Kompaktüberblick zur DSGVO

Das neue Datenschutzrecht: Ein Kompakt-Überblick zur DSGVO

Maximilian Piet, Universität Hamburg

Am 25.05.2018 war es nun endlich soweit. Nach jahrelanger Lobbyschlacht[1] kommt die Datenschutz-Grundverordnung (DSGVO) in allen 28 Mitgliedsstaaten der EU zur Anwendung. Diese stellt viele Grundsätze des alten Bundesdatenschutzgesetzes (BDSG a.F.) auf den Kopf.

Was ist die DSGVO?

In Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union aus dem Jahr 2000 heißt es: „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“. Datenschutz hat damit den Rang eines Grundrechtes. Die DSGVO, welche offiziell als „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“[2] zu bezeichnen ist, stellt eine europaweit geltende Verordnung dar, welche den Datenschutz einheitlich regelt und nach Art. 288 II AEUV unmittelbare Anwendung findet. Die zunehmende Verwendung personenbezogener Daten durch Unternehmen wie Google oder Facebook war beim Beschluss der alten Datenschutzregelungen von 1995 nicht abzusehen. Daher löst die DSGVO diese Datenschutzrichtlinie ab. Die DSGVO vermeidet im Gegensatz zur alten Richtlinie Spielräume bei der Umsetzung.[3] 99 Artikel regeln dabei die Verarbeitung personenbezogener Daten, wie etwa Name, Adresse, E-Mail-Adresse, Ausweisnummer oder IP-Adresse, durch Unternehmen, Behörden oder auch Vereine.

Das Gesetzgebungsverfahren war so aufwändig und langwierig, wie kaum ein anderes innerhalb des EU-Parlaments. Der erste Entwurf lag 2012 vor, nach mehr als 3100 Änderungsanträgen, Lobbyarbeit ungeahnten Ausmaßes und knapp 4 Jahren an Verhandlungen konnten die Regelungen im Mai 2016 verabschiedet werden und die zweijährige Übergangsfrist bis zur Anwendbarkeit am 25.05.2018 beginnen.[4] Der Zweck der Verordnung ist die Vereinheitlichung des Europäischen Datenschutzrechts, da bisher jeder Mitgliedsstaat seine eigenen Datenschutzgesetze mit unterschiedlichen Standards beschloss.

Was ändert sich für normale Internetnutzer und welche ihrer Rechte werden gestärkt?

Wie bereits festzustellen war, hat sich seit dem 25.05. auf den ersten Blick nicht viel am Internet geändert. Lediglich einige Mails mit Hinweisen zur DSGVO von verschiedenen Unternehmen sollten eingetroffen sein. Die Änderungen finden aber eher im Hintergrund statt. Inhaltlich ändert sich für Internetnutzer, bis auf vermehrte Informationspflichten, wenig. Der Löschungsanspruch wird in Art. 17 DSGVO verstärkt und heißt nun „Recht auf Vergessenwerden“. Dieses gibt Internetnutzern die Möglichkeit, Daten, welche für den ursprünglichen Zweck nicht mehr benötigt werden, löschen zu lassen. Eine ähnliche Ausweitung der Rechte gilt für Art. 15, dem Recht auf Auskunft. Nach diesem können Nutzer bei Unternehmen erfragen, welche Daten gespeichert wurden, zu welchem Zweck und für welchen Zeitraum. Die Antwortfrist ist dabei auf einen Monat festgelegt, kann jedoch bis auf 3 Monate verlängert werden, ehe eine Beschwerde über das Unternehmen möglich sein soll.

Darüber hinaus werden Datenschutzerklärungen detaillierter, allgemeinverständlicher, dafür aber auch länger werden.[5]

Was ändert sich für Blogger und Betreiber kleinerer Websites?

Betreiber von Websites, sofern sie nicht ausschließlich persönlichen oder familiären Zwecken dienen, müssen jedem Besucher aufzeigen, welche personenbezogene Daten zu welchem Zweck wie lange erhoben und verarbeitet werden. Personenbezogen sind Daten nach Art. 4 Nr. 1 DSGVO, wenn sie direkt oder indirekt auf einen bestimmten Menschen schließen lassen. Namen sind dabei genauso personenbezogen, wie Autokennzeichen oder IP-Adressen. Verarbeitet werden solche Daten, wenn sie erhoben, geordnet, gespeichert, verändert, ausgelesen, abgefragt, transferiert, verknüpft, abgeglichen oder gelöscht werden. Besonders schutzwürdig sind Daten nach Art. 9 Nr. 1 DSGVO über „rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen“, sowie Gesundheitsdaten (vgl. Art 4 Nr. 13-15 DSGVO).

