Der neue Datenschutz – Die DSGVO in der Praxis

Datenschutzverordnung im Mai 2018

Regelungen der DSGVO

Wie bereite ich das Unternehmen auf den neuen Datenschutz vor?

Ab Mai 2018 soll der einheitliche Datenschutz durch die EU-Datenschutz-Grundverordnung gewährleistet werden.

Das Gesetz heißt: EU-Datenschutz-Grundverordnung, abgekürzt: (DSGVO). Ziel des Beschlusses ist die Vereinheitlichung des Datenschutzrechts in Europa. Einige Neuerungen im Überblick:

Mit der neuen EU-Datenschutz-Grundverordnung (DSGVO) soll das Datenschutzrecht innerhalb Europas vereinheitlicht werden, um dem Einzelnen mehr Kontrolle über seine Daten zu verschaffen. Entsprechend gelten künftig in allen EU-Staaten die gleichen Standards in Sachen Datenschutz, datenschutzrechtliche „Rückzugsräume“ innerhalb Europas wird es damit nicht mehr geben.

Folgende Datenschutzprozesse stehen im Fokus:

• Die datenschutzkonforme Datenverarbeitung
• Sicherstellung der Betroffenenrechte
• Handhabung von Datenschutzverletzungen

Der neue Datenschutz – Die DSGVO in der Praxis

Was ändert sich nun konkret? Welche Fragen sollten sich die Unternehmer stellen?

Also schauen Sie sich die Artikel der DSGVO und Ihre Datenschutzrichtlinie genau an. Praxisprobleme können überall dort auftauchen, wo Kundendaten gespeichert werden. Wie sieht es mit Ihrer Website aus? Was ist mit Ihren Kundendaten? Wo werden Sie aufbewahrt? Haben Sie einen Newsletter, ein Kontaktformular? Welche Analyse-Tools, Social Plugins und Cookies benutzen Sie? Wissen Sie was Ihr Mediengestalter installiert hat? Rüsten Sie nach, um sicher zu sein.

Brauchen Sie mehr Fakten und Hintergrundwissen? Besuchen Sie gerne ein Seminar von Juristin und Compliance Officer Nicole Biermann-Wehmeyer.

Vorbereitung zum Datenschutzbeauftragten:

Seminare zur DSGVO

Verstärkte Rechte für den Nutzer

• Nutzer soll wissen, welche Daten über ihn gesammelt werden
• Zudem wer die Daten zu welchem Zweck wo bearbeitet
• Aufklärung bei Hacking
• Möglichkeit des Nutzers Präventionsmaßnahmen einzuleiten
• Personenbezogene Daten gehören dem Nutzer und nicht dem Internetdienst
• Daten können von einem Internetanbieter zum anderen mitgenommen werden
• Verstärkung der Möglichkeit, veröffentlichte Informationen löschen zu lassen

Geltung für Unternehmen aus den USA

• Geltung über die Grenzen Europas hinaus
• Vorgaben des Datenschutzes gelten grundsätzlich sobald man Dienstleistungen und Produkte auf dem europäischen Markt anbietet

Geltung für Kinder und Jugendliche

• Nach DSGVO steigt das Mindestalter für die Abgabe einer rechtswirksamen Einwilligung in die Verarbeitung personenbezogener Daten auf 16 Jahre
• Bisher bereits mit 13 Jahren bei Einsichtsfähigkeit
• Das wird vermutlich auch rechtswidrige Anmeldungen nach sich ziehen

Bußgelder in Höhe von 4 % der Jahresumsätze der Unternehmen

• Bisher gab es die Angabe von einem speziellen Streitwert
• Durch die Möglichkeit die Strafen nach dem Umsatz zu berechnen, sind wesentlich höhere Bußgelder möglich

