Die EU-DSVGO als Chance
Die EU-Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25.5.2018 in der gesamten Europäischen Union. Die DSGVO ist damit ein vergleichsweise neues Gesetzeswerk, was beim Rechtsanwender in der konkreten Umsetzung zu Unsicherheiten und Problemen führen kann. Zugleich birgt die DSGVO aber auch ein erhebliches Potenzial: Die Verordnung bringt eine Modernisierung hin zu einem wirksamen und konkreten Schutz von personenbezogenen Daten in Europa. Unternehmen haben die Chance, das Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern zu stärken, indem sie die Verordnung konsequent umsetzen und in Hinblick auf datenschutzrechtliche Vorgaben stets auf dem neuesten Stand bleiben. Im Zeitalter von Digitalisierung und datengetriebener Wirtschaft (Datenökonomie) ist ein gewissenhafter und integrer Umgang mit Daten und Informationen eine zentrale Voraussetzung für einen effektiven Schutz der individuellen Privatsphäre.
DSGVO: Was hat sich für das nationale Recht geändert?
Da es sich bei der DSGVO um eine europäische Verordnung handelt, gilt das Gesetzeswerk unmittelbar in allen EU-Mitgliedsstaaten (vgl. Art. 288 Abs. 2 AEUV). Anders als bei einer Richtlinie, wie es bspw. noch die europäische Datenschutz-Richtlinie (DS-RL) als Vorgängerin der DSGVO war, muss die DSGVO also nicht durch Gesetze auf nationaler Ebene umgesetzt werden. Die einschlägigen Regelungen des nationalen Rechts – insbesondere des Bundesdatenschutzgesetzes-(BDSG)alt – werden aufgrund des Anwendungsvorrangs des Unionsrechts weitgehend durch die Regelungen der DSGVO verdrängt. Der nationale Gesetzgeber hat daher auf Bundes- und Länderebene neue Gesetze erlassen, um die nationalen Vorschriften aufzuheben bzw. anzupassen, die durch die Verordnung ersetzt werden.
Die nationalen Gesetzgeber sind überdies an mehreren Stellen der Verordnung – durch sogenannte Öffnungsklauseln – dazu ermächtigt, die Regelungen der DSGVO zu konkretisieren und zu ergänzen. Ein wichtiges Beispiel hierfür stellt der Bereich des Beschäftigtendatenschutzes dar, für den sich in Art. 88 DSGVO eine Öffnungsklausel findet, von der der nationale Gesetzgeber in § 26 BDSG-neu Gebrauch gemacht hat.
Grundsätze der Datenverarbeitung in der DSGVO
Die tragenden Grundsätze der Datenverarbeitung sind in Art. 5 DSGVO festgelegt. Diese Grundsätze dienen als allgemeine Regeln für die Datenverarbeitung und als Auslegungshilfen für die weiteren Vorschriften der DSGVO.
Die Einhaltung dieser Grundsätze muss der Verantwortliche nachweisen können. Verantwortlicher im Sinne der DSGVO ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ihnen drohen bei Verstößen gegen die Grundsätze und Vorgaben der DSGVO die Verhängung von Bußgeldern nach Art. 83 Abs. 5 DSGVO oder andere aufsichtsbehördliche Maßnahmen.
Die zentralen Grundsätze der DSGVO für die Datenverarbeitung lauten:
Rechtmäßigkeit, Art. 5 Abs. 1 lit. a) DSGVO: Ohne eine Ermächtigungs- bzw. Rechtsgrundlage dürfen keine personenbezogenen Daten erhoben und benutzt werden.
Verarbeitung nach Treu und Glauben, Art. 5 Abs. 1 lit. a) DSGVO: Unredliche bzw. missbräuchliche Verarbeitungsvorgänge sind zu unterlassen.
Transparenz, Art. 5 Abs. 1 lit. a) DSGVO: Die Datenverarbeitung soll so ausgestaltet sein, dass der Betroffene ihre Auswirkungen einschätzen und gegebenenfalls von seinen Betroffenenrechten Gebrauch machen kann. Dies setzt insbesondere voraus, dass dem Betroffenen die Informationen über die Verarbeitung leicht zugänglich und sprachlich verständlich sind.
Zweckbindung, Art. 5 Abs. 1 lit. b) DSGVO: Personenbezogene Daten dürfen nur zu dem genau bestimmten Zweck verwendet werden, für den eine gesetzliche Grundlage besteht. Eine nachträgliche Zweckänderung ist nur in engen Grenzen zulässig.
Datenminimierung, Art. 5 Abs. 1 lit. c) DSGVO: Die Datenverarbeitung muss dem Zweck angemessen und erheblich sein sowie auf das notwendige Maß beschränkt werden.
Richtigkeit von Daten, Art. 5 Abs. 1 lit. d) DSGVO: Die zu verarbeitenden Daten müssen sachlich richtig und auf dem neuesten Stand sein; unrichtige Daten sind zu löschen.