Um mögliche Abmahnungen zu verhindern, ist zunächst zu prüfen, ob die eigene Seite von der DSGVO betroffen ist. Dies ist der Fall, wenn bereits der rein private Bereich überschritten wird. Außerdem sollte geprüft werden, ob Nutzerdaten in irgendeiner Form verarbeitet werden, also etwa eine Kommentarfunktion mit Abfrage des Namens existiert oder Plug-Ins von Drittanbietern (wie etwa Social-Media-Buttons).[6] Daraufhin sollte eine DSGVO-konforme Datenschutzerklärung von jeder Unterseite aus erreichbar sein. Eine solche Datenschutzerklärung lässt sich mit einem Online-Generator einfach erstellen.[7] Sollte die Seite nicht selbst gehostet werden, sondern durch einen Host-Provider, muss zudem eine Auftragsverarbeitungs-Vereinbarung abgeschlossen werden. Liegt die eigene Website bei einem Provider aus den USA, sollte dieser an dem Datenschutzabkommen Privacy Shield[8] teilnehmen, welcher den transatlantischen Datenaustausch zwischen den USA und Europa regelt.

Schließlich sollte ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO geführt werden, um nachweisen zu können, dass die Vorgaben aus der DSGVO eingehalten werden.

Was ändert sich für Unternehmen?

Natürlich brauchen auch größere Unternehmen eine aktualisierte Datenschutzerklärung, in welcher sie dem Nutzer verständlich deutlich machen müssen, welche Daten gesammelt und zu welchem Zweck sie wie lange verarbeitet werden. Grundsätzlich sollen so wenig Daten wie möglich gesammelt werden. Nur diejenigen Informationen sollen abgefragt werden, die tatsächlich gebraucht werden, außerdem sollen sie für keinen Zweck genutzt werden, der nicht mit dem ursprünglichen Zweck vereinbar ist. Als Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten lassen sich nach Art. 5 Abs. 1 DSGVO diejenigen der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie eine Rechenschaftspflicht anführen.

Unternehmen und Organisationen, welche eine bestimmte Größe überschreiten oder besonders viel mit personenbezogenen Daten arbeiten, müssen Datenschutzbeauftragte benennen (vgl. Art. 37 DSGVO). Dies kann ein interner Angestellter sein oder ein externer Berater. In beiden Fällen muss der Datenschutzbeauftragte ausreichend und nachweisbar qualifiziert sein. Dieser muss bei der zuständigen Datenschutzbehörde gemeldet werden. Für Unternehmen, die keinen Sitz im EWR haben, aber Daten innerhalb dieser sammeln und verarbeiten, muss ein Inlandsvertreter ernannt werden, welcher an die Stelle des ausländischen Unternehmens tritt und dieses in Datenschutzangelegenheiten vertritt.

Wie werden die Regelungen durchgesetzt?

Eine primäre Durchsetzungsmöglichkeit soll durch die deutlich erhöhten Sanktionen geschaffen werden. Nach den alten Bestimmungen betrugen Bußgelder maximal 300.000 €. Nach Art. 83 DSGVO können diese von nun an bis zu 20 Millionen Euro betragen oder 4% des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres – je nachdem was höher ist. Unter Umständen haften Verantwortliche dabei sogar mit ihrem Privatvermögen. Bei der Höhe des Bußgeldes sollen Faktoren wie Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und die Vorsätzlichkeit berücksichtigt werden.

Darüber hinaus gibt es in jedem EU-Land unabhängige Aufsichtsbehörden, welche die Umsetzung der DSGVO kontrollieren. In Deutschland sind das die Datenschutzbehörden der 16 Länder und die Bundesdatenschutzbeauftrage.[9] Die Datenschutzbehörden können nach Art. 58 Abs. 2 DSGVO neben Informationsforderungen auch Ortsbesuche in Geschäftsräumen veranlassen, Datenschutzüberprüfungen durchführen und Zertifizierungen erteilen. Die zuständige Aufsichtsbehörde wird anhand der Hauptniederlassung des Unternehmens bestimmt.

Wie sieht es mit Einwilligungen aus?

