6 Monate bis zur EU-Datenschutz-Grundverordnung – Die wichtigsten Regelungen im Überblick

Wenn in sechs Monaten, ab dem 25. Mai 2018, die Datenschutz-Grundverordnung (DS-GVO) zur Anwendung kommt, wird das Datenschutzrecht in der EU entscheidend verändert. Die Änderungen dieser rechtlichen Rahmenbedingungen betreffen zahlreiche Unternehmen, insbesondere auch solche, die in der digitalen Welt unterwegs sind und die im Rahmen ihrer Geschäftsmodelle personenbezogene Daten erheben, verarbeiten und nutzen.

Als Europäische Verordnung erlassen, gilt die DS-GVO als einheitlicher, europäischer Rechtsrahmen für alle EU-Mitgliedstaaten unmittelbar. In ihrem Anwendungsbereich löst sie die Geltung nationaler Vorschriften ab. Trotzdem verbleiben Gestaltungsspielräume für die nationalen Gesetzgeber. Durch sog. Öffnungsklauseln werden diese an zahlreichen Stellen innerhalb der DS-GVO ermächtigt, spezifischere Regelungen zu ergänzen und die europäischen Vorschriften zu konkretisieren. Mit einer Gesetzesnovelle wurde daraufhin beispielsweise in Deutschland bereits im April 2017 das Bundesdatenschutzgesetz (BDSG) neu gefasst.

Die wichtigsten Regelungen im Überblick:

Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DS-GVO)

Auch wenn sich durch die DS-GVO zahlreiche Neuerungen ergeben, bleiben bisher bestehende Grundsätze erhalten. So sind personenbezogene Daten sind nach wie vor auf rechtmäßige Weise zu verarbeiten (Art. 5 Abs. 1 lit. a i.V.m. Art. 6 DS-GVO).

Zudem dürfen gemäß Art. 5 Abs. 1 lit. b DS-GVO personenbezogene Daten nur für zuvor eindeutig festgelegte und vor allem auch zulässige Zwecke erhoben werden (Prinzip der Zweckbindung). In der Verordnung ebenfalls kodifiziert sind die Grundsätze der Datenminimierung und der Datenrichtigkeit (Art. 5 Abs. 1 lit. c und lit. d DS-GVO).

Regelungen für die Einwilligung (Art. 7 ff. DS-GVO)

Für die Wirtschaft wesentlich sind auch die Vorschriften zur Einwilligung in die Datenverarbeitung. Deren Einholung wird zunächst formell leichter – die bislang gemäß § 4a Abs. 1 S. 3 BDSG a.F. (alte Fassung) geforderte Schriftform entfällt. Allerdings trifft das Unternehmen nach wie vor die Nachweispflicht der Einwilligungen (Art. 7 Abs. 1 DS-GVO).

Wie eine Einwilligung eingeholt werden sollte, konkretisiert Erwägungsgrund Nr. 32 der DS-GVO: „Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig für den konkreten Fall, in informierter Weise und unmissverständlich“ das Einverständnis zur Datenverarbeitung erklärt wird. Zusätzlich ist im Rahmen der Einwilligungserklärung auf die Möglichkeit des Widerrufs hinzuweisen (Art. 7 Abs. 3 S. 3 DS-GVO). Unternehmen haben diese Voraussetzungen, wie auch neue Informationspflichten (Art. 13 ff. DS-GVO; z.B. die Nennung der Rechtsgrundlage der Datenverarbeitung), bei der Einholung von Einwilligungserklärungen zur Datenverarbeitung zwingend zu beachten.

Zu den Voraussetzungen an eine informierte Einwilligung siehe auch die Zusammenfassung unter: https://www.wettbewerbszentrale.de/de/branchen/DatenschutzOnlineMarketing/ueberblick/#Einwilligung.

Fortgeltung der alten Einwilligungserklärungen?

Nach Erwägungsgrund Nr. 171 der DS-GVO ist es grundsätzlich nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung zur Datenverarbeitung erteilen muss. Aber Achtung: Dies gilt nur, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung (z.B. mit Hinweis auf das Widerrufsrecht, wie oben dargestellt und s. Erwägungsgrund Nr. 32) entspricht. Unternehmen sollten daher prüfen, ob und inwieweit die von ihnen genutzten Einwilligungserklärungen auch in der Anwendung der DS-GVO rechtmäßige Basis einer Datenverarbeitung bleiben können.

Interessenabwägung (Art. 6 DS-GVO)

Die DS-GVO schützt nicht nur die Grundrechte natürlicher Personen und insbesondere deren Recht auf Schutz ihrer personenbezogenen Daten. Auch wirtschaftliche Interessen – nämlich der freie Verkehr der personenbezogenen Daten – sollen gewahrt werden (Art. 1 Abs. 3 DS-GVO). Dieser Grundgedanke findet sich in der zentralen Vorschrift Art. 6 DS-GVO wieder, die es ermöglicht, dass im Rahmen einer Interessenabwägung eine rechtmäßige Verarbeitung von personenbezogenen Daten auch ohne Einwilligung begründet werden kann.

