Javascript ist deaktiviert. Dadurch ist die Funktionalität der Website stark eingeschränkt.

Änderungen durch die EU-Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG)

  • Ab 25.05.2018 gelten neue nationale und europäische Datenschutzvorschriften: Neben der europaweit einheitlichen EU-Datenschutz-Grundverordnung (DSGVO) tritt an diesem Tag auch das neugefasste Bundesdatenschutzgesetz (BDSG) in Kraft.
  • Der Bundesrat hat dem vom Bundestag bereits am 27.04.2017 verabschiedeten neuen BDSG am 12.05.2017 zugestimmt.
  • Für Unternehmen ist die zeitnahe Einrichtung bzw. Anpassung von Prozessen, IT-Systemen und Strukturen der Datenverarbeitung unter Berücksichtigung der geänderten gesetzlichen Vorgaben notwendig, auch um den erheblich verschärften Bußgeld- und Haftungsrisiken zu begegnen.
  • Es ist im Einzelfall zu beurteilen, inwieweit es unternehmerisch sinnvoll ist, die durch das neue BDSG geschaffenen Handlungsspielräume auf nationaler Ebene auszunutzen. Diesbezüglich herrscht noch Rechtsunsicherheit, da sogar Datenschutz-Aufsichtsbehörden das neue BDSG in Teilen für europarechtswidrig halten.

Das neue „Rumpf“-BDSG macht von Abweichungsmöglichkeiten (sog. Öffnungsklauseln) Gebrauch und wird ergänzend zur unmittelbar anwendbaren DSGVO gelten. Damit konkretisiert sich nun das Bild der ab Mai 2018 geltenden Rechtslage sowie der damit einhergehende Handlungsbedarf für Unternehmen.

Im Folgenden haben wir kurz die wichtigsten Neuregelungen der DSGVO und des neuen BDSG zusammengefasst:

I. Hohe Bußgelder und erweiterte Haftung

Die DSGVO sieht bei Datenschutzverstößen Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des globalen (Konzern-)Jahresumsatzes – je nachdem, welcher Betrag höher ist. Nur Verstöße, die allein gegen die (Sonder-) Regelungen des neuen BDSG verstoßen, sind bei 50.000 Euro gedeckelt.

Auch die zivilrechtliche Haftung für Datenschutzverstöße wird durch die DSGVO erweitert. Die Geltendmachung von Schadensersatzansprüchen soll demnach in Zukunft auch wegen Nichtvermögensschäden möglich sein. Dies führt u.a. zu einer erleichterten Durchsetzung der Ansprüche von Verbrauchern und Verbänden, welche sich nicht mehr nur auf den Ersatz von oft schwer darlegbaren materiellen Schäden, sondern nun zum Beispiel auch auf Schmerzensgeld richten können.

Verschärft haben sich ferner die Melde- und Benachrichtigungspflichten von verantwortlichen Unternehmen gegenüber den Datenschutz-Aufsichtsbehörden, insbesondere im Falle von Datenpannen (»data breaches«). 

So müssen Unternehmen nun grundsätzlich jede Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntniserlangung der zuständigen Aufsichtsbehörde melden. Dies erfordert unternehmensintern die Einrichtung bzw. gegebenenfalls Anpassung von Strukturen und Prozessen, um die Erfüllung dieser Anforderungen sicherzustellen.

II. Stellung des Datenschutzbeauftragten

Der deutsche Gesetzgeber entschied sich dafür, auch künftig die Stellung des betrieblichen Datenschutzbeauftragten ähnlich dem bisher geltenden BDSG beizubehalten. Unternehmen haben danach einen Datenschutzbeauftragten zu bestellen, »soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen« (§ 38 BDSG-neu). Die DSGVO legt dem Datenschutzbeauftragten umfassende Überwachungspflichten auf, welche u.a. noch von Aufsichtsbehörden und Gerichten zu klärende haftungsrechtliche Fragen mit sich bringen.

In praktischer Hinsicht wird sowohl der Arbeitsaufwand als auch die Verantwortung des betrieblichen Datenschutzbeauftragten ab sofort deutlich zunehmen. Neben den gesteigerten laufenden Anforderungen an die Überwachung und Dokumentation im Unternehmen kommt auf die Datenschutzbeauftragten ein einmaliger Übergangsaufwand vor und während der Umstellung auf die neuen gesetzlichen Anforderungen zu.

III. Transparenz- und Dokumentationspflichten

Um dem zentralen Transparenzgrundsatz der DSGVO gerecht zu werden, müssen Unternehmen betroffene Person künftig noch umfassender und verständlicher über Art und Umfang der Verarbeitung ihrer Daten informieren. Unterrichtungen 

(zum Beispiel in Datenschutzhinweisen) haben „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu erfolgen (Art. 12 Abs. 1 DSGVO). Darüber hinaus wurden die Auskunftsrechte von betroffenen Personen deutlich gestärkt. Um ihre diesbezüglichen Pflichten überhaupt erfüllen zu können, werden viele Unternehmen ihre bestehenden IT-Strukturen anpassen müssen.