Häufigster Anwendungsfall für erlaubte Datenverarbeitung ist das Einholen einer Einwilligung vom Betroffenen. Einwilligungen für die Datenverarbeitung und etwa der Newsletter-Zusendung verlangen gewisse Anforderungen, welche zu beachten sind.[10] Obwohl mündliche, schriftliche und elektronische Einwilligungen erlaubt sind, sollte im Rahmen der Nachweisbarkeit der elektronische Weg angeboten und gespeichert werden. Vorangekreuzte Kästchen stellen dabei keine wirksame Einwilligung dar. Ebenso wenig darf die Vertragserfüllung von der Einwilligung abhängen (Kopplungsverbot nach Art. 7 Abs. 4 DSGVO). Eine Freiwilligkeit muss zu erkennen sein und die Einwilligung muss sich auf bestimmte Verarbeitungstätigkeiten beziehen. Besonders zu beachten ist das Widerrufsrecht nach Art. 7 Abs. 3 DSGVO. Der Betroffene muss die erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können, ohne dass der Widerruf einen höheren Aufwand verlangt als die Einwilligung. Bisher eingeholte Einwilligungen bestehen dabei fort, wenn sie den bisherigen Anforderungen des BDSG und des TMG genügt haben. Neu ist nach Art. 8 DSGVO ein einheitliches Mindestalter von 16 Jahren (oder 13 Jahren, wenn das nationale Recht eine entsprechende Bestimmung enthält). Umgehen lässt sich dies nur mit dem Einverständnis der Eltern.

Wer braucht einen Datenschutzbeauftragten?

Einen Datenschutzbeauftragen braucht nur, wer besonders sensible Daten nach Art. 9 DSGVO verarbeitet, als Kerntätigkeit umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen betreibt oder mehr als 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Geregelt ist dies in Art. 37 Abs. 1 lit. b und c DSGVO i.V.m. § 38 Abs. 1 BDSG n.F. Dabei wird das Beschäftigungsverhältnis außer Acht gelassen, sodass die Regelung auch freie Mitarbeiter betrifft.

Muss ein Verfahrensverzeichnis geführt werden?

Nach Art. 30 DSGVO muss jeder Verantwortliche ein Verzeichnis von Verarbeitungstätigkeiten führen. Neu ist dabei, dass dieses Verzeichnis nicht mehr öffentlich sein muss. Auf Nachfrage sollte bzw. müsste es aber der Aufsichtsbehörde vorgelegt werden können. Sowohl die schriftliche als auch die elektronische Form sind erlaubt. Was genau in ein Verarbeitungsverzeichnis gehört, regelt Art. 30 Abs. 1 DSGVO. Ausgenommen werden nach Art. 30 Abs. 5 DSGVO Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn es werden nach Art. 9 Abs. 1 DSGVO besonders sensible Daten verarbeitet (etwa Gesundheitsdaten oder politische Meinungen), die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen (etwa bei Videoüberwachung), es werden personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 verarbeitet oder die Datenverarbeitung erfolgt nicht nur gelegentlich. Der Punkt „Die Datenverarbeitung erfolgt nicht nur gelegentlich“ ist dabei unpräzise formuliert. Ob Online-Shops und kleine Unternehmen davon betroffen sind, wird sich in nächster Zeit zeigen, wenn die Gerichte sich mit der Frage auseinandersetzen.

Was ist neu und was bleibt beim Alten?

Für deutsche Unternehmen halten sich die zusätzlichen Beschränkungen aufgrund der DSGVO im Rahmen, da die alten Regelungen nach dem BDSG bereits einen vergleichsweise hohen Schutz versprachen. Einige Prinzipien haben sich mit der Neuregelung nicht verändert und sollten dringend beachtet werden.

Etwa das Verbot mit Erlaubnisvorbehalt nach Art. 6 Abs. 1 S. 1 DSGVO, welches besagt, dass das Erheben, Verarbeiten und die Nutzung personenbezogener Daten lediglich mit Einwilligung der betroffenen Person oder aufgrund einer einschlägigen Rechtsgrundlage erfolgen kann. Diese kann sich aus dem Gesetz (BDSG, TMG, DSGVO) oder aus Einwilligung der betroffenen Person ergeben.
Bisher galt nach dem Prinzip der Datensparsamkeit, dass nur so viele Daten erhoben und verarbeitet werden dürfen, wie tatsächlich benötigt. Dieses Prinzip wurde erhalten und ist in Art. 5 Abs. 1 lit. c DSGVO kodifiziert („[Personenbezogene Daten müssen] dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.“)
Ebenfalls entspringt auch das Prinzip der Zweckbindung den bisherigen Regelungen. Dieses besagt, dass Daten nur für den Zweck verarbeitet werden dürfen, für den sie erhoben wurden. (Art. 5 Abs. 1 lit. b DSGVO: „[Personenbezogene Daten müssen] für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. […]“)
Auch das Prinzip der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO ist als solches nicht neu. Nach diesem müssen die Daten inhaltlich und sachlich richtig und aktuell gehalten werden. („[Personenbezogene Daten müssen] sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein […]“)
Gänzlich neue Grundsätze sind etwa der Grundsatz der Datensicherheit nach Art. 32 DSGVO, der besagt, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten geeignete technische und organisatorische Maßnahmen getroffen werden müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Verantwortlich für die Gewährleistung ist nach Art. 32 DSGVO sowohl der für die Verarbeitung Verantwortliche als auch – sofern vorhanden – der Auftragsverarbeiter.
Das Recht auf Vergessenwerden ergibt sich aus Art. 17 DSGVO und beschreibt die Pflicht der Unternehmen, personenbezogene Daten zu löschen oder zu sperren, wenn für die Verwendung dieser Daten keine Berechtigung mehr vorliegt. Gründe finden sich im besagten Artikel. Das Recht als solches ist zwar nicht neu, allerdings wurde es durch den Absatz 2 deutlich gestärkt. Einen Anspruch kann der Betroffene geltend machen, wenn er etwa eine Einwilligung widerrufen hat (Art. 17 lit. b), die Datenverarbeitung unrechtmäßig war (Art. 17 lit. d) oder der Zweck der Datenverarbeitung weggefallen ist (Art 17 lit. a).
Ebenfalls neu ist das Recht auf Datenportabilität, welches nach Art. 20 DSGVO regelt, dass Nutzer über eine Art „Datenrucksack“[11] verfügen, den sie beim Anbieterwechsel anfordern können. Dieser wird in einem gängigen Format einem anderen Verantwortlichen weitergegeben.
Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verpflichtet zum Nachweis der Einhaltung aller Datenschutzprinzipien durch die Verantwortlichen.

