EU-Datenschutzgrundverordnung: Neue Risiken und Pflichten
„Nicht mein Thema“, denken viele Unternehmen, wenn es um datenschutzrechtliche Anforderungen geht. Wer nur seine Kunden- und Lieferantendaten in mehr oder weniger komplexen elektronischen „Adressbüchern“ hinterlegt hat, fühlt sich zumeist von den immer neuen Vorgaben des Datenschutzrechts nicht angesprochen. Von vielen daher weitgehend unbemerkt ist bereits am 24.05.2016 die neue Datenschutzgrundverordnung der Europäischen Union (Verordnung 2016/679/EU) („EU-DSGVO“) mit erheblichen Verschärfungen in Kraft getreten. Spätestens ab dem 25.05.2018 muss sich zukünftig jeder, der – wenn auch nur in geringem Umfang und ausschließlich im Rahmen seiner Geschäftstätigkeit – personenbezogene Daten Dritter erhebt, verarbeitet (z.B. speichert) und nutzt, auf verschärfte Kontrollen durch die Vollzugsbehörden einstellen. Die EU-Datenschutzgrundverordnung hat die Datenschutzbehörden bereits jetzt dazu veranlasst, ihre personellen Ressourcen aufzustocken. Es zeichnet sich daher eine wesentlich umfassendere und engmaschigere Überwachung ab als zuvor.
Hier einige wesentliche Neuerungen, die mit der Geltung der EU-Datenschutzgrundverordnung einhergehen:
- Neue Pflichten des Verantwortlichen: Sehr allgemein fordert die EU-DSGVO (Art. 25) ein, dass schon die technische Gestaltung („privacy by design“), worunter etwa bestimmte Verschlüsselungs- oder Pseudonymisierungstechniken in der automatisierten Datenverarbeitung zu verstehen sind, und die datenschutzrechtlichen Voreinstellungen („privacy by default“), wie z. B. die leichte Erkennbarkeit des Umfangs bestimmter Einwilligungserklärungen und die Beschränkung der Datenverarbeitung auf das erforderliche Maß (Datenminimierung), datenschutzfreundlich ausgestaltet werden sollen. Hierzu müssen Unternehmen als Verantwortliche geeignete technische und organisatorische Maßnahmen (sog. „TOMs“) treffen. Unternehmen sollten in jedem Falle dokumentieren, welche Maßnahmen sie hier ergriffen haben, um im Falle entsprechender Kontrollen den nötigen Nachweis erbringen zu können.
- Zahlreiche neue Betroffenenrechte: Die Rechtsposition der von der jeweiligen Datenverarbeitung betroffenen Person wird deutlich ausgeweitet. Es werden insbesondere auch neue Rechte wie das sog. Recht auf Datenportabilität geschaffen. So müssen die technischen Voraussetzungen sowohl für eine Bereitstellung der Daten an die betreffende Person als auch für die Direktübertragung an Dritte geschaffen werden. Diese Anforderungen sind teilweise mit großen technischen und organisatorischen Umstellungen verbunden, so dass Unternehmen jedenfalls analysieren sollten, ob und inwieweit hiermit entsprechende Maßnahmen im eigenen Hause verbunden sind.
- Stärkung bestehender Betroffenenrechte: Gestärkt wurde u. a. das Recht auf Löschung von Daten („Recht auf Vergessenwerden“). Unternehmen müssen künftig verstärkt damit rechnen, dass von der Datenverarbeitung Betroffene ihre Rechtspositionen geltend machen und nötigenfalls auch gerichtlich durchsetzen werden. Ein vorausschauendes Datenschutzmanagementsystem kann hier helfen, die Berechtigung erhobener Ansprüche auf Anforderung zu prüfen und Verstöße gegen das Datenschutzrecht zu vermeiden.
- Spotlight „Auftrags(daten)verarbeitung“: Auch bei der Auftragsdatenverarbeitung kommt es zu Verschärfungen (relevant etwa beim Einsatz von Nutzeranalyse-Software, wie „Google Analytics“, oder auch bei einem externen Sekretariat). Hier ist insbesondere darauf zu achten, dass schriftliche Vereinbarungen zur Auftragsdatenverarbeitung geschlossen werden, die den geltenden rechtlichen Anforderungen genügen.
- Höherer Rahmen für Geldbußen: Bei Verstößen gegen bestimmte Vorschriften der EU-DSGVO drohen Geldbußen bis zu einer Höhe von 20 Millionen Euro oder im Falle eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten (Konzern-)Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
- Zusätzlicher zivilrechtlicher Haftungsrahmen: Ergänzend zu dem erheblich verschärften Rahmen für Geldbußen sind die Möglichkeiten einer zivilrechtlichen Inanspruchnahme des Verantwortlichen und des Auftragsverarbeiters auch wegen immaterieller Schäden deutlich ausgeweitet worden. Auch vor diesem Hintergrund hat die Einhaltung der neuen datenschutzrechtlichen Anforderungen eine konkrete wirtschaftliche Dimension für das betroffene Unternehmen.
Angesichts der sich abzeichnenden „Aufrüstung“ der Datenschutzbehörden sowie der erheblichen finanziellen Risiken, die mit einem Verstoß gegen Regelungen des Datenschutzrechts einhergehen können, sind Vorsorgemaßnahmen nach unserer Einschätzung nunmehr unumgänglich. Dies gilt für Kleinunternehmen und den Mittelstand ebenso wie für große Konzerne. Da die Zeit bereits knapp wird, wird in Branchenkreisen teilweise der Ansatz vertreten, dass bis Mai 2018 lediglich noch eine Risikominimierung erreicht werden könne.
Ihr Team von
PAULY•Rechtsanwälte
Cäcilienstraße 30
50667 Köln
Tel.: 0221 / 250 890 – 0
Fax: 0221 / 250 890 – 69
www.pauly-rechtsanwaelte-koeln.de
Köln, 27.09.2017