimmungen für die Anwendung der Verordnung.

Kapitel 2: Grundsätze der DSGVO

Art. 5 DSGVO regelt die Grundsätze der DSGVO: Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt), Treu und Glauben Verhältnismäßigkeit), Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht.

Art. 6 DSGVO sieht vor, dass der Umgang mit personenbezogenen Daten grundsätzlich nur erlaubt ist, wenn diese Vorschrift oder eine andere anwendbare Rechtsvorschrift dies erlaubt. Dabei enthält Art. 6 DSGVO die wichtigsten allgemeinen Erlaubnistatbestände der Verordnung und nimmt damit eine ähnliche Stellung ein wie § 28 BDSG im bisherigen Recht. Art. 9 DSGVO ist eine Sondervorschrift zur Verarbeitung besonderer Kategorien personenbezogener Daten. Dabei ist der Katalog solcher sensitiver Daten weiter formuliert als der bislang geltende § 3 Abs. 9 BDSG und umfasst auch ausdrücklich genetische und biometrische Daten.

Art. 7 DSGVO regelt die Bedingungen für Einwilligungen. Danach muss der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung abgegeben hat. Sie muss ohne Zwang abgegeben werden und kann jederzeit widerrufen werden. Die betroffene Person muss vor der Abgabe ihrer Einwilligung von der Möglichkeit zum Widerruf in Kenntnis gesetzt werden. Bei der Einwilligung von Kindern bis zum vollendeten 16. Lebensjahr gelten nach Art. 8 DSGVO zusätzliche Anforderungen.

Kapitel 3: Rechte der betroffenen Person

Das dritte Kapitel der DSGVO regelt in Art. 12 bis Art. 21 die Betroffenenrechte. Dabei gehen vor allem die neuen Transparenz- und Informationspflichten deutlich über die bisherigen Regelungen des BDSG hinaus. Hier sind unter anderem transparente Information und Kommunikation gegenüber betroffenen Personen (Art. 12 DSGVO), Informationspflichten bei Datenerhebung (Art. 14 und Art. 14a DSGVO), Auskunftsrechte betroffener Personen (Art. 15 DSGVO), das Recht auf Löschung (Art. 16 DSGVO), das Recht auf Löschung (Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 17a DSGVO), das Recht auf Datenübertragbarkeit (Art. 18 DSGVO), Widerspruchsrechte (Art. 19 DSGVO), Profiling und andere automatisierte Einzeleintscheidungen (Art. 20 DSGVO) geregelt.

Kapitel 4: Verantwortlicher und Auftragsverarbeiter

Die Art. 22 bis 37 DSGVO regeln die Pflichten von für die Verarbeitung Verantwortlichen und Auftragsverarbeitern. Dies betrifft etwa geeignete technische und organisatorische Maßnahmen (Art. 22 DSGVO), Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Art. 23 DSGVO), gemeinsam für Verarbeitungen Verantwortliche (Art. 24 DSGVO), Auftragsverarbeitung (Art. 26 bis Art. 29 DSGVO). Zudem sind in diesem Kapitel auch die Datensicherheit (Art. 30 DSGVO) und Meldungen an Aufsichtsbehörden (Art. 31 DSGVO) und an betroffene Personen (Art. 32 DSGVO) geregelt.

Von besonderer Bedeutung wird dabei auch die in Art. 33 DSGVO vorgesehene Datenschutz-Folgenabschätzung sowie die anschließend vorgeschriebene Konsultation der Aufsichtsbehörde für den Fall sein, dass eine Verarbeitung hohe Risiken für betroffene Personen mit sich bringt.

Bestellung, Rechte und Pflichten des betrieblichen Datenschutzbeauftragten sind in Art. 35 bis Art. 37 DSGVO geregelt.

