Mit dem nachfolgenden Beitrag möchte ich Ihnen einen Überblick über die wichtigsten Eckdaten und wesentlichen Veränderungen, die mit der DSGVO einhergehen, verschaffen. Er soll Ihnen einen schnellen Einstieg in die Materie ermöglichen, um zu erkennen, welcher Aufwand und welche Risiken die DSGVO mit sich bringt. Einzelne Themen wie z.B. die Regelungen zur Einwilligung werden in weiterführenden Beiträgen behandelt und vertieft.
Ab wann gilt die DSGVO?
Die DSGVO wurde am 04. Mai 2016 im EU-Amtsblatt veröffentlicht und ist – 20 Tage später – am 25. Mai 2016 in Kraft getreten. Sie gilt nach Art. 99 Abs. 2 DSGVO jedoch erst ab dem 25. Mai 2018, so dass den Unternehmen ein Umsetzungszeitraum von zwei Jahren bleibt. Ob dies ausreicht? Letztlich wird es die Praxis zeigen. Kleine Unternehmen werden sich aufgrund ihrer flexiblen Strukturen sicherlich schneller auf die Änderungen der DSGVO einstellen können, als mittelständische Unternehmen oder Konzerngruppen. Für diese wird die Umsetzung der neuen Regelungen innerhalb von zwei Jahren eher ein Kraftakt. Zumal der Gesetzgeber noch eine Reihe von Gesetzen anpassen muss. Gleichwohl sind die Aufsichtsbehörden bemüht Hilfestellungen zu geben. Zu nennen ist hier das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) das regelmäßig Stellungnahmen zu einzelnen Themen der DSGVO veröffentlicht.
Welche Unternehmen müssen die DSGVO beachten?
Grundsätzlich ist der Anwendungsbereich der DSGVO weit gefasst. So werden nach Art. 2 Abs. 1 DSGVO alle Unternehmen erfasst, die ganz oder teilweise personenbezogener Daten automatisiert verarbeiten. Auch sind solche Unternehmen erfasst, die personenbezogen Daten nicht automatisiert erfassen, personenbezogene Daten aber in einem Dateisystem speichern oder gespeichert werden sollen. In Zeiten der zunehmenden Digitalisierung ist es daher eher wahrscheinlich, dass ein Unternehmen in den sachlichen Anwendungsbereich der DSGVO fällt. Die Ausnahmen aus Art. 2 Abs. 2 DSGVO sind jedoch zu beachten.
Art. 3 DSGVO normiert den räumlichen Anwendungsbereich der DSGVO. Dieser wurde mit der Verankerung des sog. Marktortprinzips deutlich ausgeweitet. Für die Anwendung der DSGVO reicht es künftig also auch schon aus, wenn das datenverarbeitende Unternehmen im außereuropäischen Ausland sitzt und seine Waren und Dienstleistungen in der EU anbietet, Art. 3 Abs. 2 lit. a DSGVO.
Auch Anbieter von Webtracking, Webanalysen und/oder Social-Plugins werden sich künftig nicht mehr dem europäischen Datenschutz entziehen können. Selbst wenn sie ihren Sitz im außereuropäischen Ausland haben, müssen Sie sich nach Art. 3 Abs. 2 lit. b DSGVO den Regelungen der Datenschutzgrundverordnung unterwerfen.
Was sind die drei bedeutsamsten Änderungen?
1. Erhöhung des Bußgeldrahmens
Die wohl gewichtigste Änderung ist die Erhöhung des Bußgeldrahmens. Mit Art. 83 Abs. 4 – 6 DSGVO erhöht sich der Bußgeldrahmen für Datenschutzverstöße drastisch. So kann z.B. bei einem Verstoß gegen die Rechte der betroffenen Person gem. den Artikeln 12 bis 22 DSGVO eine Geldbuße von 20.000.000 EUR drohen. Verstoßen Unternehmen gegen diese Norm so kann auch ein Bußgeld von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes verhängt werden. Die Aufsichtsbehörde hat dabei jedoch sicherzustellen, dass die Geldbuße „angemessen, verhältnismäßig und abschreckend“ (Art. 83 Abs. 1 DSGVO) ist.
Angesichts der derzeitigen Gesetzeslage, die lediglich ein max. Bußgeld von 300.000 EUR vorsieht, werden sich Unternehmen künftig höheren Bußgeldvorschriften ausgesetzt sehen.