Wie fallen die Reaktionen aus?

Aus Sicht der Verbraucher und Datenschützer besteht Grund zur Freude. Das grenzenlose Datensammeln der Tech-Giganten hat ein Ende gefunden: Besserer Schutz der Privatsphäre, mehr Kontrolle über die eigenen Daten und mehr Macht für Strafverfolgungsbehörden bei Rechtsverstößen. Auf Seiten der Datenverarbeiter löst die neue DSGVO Unbehagen aus. Der Deutsche Industrie- und Handelskammertag warnt, dass vor allem kleine und mittelständische Unternehmen durch die unpräzisen Regeln Schwierigkeiten mit der Umsetzung bekommen könnten.[12] Der Bundesverband der Deutschen Industrie kritisiert vor allem das Prinzip der Datensparsamkeit. Dies sei ein großer Fehler, sagte Präsident Dieter Kempf. In Zeiten der Datenvielfalt sei Datensparsamkeit das falsche Bauprinzip.[13] Immerhin wird begrüßt, dass die Regelungen in der EU einheitlich sind. Die großen Datenverarbeiter wie Facebook greifen zu radikaleren Mitteln. Der Social-Media-Betreiber wird seine interne Nutzer-Zuordnung aufwändig umschichten, damit etwa 1,5 Milliarden Nutzern aus Afrika, Asien, Australien und Lateinamerika die Rechte und Klagemöglichkeiten der EU-DSGVO verwehrt bleiben.[14]

Fazit
Im Ergebnis ist die neue Datenschutzgrundverordnung ein gelungener Versuch, den Bürgern die Kontrolle über Ihre Daten zurückzugeben. Pünktlich zum Facebook-Datenskandal[15], rüstet die EU ihr Datenschutzrecht für die Gegenwart und hoffentlich auch ausreichend für die Zukunft. Ein willkommener Sieg gegen die Tech-Giganten aus Silicon Valley, für die unsere Daten ein unersetzlicher Profitgarant geworden sind.

[1] https://www.bitkom.org/Themen/Politik-Recht/EU-internationale-Politik/Datenschutz-40.html.

[2] Verordnung (EU) 2016/679.

[3] Kühling/Martini, Die DSGVO und das nationale Recht, 2016, http://www.foev-speyer.de/files/de/downloads/Kuehling_Martini_et_al_Die_DSGVO_und_das_nationale_Recht_2016.pdf, S. 14 ff.

[4] https://dsgvo.expert/die-datenschutzgrundverordnung/entstehungsgeschichte/.

[5] https://www.it-recht-kanzlei.de/neue-datenschutzerklaerung-2018-datenschutzgrundverordnung.html?print=1.

[6] https://www.everbill.com/dsgvo-website-plugins/.

[7] https://datenschutz-generator.de.

[8] Zum Download: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/eu-us-privacy-shield_en#documents.

[9] https://www.datenschutz-wiki.de/Aufsichtsbehörden_und_Landesdatenschutzbeauftragte.

[10] https://www.impulse.de/recht-steuern/rechtsratgeber/dsgvo-einwilligungserklaerung/7305229.html.

[11] http://www.handelsblatt.com/politik/deutschland/dsgvo-was-der-neue-eu-datenschutz-bringt/22577286.html?ticket=ST-3240706-vveoUgTWm2GNzRQndBdv-ap3.

[12] https://www.focus.de/regional/stuttgart/datenschutz-neue-datenschutzregeln-teilweise-panik-bei-kleinen-firmen_id_8968976.html.