Speicherbegrenzung, Art. 5 Abs. 1 lit. e) DSGVO: Die Daten dürfen nur solange gespeichert werden, wie es für die Zwecke der Verarbeitung notwendig ist. Danach sind die Daten in der Regel zu löschen; Ausnahmen gelten für bestimmte Archivzwecke.
Integrität und Vertraulichkeit, Art. 5 Abs. 1 lit. f) DSGVO: Die personenbezogenen Daten müssen durch technisch-organisatorische Maßnahmen angemessen gesichert werden, insbesondere vor unbefugter Verarbeitung, Schädigung, Manipulation oder Fälschung.
DSGVO: “Privacy by Design” und “Privacy by Default”
Zusätzlich zu den Grundsätzen der Datenverarbeitung weist Art. 24 DSGVO dem Verantwortlichen eine allgemeine Pflicht zu, geeignete und wirksame Maßnahmen zur Einhaltung der datenschutzrechtlichen Vorgaben zu treffen. Hierzu gehören vor allem die in Art. 25 DSGVO konkretisierten Verpflichtungen, für einen Datenschutz durch Technikgestaltung (“Privacy by Design“) sowie für datenschutzfreundliche Voreinstellungen (“Privacy by Default“) zu sorgen.
Nach dem Prinzip des Privacy by Design (Art. 25 Abs. 1 DSGVO) soll der Schutz der Privatsphäre auf allen Stufen der Produktentwicklung berücksichtigt werden. Denn es lässt sich ein effektiver Datenschutz am besten sicherstellen, wenn bereits bei der Konzeption und Programmierung der Verarbeitungssysteme die Vorgaben möglichst betroffenenfreundlich berücksichtigt und umgesetzt werden.
Der Grundsatz der Privacy by Default (Art. 25 Abs. 2 DSGVO) ist insbesondere auf die Voreinstellungen von Online-Diensten ausgerichtet. Verantwortliche sind verpflichtet, ihre Voreinstellungen so zu wählen, dass die Verarbeitung personenbezogener Daten minimiert wird. Will ein Nutzer mehr Datenverarbeitungen zulassen, muss er diese Einstellungen aktiv ändern. In diesem Zusammenhang sind sogenannte Opt-Out-Lösungen grundsätzlich unzulässig, bei denen der Betroffene, um weniger Datenverarbeitung zu erlauben, aktiv Häkchen herausnehmen muss, die in den Voreinstellungen betreiberseitig gesetzt waren.
Was bedeutet der risikobasierte Ansatz der DSGVO?
Die DSGVO verfolgt einen stark risikobasierten Ansatz. So bestehen keine allgemeinen präventiven Meldepflichten für Datenverarbeitungen. Stattdessen hat der Verantwortliche nach dem sogenannten Risikoansatz lediglich bei Datenverarbeitungen mit besonders hohen Risiken für die Rechte und Freiheiten der Betroffenen bestimmte Maßnahmen durchzuführen: Bei risikoreichen Verarbeitungen muss z.B. vorab eine Datenschutz-Folgenabschätzung nach Maßgabe des Art. 35 DSGVO vorgenommen werden. Ferner richtet sich die konkrete Ausgestaltung der technisch-organisatorischen Maßnahmen, die der Verantwortliche nach Art. 32 DSGVO implementieren muss, (auch) nach dem jeweiligen Risiko. Schließlich hängt ebenfalls von dem Ausmaß des Risikos ab, ob bei Datenschutzverstößen eine Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO erfolgen muss.
DSGVO: Umsetzung und Folgenabschätzung (Aufwand)
Der Aufwand für Anpassungen an die datenschutzrechtlichen Vorgaben der DSGVO variiert von Unternehmen zu Unternehmen; hier kommt es im Einzelfall vor allem auch darauf an, wie viele relevante Datenverarbeitungsprozesse zu prüfen sind und welche Relevanz die einschlägigen Vorschriften für die Unternehmensprozesse haben. Der konkrete Aufwand hängt ferner davon ab, wie umfangreich und übersichtlich die bisherige Dokumentation der Datenverarbeitungsprozesse erfolgte.
Im Folgenden sind einige Faktoren genannt, die für die Abschätzung des Aufwands herangezogen werden können: Anzahl der bereits dokumentierten Verfahren im Verfahrensverzeichnis; Anzahl der noch zu dokumentierenden Verfahren; Erfordernis der Erstellung eines Verfahrensverzeichnisses; Anzahl der einzubeziehenden Abteilungen; Umfang der Überarbeitung einer bzw. mehrerer Datenschutzerklärung(en); Erfordernis von Verhandlungen mit dem Betriebsrat.
Neben dem betrieblichen Datenschutzbeauftragten sollten in die Umsetzung der Vorgaben stets auch andere Stellen im Unternehmen einbezogen werden, darunter (unter anderem) die Geschäftsleitung, die Personalabteilung, der Betriebsrat sowie die Abteilungen Recht und Compliance, IT-Security, Finanzen und Forschung und Entwicklung.