Ab dem 25.5.2018 überstimmt das neue europäische Datenschutzrecht das deutsche Recht. Ziel ist eine bessere Harmonisierung im Datenschutzrecht auf EU-Ebene. Teil 1 des Artikels wirft einen Blick auf die Entwicklung des europäischen Datenschutzrechtes und arbeitet erste Details zu den maßgeblichen Änderungen heraus. Teil 2 komplettiert die Darstellung der Änderungen des europäischen Datenschutzrechtes und schließt mit hilfreichen Praxishinweisen.
Welche Änderungen wird es geben?
Anknüpfend an die Ausführungen an Teil 1 erfolgen wesentliche Änderungen in den folgenden Bereichen:
· Einwilligung
Während § 4 a Abs. 1 Satz 3 BDSG vom Grundsatz der Schriftform für die Einwilligung zur Verarbeitung personenbezogener Daten ausgeht, ist nun nach DSGVO auch eine elektronische oder mündliche Einwilligung vorgesehen. Die Einwilligungen gem. Artikel 32 DSGVO erfolgen mittels eindeutig bestätigender Handlung. Die Einwilligungshandlungen sind dabei freiwillig, für den konkreten Fall, in informierter Weise sowie unmissverständlich zu geben. Bereits angekreuzte Kästchen oder Untätigkeit des Betroffenen reichen nicht aus. Ähnlich wie es die Rechtsprechung des BGH im Bereich der AGB fordert, müssen Einwilligungen verständlich, in leicht zugänglicher Form, in einer klaren und einfachen Sprache präsentiert werden, siehe Artikel 7 Abs. 2 Satz 1 DVGVO.
· Marktortprinzip
Mit dem Marktortprinzip erweitert die DSGVO ihren Anwendungsbereich auch über die Grenzen der EU hinaus, sofern datenverarbeitende Stellen entgeltliche oder unentgeltliche Waren oder Dienstleistungen in der EU anbieten und in diesem Rahmen personenbezogene Daten verarbeiten. Damit könnte die DSGVO zu einem globalen Standard für die Datenverarbeitung im Internet werden.
· One Stop Shop
Grenzüberschreitende Datenverarbeiter müssen sich nicht mehr mit allen betroffenen Aufsichtsbehörden arrangieren. Zukünftig wird die Aufsichtsbehörde am Hauptsitz federführend und einziger Ansprechpartner sein. Leider gibt es hier Ausnahmen, z.B. bei rein lokaler Datenverarbeitung einer Niederlassung oder der Videoüberwachung einer örtlichen Filiale.
· Datenschutz durch Pseudonymisierung
Außerhalb von Deutschland scheint Pseudonymisierung als Datenschutzmechanismus im Sinne eines Schutzkonzeptes weit weniger bekannt zu sein. Die Verhandlungen zur DSGVO ergaben im Ergebnis keinen hohen Standard. Es genügt fortan, wenn durch organisatorische Maßnahmen beim Verantwortlichen der Zugriff auf den Zuordnungsschlüssel ausgeschlossen ist.
· Datenschutz durch Technik
Erstmals werden auf europäischer Ebene Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen durch Verantwortliche vorgeschrieben. Ziel ist unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.
· Sanktionsrahmen
Gegenüber dem BDSG und der DSRL sieht Artikel 83 Abs. 4 DSGVO eine massive Verschärfung des Sanktionsrahmens vor. Wer beispielsweise gegen die Regelung zur Bestellung eines Datenschutzbeauftragten verstößt, wird mit Strafen von bis zu 10 Mio. € oder bis zu 2% des weltweiten Vorjahresumsatzes bedroht, je nachdem, welcher Betrag der höhere sein sollte.
Die hier ausgeführten Neuerungen sind nicht abschließend, sondern eine Auswahl. Ferner sind die Regelungen verkürzt dargestellt, um einen Überblick zu geben!
Praxishinweise:
Ab 25.5.2018 ist die DSGVO unmittelbar gültig. Die meisten Regeln sind bereits heute bekannt. Einige Regelungen werden aber noch bis zu diesem Termin vom deutschen Gesetzgeber erarbeitet.
Bei langfristigen Projekten wird dringend empfohlen, bereits jetzt das neue Datenschutzrecht einzuplanen. Datenschutzbeauftragte haben in den kommenden zwei Jahren viel zu tun. Die hohe Komplexität der Datenschutzmaterie bleibt erhalten, unzählige Regelungen, Ausnahmen und Sonderregelungen werden tendenziell nicht leichter verständlich oder vereinheitlicht. Bereits erteilte Einwilligungen haben nur dann weiterhin Gültigkeit, wenn die Einwilligungen den Bedingungen der neuen Verordnung entsprechen. Damit werden viele der heute erteilten Einwilligungen bis zum 25.5.2018 erneut eingeholt werden müssen. Empfohlen wird, die Einwilligungen bereits jetzt auf den höheren Stand der DSGVO anzuheben.
Wichtig für Behörden: Die Neuregelung schließt Außen- und Sicherheitspolitik ausdrücklich aus. Ebenso ausgeschlossen ist die Datenverarbeitung durch die EU und ihrer Organe. Für die Datenverarbeitung von Behörden zum Zweck der Strafverfolgung- und Vollstreckung inkl. Gefahrenabwehr ist die RL 2016/680/EU zusammen mit der DSGVO verabschiedet worden.
Quellen:
-VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz Grundverordnung). Verfügbar unter: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE (26.07.2016)
-Schantz, Peter. Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht. In: Neue Juristische Wochenschrift, 26/2016, Seite 1841-1847. München. Verlag C.H.Beck.
-Kühling, Jürgen; Martini, Mario. Die Datenschutz Grundverordnung. Revolution oder Evolution im europäischen und deutschen Datenschutz. In EuZW, Heft 12/2016, Seite 448-454. München. Verlag C.H.Beck.