Details zu den gesetzlichen Regelungen der DGSVO

Der neue Datenschutz – Die DSGVO in der Praxis

Änderungen durch die DS-GVO am 25. Mai 2018 

• Das neue EU-Recht löst das bisherige Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), auf der das BDSG basiert ab
• Zeitgleich tritt ein dazu gehöriges deutsches Ergänzungsgesetz (Datenschutz-Anpassungs- und -Umsetzungsgesetz – DSAnpUG) in Kraft
• Die DSGVO wird dort zum Teil modifiziert und konkretisiert
• Weitere Ergänzung: EU-e-Privacy-Verordnung, die ebenfalls am 25. Mai 2018 in Kraft treten soll und Internet- und Telemediendienste betrifft
• Ziel der DSGVO ist ein einheitliches Datenschutzrecht innerhalb der EU
• Kernaussage des BDSG bleibt: In Art. 5 DSGVO sichtbar: Rechtmäßigkeit, Zweckbindung, Datenminimierung (Datensparsamkeit), Richtigkeit, zeitliche Beschränkung (Speicherbegrenzung), Integrität und Vertraulichkeit sowie eine Rechenschaftspflicht der Verantwortlichen für die Einhaltung dieser Grundsätze
• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
• Es kann eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke vorliegen
• Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden
• Längere Speicherung personenbezogener Daten, wenn sie ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden
• Es ist für eine Speicherbegrenzung zu sorgen
• Der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung muss gewährleistet werden
• Der Schutz der Integrität und Vertraulichkeit muss durch geeignete technische Maßnahmen gewährleistet werden
• Insgesamt neue Regelungen für die Rechtsgrundlagen der Datenverarbeitung und für die Rechte der Betroffenen
• Pflichten der Verantwortlichen
• Rechte der Nutzer werden durch neue Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen gestärkt
• Betroffene sollen leichter Zugang zu ihren Daten und der Information über deren Nutzung haben
• Außerdem wird das bislang nur gerichtlich konstruierte „Recht auf Vergessenwerden“, also der Anspruch auf Löschung personenbezogener Daten, nun in Gesetzesform gegossen.
• Neben bereits bekannten Pflichten stellt die DSGVO auch weitergehende Anforderungen an den Datenschutz in Unternehmen
• Pflicht, elektronische Geräte und Anwendungen datenschutzfreundlich voreinzustellen
• Neu ist weiterhin die Datenschutz-Folgenabschätzung bei besonderen Risiken für die erhobenen Daten, etwa durch neue Technologien
• Rechenschaftspflicht: Die Einhaltung muss nachgewiesen werden

Geltungsbereiche der DSGVO

• Außerdem gilt die DSGVO auch für Unternehmen, die ihren Sitz außerhalb der EU haben, wenn sich ihre Angebote an EU-Bürger wenden
• Dies hat weitreichende Konsequenzen etwa für Unternehmen wie Facebook und Google mit Sitz in den USA.
• Der Bußgeldrahmen bei Verstößen wird erheblich erhöht und kann bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen
• Wann dürfen Daten verarbeitet werden? Die Datenverarbeitung ist auch nach der DSGVO weiterhin nur zulässig, wenn es eine Verordnung oder ein anderes Gesetz ausdrücklich erlaubt (Verbot mit Erlaubnisvorbehalt)
• Das entspricht der Regelung im BDSG geregelt – hier wird sich also nichts Wesentliches ändern

Die relevantesten Erlaubnistatbestände

Nachfolgend ein Überblick über die relevantesten Erlaubnistatbestände.

Erlaubnistatbestände nach Art. 6 DSGVO

• Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben
• Für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, ist die Datenverarbeitung erforderlich (auf Antrage der betroffenen Person)
• Zur Erfüllung einer rechtlichen Verpflichtung
• Um lebenswichtige Interessen zu schützen
• Für die Wahrnehmung von Aufgaben von öffentlichem Interesse oder in Ausübung öffentlicher Gewalt
• Wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (besonders bei Kindern)

Erlaubnistatbestände nach Art. 7 DSGVO:

• Anforderungen an die Einwilligung gem. Art. 7 und 8 DSGVO
• der Verantwortliche muss nachweisen können, dass die Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat
• das Ersuchen um die Einwilligung muss in verständlicher und leicht zugänglicher Form erfolgen
• Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen, auch die Möglichkeit zum Widerruf muss einfach zugänglich sein
• wichtig für die Beurteilung ist, ob die Verarbeitung von personenbezogenen Daten für Erfüllung des Vertrags erforderlich sind (Art. 7 DSGVO)

Erlaubnistatbestände nach Art. 8 DSGVO:

• (Art. 8 DSGVO) Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat
• nur rechtmäßig, soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind erteilt wird oder mit dessen Zustimmung erfolgt
• Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf
• Verantwortlicher unternimmt unter Berücksichtigung der Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass Einwilligung durch Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde

Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO:

Personenbezogene Daten, die die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit oder die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person betreffen dürfen nicht gespeichert werden

Ausnahmen:

• Betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt
• Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann
• Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben
• Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten
•  Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat
• die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich
• Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich erforderlich
• Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich

Weitreichende Informationspflichten

Der neue Datenschutz – Die DSGVO in der PraxisFolgende Informationen müssen mitgeteilt werden :