Kapitel 5: Datenübermittlung bei Drittländern

Die Art. 40 bis Art. 45 DSGVO regeln die Datenübermittlung in Drittländer. Hier bleibt es im Grundsatz bei den aus dem BDSG bzw. der EU-Datenschutzrichtlinie bekannten Mechanismen. Die Übermittlung personenbezogener Daten in Drittländer (oder internationale Organisationen) ist nur dann zulässig, wenn der Verantwortliche die in Kapitel 5 der DSGVO niedergelegten Bestimmungen einhält (Art. 40 DSGVO). Nach Art. 41 DSGVO können Angemessenheitsbeschlüsse (sog. Adäquanzentscheidungen) der EU-Kommission zum vorliegen eines angemessenen Schutzniveaus eine Übermittlung rechtfertigen. Diese Übermittlungen bedürfen dann keiner besonderen Genehmigung. Art. 42 DSGVO sieht vor, dass Datenübermittlungen auch auf der Basis geeigneter Garantien zulässig sein können, etwa aufgrund von verbindlichen unternehmensinternen Datenschutzvorschriften (BCRs, vgl. Art. 43 DSGVO) oder Standarddatenschutzklauseln (vgl. § 87 Abs. 2 DSGVO). Art. 44 DSGVO regelt Ausnahmen für Sonderfälle. Die Vorschrift übernimmt damit die Funktion des bisherigen § 4c Abs. 1 BDSG.

Kapitel 6 und 7: Aufsichtsbehörden und deren Zusammenarbeit

Art. 46 bis Art. 54 DSGVO regeln Zuständigkeit, Aufgaben, Rechte und Pflichten der Aufsichtsbehörden. Art. 54a bis Art. 72 DSGVO enthalten Vorschriften zur Zusammenarbeit zwischen den Aufsichtsbehörden. Dabei soll dem neu zu gründenden Europäischen Datenschutzausschuss insbesondere bei der Vereinheitlichung der Anwendung der DSGVO eine besondere Rolle zukommen.

Kapitel 8: Rechtsbehelfe, Haftung und Sanktionen

Art. 73 DSGVO regelt das Recht betroffener Personen, sich bei einer Aufsichtsbehörde zu beschweren. Entsprechende Entscheidungen der Aufsichtsbehörde über solche Beschwerden können nach Art. 74 DSGVO gerichtlich überprüft werden. Auch gegen Verantwortliche und Auftragsverarbeiter steht der Rechtsweg offen (Art. 75 DSGVO). Art 75 DSGVO sieht für mögliche Datenschutzverstöße ein Verbandsklagerecht vor. Haftung und Schadensersatz sind in Art. 77 DSGVO geregelt.

Art. 79 DSGVO sieht bei Verstößen gegen die Verordnung Bußgelder von bis zu 20 Millionen Euro vor. Für Unternehmen ist der Bußgeldrahmen sogar noch höher. Hier drohen bis zu 4 Prozent des globalen konzernweiten Umsatzes des Vorjahres. Dabei sind anders als in § 43 BDSG Verstöße gegen ausgesprochen viele Vorschriften der DSGVO sanktionsbewehrt.

Kapitel 9: Besondere Verarbeitungssituationen

Das neunte Kapitel der DSGVO enthält Vorschriften für besondere Verarbeitungssituationen, Etwa zur Verarbeitung personenbezogener Daten und der Freiheit der Meinungsäußerung sowie der Informationsfreiheit (Art. 80 DSGVO) oder den Zugang der Öffentlichkeit zu amtlichen Dokumenten (Art. 80a). Für die Praxis dürfte dabei die Öffnungsklausel des Art. 82 DSGVO besonders maßgeblich sein. Sie erlaubt es den einzelnen Mitgliedsstaaten, den Datenschutz im Beschäftigungsverhältnis durch einzelstaatliches Recht (wie etwa den derzeit bereits geltenden § 32 Abs.1 BDSG) zu regeln. Auch Betriebsvereinbarungen und andere Kollektivvereinbarungen, wie etwa Tarifverträge, können danach den Umgang mit personenbezogenen Daten im Beschäftigungskontext erlauben, wenn sie geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen (Art. 82 Abs. 2 DSGVO).

Kapitel 10: Delegierte Rechtsakte und Durchführungsrechtsakte

Art 86 und Art. 87 DSGVO regeln Befugnisse der Kommission zum Erlass delegierter Rechtsakte und von Durchführungsrechtsakten.

Kapitel 11: Schlussbestimmungen

Das elfte Kapitel der DSGVO enthält Schlussbestimmungen, wie zur Aufhebung der EU-Datenschutzrichtlinie (Art. 85 DSGVO) oder zum Zeitpunkt des Inkrafttretens der Verordnung (Art. 91 DSGVO).

Bei Fragen zur Umsetzung der DSGVO können Sie sich gerne an unser Hogan Lovells Datenschutzteam wenden.