2. Erweiterte Haftung für Unternehmen
Auch mit Blick auf die zivilrechtliche Haftung steigen die Risiken für das datenverarbeitende Unternehmen. Jede Person, die wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entsteht hat künftig gem. Art. 82 Abs. 1 DSGVO einen Anspruch auf Schadensersatz. Insbesondere mit Blick auf die Geltendmachung von immateriellen Schäden wird es interessant sein, wie sich die Rechtsprechung in Europa hierzu entwickelt. Deutsche Gerichte haben in der Vergangenheit nur zögerlich entsprechende Schadensersatzzahlungen zugesprochen.
Die Haftung nach Art. 82 DSGVO wird zudem ausdrücklich auf Auftragsdatenverarbeiter ausgeweitet.
3. Erweiterte Dokumentations- und Nachweispflichten
Mit Art. 5 Abs. 2 DSGVO werden deutliche erweitere Nachweispflichten eingeführt. Das verantwortliche Unternehmen muss danach die Einhaltung der in Art. 5 Abs. 1 DSGVO normierten Datenschutzgrundsätze nachweisen. Im Zuge dessen sind Unternehmen daran gehalten Dokumentationen anzufertigen, um in Streitfällen nachzuweisen, den Anforderungen der DSGVO zu genügen. Lücken in der Dokumentation werden regelmäßig zu Lasten des Unternehmens gehen und können dann schmerzhafte Bußgelder nach sich ziehen.
In diesem Zusammenhang ist auch Art. 24 DSGVO zu nennen, der den Verantwortlichen ausdrücklich verpflichtet nachzuweisen, dass die Datenverarbeitung in Übereinstimmung mit der DSGVO erfolgt.
Natürlich gehen mit der DSGVO noch weitere Änderungen einher, die ein Unternehmen im Rahmen der Umsetzung zu beachten hat. Diesen Themen sind jedoch einzelne Beiträge vorbehalten, die in den kommenden Monaten auf diesem Blog veröffentlicht werden. Zu nennen sind bspw.
- Einwilligung
- Auftragsdatenverarbeitung
- Privacy by Design / Privacy by Default
- Datenschutz-Folgenabschätzung und
- Melde- und Benachrichtigungspflichten gegenüber Aufsichtsbehörden
Was ändert sich für den Datenschutzbeauftragten?
Art. 37 ff. DSGVO widmet sich dem Datenschutzbeauftragten. Beim ersten Durchblick der Vorschriften wird bereits deutlich, dass Datenschutzbeauftragte künftig eine bedeutende Rolle im Unternehmen spielen werden. Hiermit geht jedoch auch ein schärferer Haftungsmaßstab einher.
Grundsätzlich besteht bislang nur in den Grenzen des Art. 37 Abs. 1 DSGVO eine Pflicht zur Bestellung eines Datenschutzbeauftragten. Mit Art. 37 Abs.1 DSGVO besteht jedoch eine Öffnungsklausel, die es den Mitgliedsstaaten ermöglicht die Pflicht zur Bestellung auszuweiten. Es ist zu erwarten, dass Deutschland von dieser Öffnungsklausel Gebrauch macht. Im ersten Entwurf des ABDSG wurde eine entsprechende Klausel bereits verankert.
Anders als bislang treffen den Datenschutzbeauftragten mit Art. 39 Abs. 1 lit. b) DSGVO nunmehr umfassende Überwachungspflichten. Während er bislang nach § 4f S.1 BDSG lediglich auf die Einhaltung des Datenschutzes „hinzuwirken“ hatte, muss er die Einhaltung des Datenschutzrechts nunmehr auch überwachen. Ihm steht jedoch kein eigenes Entscheidungsrecht über Angelegenheiten des Datenschutzes zu. Dies obliegt den Entscheidungsträgern im Unternehmen.
Fazit:
Die DSGVO wird sowohl die betroffenen Unternehmen (Verantwortliche und Auftragverarbeiter) als auch die Aufsichtsbehörden vor große Herausforderungen stellen. Angesichts der eher kurzen Umsetzungsfrist – nunmehr noch rund 1 ½ Jahre – und der zurzeit unvollständigen Gesetzgebung, ist es für Unternehmen schwer valide Maßnahmen zu treffen. Gleichwohl empfiehlt es sich frühzeitig mit der Umsetzung der Anforderungen der DSGVO anzufangen und im Zuge dessen die Empfehlungen der Datenschutzbehörde zu beachten. Ein Auge sollte dabei natürlich auch immer auf die Entwicklungen rund um das ABDSG geworfen werden.
Brauchen Sie Unterstützung bei der Umsetzung der DSGVO oder stellen sich ihrerseits weitere Fragen? Gerne können Sie sich per Kontaktformular, XING-Profil oder per Telefon an mich wenden.