Neues Datenschutzrecht im Mai 2018

04.09.2017

[Köln, ] Bei der jüngsten Berichterstattung über Cyber-Attacken ist etwas in den Hintergrund getreten, dass am 25. Mai des kommenden Jahres ein Paradigmenwechsel im Datenschutz stattfinden wird. Von diesem Tag an werden die wesentlichen Grundsätze des Datenschutzes nicht mehr durch nationale Gesetze in den einzelnen Mitgliedstaaten der Europäischen Union vorgegeben; vielmehr gilt ab diesem Tag in allen Mitgliedsstaaten der EU unmittelbar die sog. Datenschutz-Grundverordnung (DSG-VO) ohne jede weitere Übergangsfrist. Sofern die DSGVO noch Spielräume für den nationalen Gesetzgeber ließ, hat der deutsche Gesetzgeber diese mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU ausgefüllt, das am 5. Juli 2017 im Bundesgesetzblatt abgedruckt wurde. Damit ist der Rahmen für den ab dem kommenden Jahr geltenden Datenschutz vorgegeben. Natürlich werden in den Einzelheiten noch Zweifelsfragen offen sein, die erst durch die spätere Praxis der Datenschutzbehörden geklärt werden; jedoch gibt es keinen Grund, die Vorbereitung für das neue Datenschutzrecht nicht jetzt voranzutreiben oder zu beginnen.

Neue Dokumentationspflichten und Umkehr der Beweislast

Einer der wesentlichen Kernpunkte des ab Mai 2018 geltenden Datenschutzrechts ist die deutlich erhöhte Dokumentationsverpflichtung für Unternehmen. Schon bisher waren Unternehmen dazu verpflichtet, interne Richtlinien, beispielsweise für ihre Mitarbeiter, zu erlassen oder bei besonders sensiblen Datenverarbeitungen eine Vorabkontrolle durchzuführen und zu dokumentieren. Art. 5 der DSGVO regelt aber nunmehr neben den Grundprinzipien für die rechtmäßige Verarbeitung personenbezogener Daten auch, dass die Unternehmen die Einhaltung der Anforderungen an eine rechtmäßige Datenverarbeitung nachweisen müssen (sog. „Rechenschaftspflicht“). Im Extremfall kann dies bedeuten, dass einem Unternehmen schon dann Sanktionen drohen, wenn es zwar die gesetzlichen Vorgaben des Datenschutzes einhält, dies aber nicht zur Zufriedenheit der Datenschutzbehörden nachweisen kann. Gegenüber den derzeit geltenden Regelungen handelt es sich um eine fundamentale Umkehr der Beweislast.

Diese Umkehr der Beweislast ist für Unternehmen deshalb besonders belastend, weil auch die Anforderungen an die Dokumentation selbst gestiegen sind. Die Informationen, welche ein Unternehmen jetzt gemäß Art. 30 DSGVO für ein grundlegendes Verarbeitungsverzeichnis zusammenstellen muss, gehen weit über das hinaus, was derzeit ein (öffentliches) Verarbeitungsverzeichnis enthalten soll. Ein solches Verarbeitungsverzeichnis muss zwar nicht jedes Unternehmen erstellen, maßgeblich sind Größe, Sensibilität und Umfang der Datenverarbeitungsvorgänge. Im Rahmen der oben genannten Rechenschaftspflicht bzw. ohnehin im Zuge der Analyse des Umstellungsbedarfs wird es aber auch für die nicht verpflichteten Unternehmen hilfreich sein, ein entsprechendes Verzeichnis zu erstellen und zu führen. Hinzu kommt, dass mit der Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und der Ausrichtung sämtlicher Prozesse und der eingesetzten Technik an einer möglichst zurückhaltenden Verwendung personenbezogener Daten gemäß Art. 25 DSGVO das neue Recht nicht nur ein deutliches Mehr an Dokumentationsaufgaben, sondern auch die (jedenfalls teilweise) Neu-Gestaltung von Prozessen verlangt. Die Datenschutzbehörden haben hier den Rechtsanwender bisher eher im Stich gelassen; die seit Längerem angekündigte Handreichung für die Erstellung eines Verarbeitungsverzeichnisses nach neuem Recht fehlt beispielsweise immer noch.