Anwendung der DS-GVO auf Unternehmen außerhalb der EU

Durch die DS-GVO gilt im Bereich des Datenschutzes zukünftig das Marktortprinzip. Denn der Anwendungsbereich der DS-GVO richtet sich nicht nach dem Sitz eines Unternehmens, sondern knüpft u.a. an die Frage an, ob es ein datenschutzrechtlich Verantwortlicher (z.B. ein Online-Shop-Betreiber) beabsichtigt, Personen innerhalb der EU Waren oder Dienstleistungen anzubieten. Das bedeutet in der Folge, dass sich neben Unternehmen, die in der EU niedergelassen sind, unter bestimmten Bedingungen auch Unternehmen, die nicht in der EU niedergelassen sind, an die Vorschriften der DS-GVO zu halten haben (Art. 3 Abs. 2 DS-GVO).

Hohe Bußgelder (Art. 83 DS-GVO)

Drastische Veränderungen bringt die DS-GVO im Bereich der Sanktionen mit. Waren im BDSG a.F. (alte Fassung) Geldbußen auf maximal 300 000 Euro begrenzt, können Bußgelder ab Mai 2018 bis zu 20 Millionen Euro oder bis zu 4 Prozent des Weltumsatzes eines Unternehmen betragen.

Rechtsbehelfe

Neben einem allgemeinen Beschwerderecht (Art. 77 ff. DS-GVO) hat der Europäische Gesetzgeber in Art. 80 Abs. 1 DS-GVO betroffenen Personen die Möglichkeit gegeben, ihre Rechte mithilfe von Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht geltend zu machen. Je nach Regelung durch die Mitgliedstaaten kann diesen Dritten unabhängig von einer Beauftragung auch ein eigenes Beschwerde-/Klagerecht zustehen. In Deutschland findet sich dieses Verbandsklagerecht im Unterlassungsklagengesetz (UKlaG).

Weitere wichtige Regelungen im Überblick

• Veränderte Rechte und Haftungsänderung im Rahmen der Auftrags(daten)verarbeitung (Art. 24 ff. DS-GVO);
• Erhöhte und umfassendere Informations- und Transparenzpflichten aus Art. 12 ff. DS-GVO;
• Ernennung eines Datenschutzbeauftragten (Art. 37 ff. DS-GVO; nationale, strengere Regelung im § 38 BDSG n.F.);
• Notwendigkeit einer Datenschutz-Folgeabschätzung, wenn eine Datenverarbeitung mit einem hohen Risiko für die Rechte und Freiheiten von Personen verbunden ist (Art. 35 DS-GVO);
• Datenübermittlung an Drittländer (Art. 44 ff. DS-GVO).

Die Datenschutz-Grundverordnung lässt nicht alleine aufgrund ihrer zahlreichen Öffnungsklauseln noch viele Fragen für die Unternehmen offen. Es bleibt abzuwarten, wie die Vorschriften in der Praxis angewandt und umgesetzt werden. Auslegungsfragen haben letztlich die Gerichte zu klären.

Ausblick: E-Privacy-Verordnung

Um die allgemeinen Regelungen der DS-GVO für den speziellen Bereich der elektronischen Kommunikation zu ergänzen, plant der Europäische Gesetzgeber bereits eine weitere Verordnung. Die sog. E-Privacy-Verordnung würde in ihrer Entwurfsfassung sowohl datenschutzrechtliche als auch werberechtliche Auswirkungen haben. Im Gegensatz zu der DS-GVO wäre im Anwendungsbereich der E-Privacy-Verordnung keine rechtmäßige Datenverarbeitung nach Interessenabwägung möglich. Die E-Privacy-Verordnung fordert vielmehr eine ausdrückliche Einwilligung der Nutzer oder eine gesetzliche Erlaubnis. Insbesondere diese Regelung hat in der Wirtschaft für heftige Kritik und Diskussion geführt. Wann und mit welchem Regelungsgehalt die Verordnung erlassen wird ist bislang unklar. Als nächster Schritt stehen zunächst Trilogverhandlungen zwischen EU-Parlament, Kommission und Rat an.

Weiterführende Informationen

Beitrag Die EU Datenschutzgrundverordnung – Wichtige Regelungen im Überblick >>

News der Wettbewerbszentrale vom 21.08.2017 // Datenschutzkonferenz stellt Kurzpapiere zur Datenschutz-GrundVO zur Verfügung >>

News der Wettbewerbszentrale vom 03.02.2017 // Bundeskabinett beschließt neues Datenschutzrecht >>

>“target=“_blank“> Entwurf E-Privacy-Verordnung (aus dem Internetangebot der Europäischen Union)

Ansprechpartnerin:
Christina Kiel, LL. M. Eur.
E-Mail: kiel@wettbewerbszentrale.de