• Name und Kontaktdaten des Verantwortlichen,
• ggf. Kontaktdaten des Datenschutzbeauftragten (DSB),
• Zwecke und Rechtsgrundlage der Datenverarbeitung,
• Darstellung der berechtigten Interessen
• ggf. Empfänger oder Kategorien von Empfängern der Daten,
• ggf. Informationen zur Datenübermittlung in Drittländer
• Dauer der Datenspeicherung,
• Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Datenportabilität und Beschwerderecht zur Aufsichtsbehörde),
• Grundlage der Bereitstellung der Daten auf gesetzlicher oder vertraglicher Basis und Folgen der Nichtbereitstellung,
• Bestehen einer automatisierten Einzelfallentscheidung einschließlich Profiling (z.B. das Erstellen eines umfassenden Nutzerprofils oder die Bildung von sog. Scorewerten durch Verknüpfen, Speichern, Auswerten und Zusammenlegen von verschiedenen Daten zu einer Person.)
• Bei der Erhebung der Daten beim Betroffenen müssen die Unternehmen nach Art. 13 DSGVO sofort bei Erhebung der Daten, z. B. bei der Bestellung eines Newsletters, entsprechend informieren. Dies sollte nach Art. 12 Abs. DSGVO schriftlich, aber auch in anderer Form (elektronisch, unter Umständen auch mündlich) geschehen

Ausnahmen: Der Betroffene verfügt bereits über diese Informationen oder die Informationserteilung bedeutet einen unverhältnismäßig hohen Aufwand bedeutet.

Nach Art. 19 DSGVO gibt es einen weiteren Informationsanspruch bei Berichtigung, Löschung oder Einschränkung der Verarbeitung

Nach Art. 15 DSGVO gibt es ein umfassendes Auskunftsrecht.

Der Betroffene kann jetzt auch die Auskunft und die Übermittlung der Daten in elektronischer Form sowie die Kopie der Daten verlangen kann.

Weiteres Informationsrecht: Zu welchen Zwecken werden die Daten verarbeitet? Woher stammen die Daten und an wen werden sie übermittelt? Und wie lange werden sie gespeichert?

Das neue Recht aus Art. 20 DSGVO auf Datenübertragbarkeit gewährt die Befugnis die Daten mitzunehmen. Anweisungsmöglichkeit, dass gewisse Daten von einer automatisierten Anwendung auf eine andere übertragen werden

Dieses Recht soll es Betroffenen erleichtern, von den Anbieter zu wechseln und die Daten mitzunehmen. Die Datenportabilität betrifft aber nur solche Daten, die der Nutzer selbst zur Verfügung gestellt hat.

Recht auf Löschung („Recht auf Vergessenwerden“)

Der neue Datenschutz – Die DSGVO in der Praxis

Art. 17 DSGVO stellt das “Recht auf Vergessenwerden” in den Fokus.

Es besteht nun ein Recht auf Löschung der eigenen Daten, wenn:

• die Speicherung der Daten nicht mehr notwendig ist
• der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat
• die Daten unrechtmäßig verarbeitet wurden
• eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht

Der neue Datenschutz – Die DSGVO sorgt zudem für das Recht auf Vergessen werden. Diese findet allerdings keine Anwendung, wenn:

• die freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen
• die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient
• das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt
• Archivzwecke, wissenschaftliche und historische Forschungszwecke dem entgegenstehen
• die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist

Das Recht auf Berichtigung

Nach Art. 16 DSGVO können Betroffene verlangen, dass unrichtige personenbezogene Daten berichtigt und unvollständige vervollständigt werden. Art. 18 DSGVO sieht noch ein Recht vor, dass Daten nur aus eingeschränkten Gründen verarbeitet werden dürfen. Dies kommt etwa dann zur Anwendung, wenn der Betroffene die Richtigkeit der Daten bestritten hat oder wenn die Verarbeitung unrechtmäßig ist.

Der neue Datenschutz – Die DSGVO in der Praxis sorgt demnach für einige wichtige Neuerungen.

Widerspruch bei automatisierten Einzelfallentscheidungen

Nach Art. 22 DSGVO sollen Betroffene nur noch das Recht haben, einer automatisierten Einzelfallentscheidung zu widersprechen.

Zu automatisierten Einzelfallentscheidungen zählen alle rechtlich relevanten oder sonst erheblich einschränkenden Entscheidungen, die nicht von einem Mensch getroffen wurden.

Das können z.B. die automatische Ablehnung eines Online-Kreditantrags, ein Online-Einstellungsverfahren oder andere Maßnahmen sein, bei denen persönliche Aspekte lediglich elektronisch ausgewertet werden.

Dazu zählt vor allem auch das Profiling (z. B. für die Werbung), bei dem Daten zur Analyse oder Prognose für Persönlichkeitsmerkmale verwendet werden, wie etwa die Arbeitsleistung, die wirtschaftliche Lage, die Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten.

Das Widerspruchsrecht gilt nach Abs. 2 nicht, wenn eine automatisierte Entscheidung z. B. für den Abschluss oder die Erfüllung eines Vertrages mit dem Betroffenen oder mit ausdrücklicher Einwilligung des Betroffenen erfolgt.

Der neue Datenschutz – Die DSGVO in der Praxis

Wir werden nächste Woche einen praxisnahen Teil mit Einzelproblemen veröffentlichen.