Deutlich erweiterter Anwendungsbereich des Europäischen Datenschutzrechts

Dennoch müssen sich alle Unternehmen den neuen Herausforderungen stellen, sogar einige Unternehmen, die sich bislang um die bestehenden datenschutzrechtlichen Vorgaben weniger Gedanken machen mussten: der Anwendungsbereich der DSGVO hat sich deutlich vergrößert. So gilt die Verordnung auch für Unternehmen oder Auftragsverarbeiter, die eine Niederlassung in der EU unterhalten und im Rahmen dessen personenbezogene Daten verarbeiten. Auf den Ort der Verarbeitung (etwa: Standort des Servers) kommt es nicht an. Auch Unternehmen, die nicht in der EU ansässig sind, müssen unter bestimmten Voraussetzungen die Vorgaben der DSGVO beachten (Art. 3. Abs. 2 DSGVO).

Extreme Bußgelder

Die Einhaltung der Vorgaben hat für Unternehmen und die Geschäftsleitung eine – im Vergleich zur bestehenden Rechtslage – deutlich erhöhte Brisanz, weil der den Datenschutzbehörden zur Verfügung stehende Bußgeldrahmen deutlich erhöht worden ist. Art. 83 DSGVO gibt den Datenschutzbehörden die Möglichkeit, in Zukunft Bußgelder bis zu EUR 20 Mio. oder bis zu 4 % eines weltweit erzielten Jahresumsatzes zu verhängen. Das deutsche BDSG (neu) sieht zudem Freiheitsstrafen in bestimmten Fällen für natürliche Personen vor. Jede Geschäftsleitung wird deshalb die neuen Anforderungen ernst nehmen müssen.

Was ist zu tun?

Um den neuen Anforderungen gerecht zu werden, hat sich folgender Ablauf bewährt:

Zunächst werden die Prozesse, in deren Rahmen personenbezogene Daten verarbeitet werden, erfasst und aufgelistet. Dann erfolgt eine Bewertung und, wo wegen der Sensitivität nötig, eine Datenschutz-Folgenabschätzung. Auf der Basis dieser grundlegenden Vorbereitungen werden dann, soweit erforderlich, Prozesse datenschutzfreundlich „eingestellt“ und gesetzeskonform gestaltet. Hierzu gehört auch die notwendige Überarbeitung von bestehenden Verträgen, etwa Verträgen für die Datenverarbeitung im Auftrag (in Zukunft „Auftragsverarbeitung“) und sämtlicher anderer datenschutzrechtlich relevanten Formulare (beispielsweise Einwilligungserklärungen). Hier wird sich für alle Unternehmen ein Anpassungsbedarf ergeben, auch für diejenigen, die bislang schon im Einklang mit datenschutzrechtlichen Vorgaben gearbeitet haben. In diesem Zusammenhang werden dann auch die Mitarbeiter, sei es durch Informationsveranstaltungen, sei es durch Rundschreiben/Richtlinien, mit den neuen Anforderungen vertraut gemacht. Schließlich werden diese Arbeiten so dokumentiert, dass – über das Verarbeitungsverzeichnis hinaus – die Einhaltung der datenschutzrechtlichen Anforderungen demonstriert werden kann.

Sofern Sie bereits mit diesen Vorbereitungen auf die neuen Datenschutzregeln begonnen, diese aber noch nicht abgeschlossen haben, oder noch ganz am Anfang stehen, sind wir Ihnen natürlich gerne bei der Umsetzung behilflich. Wir unterstützen Sie gerne

bei der datenschutzrechtlichen Prozessanalyse, der Analyse Ihres konkreten Umstellungsbedarfs und der erforderlichen Datenschutzfolgenabschätzung; der datenschutzkonformen Gestaltung von Prozessen; dem Aufbau einer datenschutzkonformen Unternehmensorganisation und einem Compliance-Programm; der Schulung Ihrer Mitarbeiter sowie bei datenschutzrechtlichen Einzelfragen, z.B. der Neugestaltung von Einwilligungserklärungen, Auftragsverarbeitungsvereinbarungen oder unternehmensinternen Richtlinien der Erstellung des Verfahrensverzeichnisses und aller Dokumentationen zur Erfüllung Ihrer Rechenschaftspflicht der Sicherstellung der Betroffenenrechte

Wir helfen Ihnen

Bitte sprechen Sie uns an.

Unser Team für IT-Recht besteht aus mehr als 20 Rechtsanwälten, die spezialisiert in komplexen Technologieprojekten an unseren Standorten beraten.

GÖRG-Newsletter

Wir informieren Sie über aktuelle rechtliche Entwicklungen aus den für Sie relevanten Bereichen.

Bestellen Sie jetzt unseren Newsletter.

Wir verwenden Cookies, um die Nutzung unserer Website statistisch auszuwerten.

OK Tracking ablehnen Datenschutzerklärung