Dazu kommen weitere Nachweispflichten für verantwortliche Unternehmen sowie Auftragsverarbeiter, wofür diese in zukünftigen Streitfällen die Beweislast tragen. Verstöße hiergegen können mit den erhöhten Bußgeldern (vgl. Ziffer I. oben) belegt werden. Vor allem bei größeren Unternehmen sowie im Rahmen größerer Projekte ist die Einführung bzw. gegebenenfalls die Anpassung von Datenschutz-Management-Systemen unumgänglich. Diese sollten über ein bloßes Datensicherheitsmanagement hinausgehen und sich in eine effektive Gesamt- Compliance-Struktur im Unternehmen einfügen.

IV. Einwilligungen und Koppelungsverbot

Neu einzuholende Einwilligungen sollten bereits vor Anwendbarkeit der DSGVO deren Vorgaben genügen. Dabei ist insbesondere bei „Service gegen Daten“-Geschäftsmodellen das sog. Koppelungsverbot der DSGVO zu beachten, welches gegenüber dem bisher geltenden BDSG verschärft wurde. Auch kostenfreie Dienstleistungen dürfen künftig nicht mehr ohne Weiteres von der Abgabe einer Einwilligungserklärung der betroffenen Person abhängig gemacht werden, wenn dies für die Erfüllung des Vertrages bzw. die Erbringung der Dienstleistung nicht erforderlich ist.

Bezüglich Alt-Einwilligungen ist eine Prüfung erforderlich, inwiefern diese auch nach Geltung der DSGVO eine belastbare Rechtsgrundlage darstellen. Dies soll nach Einschätzung der Aufsichtsbehörden dann der Fall sein, sofern sie „der Art nach“ den Bedingungen der DSGVO entsprechen.

V. Auftragsverarbeitung gemäß DSGVO

Die Vorgaben für eine Datenverarbeitung im Auftrag ergeben sich zukünftig direkt aus der DSGVO (insbesondere Art. 28 DSGVO).

Verstößt ein Auftragsverarbeiter gegen die Pflicht zur weisungsgebundenen Verarbeitung, indem er die Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter verarbeitet, gilt er insoweit selbst als Verantwortlicher im Sinne der DSGVO. Zusätzlich zu den auch Auftragsverarbeiter betreffenden Bußgeldsanktionen kommen durch die DSGVO zudem spezielle Haftungsregelungen für Auftragsverarbeiter hinzu. So drohen Auftragsverarbeitern bei Verstößen zivilrechtliche Schadensersatzforderungen von Betroffenen.

Ferner besteht für Auftragsverarbeiter die neue Pflicht, ein Verzeichnis von den im Auftrag eines Verantwortlichen durchgeführten Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO zu führen. Dieses muss der Aufsichtsbehörde z.B. bei Kontrollen zur Verfügung gestellt werden.

Bei fortbestehenden Auftragsverhältnissen sollte die Notwendigkeit von Anpassungsvereinbarungen geprüft werden. Für die Übergangszeit bis zur Geltung der DSGVO kann der Abschluss von „Hybrid“-Verträgen sinnvoll sein, die sowohl den Vorgaben des noch geltenden BDSG als auch der DSGVO genügen.

VI. Arbeitnehmerdatenschutz

Wichtiger Bestandteil des neuen BDSG sind die Regelungen zum Beschäftigtendatenschutz, welche der deutsche Gesetzgeber zu großen Teilen aus dem bisherigen BDSG übernommen hat.

Kollektivvereinbarungen bleiben ein zulässiges Mittel zur Regelung erlaubter Datenverarbeitung. Sie müssen aber die Anforderungen von Art. 88 Abs. 2 DSGVO und § 26 BDSG-neu erfüllen. Hierfür müssen ggf. bestehende Betriebsvereinbarungen, sei es einzeln oder durch den Abschluss entsprechender Rahmenbetriebsvereinbarungen, angepasst werden.

VII. Ausblick

Es bleibt abzuwarten, wie Gerichte und die zuständigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder die DSGVO sowie die Neufassung des BDSG in der Praxis auslegen werden. Die Positionierung der Aufsichtsbehörden ist in vollem Gange und bereits bei der Beurteilung datenschutzrechtlicher Fragen im nun folgenden Übergangsjahr zu berücksichtigen. Dabei besteht noch eine gewisse Rechtsunsicherheit. So wird das neue BDSG sogar von Aufsichtsbehörden in Teilen als unionsrechtswidrig angesehen, da es die Vorschriften der DSGVO in unzulässigem Maße abschwäche. Diesbezüglich wird der Anwendung des neuen BDSG durch deutsche Gerichte bzw. einer möglichen Entscheidung des Europäischen Gerichtshofes mit Spannung entgegengesehen.

Bei sämtlichen Fragen zum Thema Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung.

Dr. Uwe K. Schneider 

Dr. Oliver Meyer-van Raay

Dr. Ralf Klühe  

Prof. Dr. Marc Strittmatter


Ihre Datenschutz-Compliance auf dem Prüfstand

persönliche Daten
Auswahl
Rückmeldung
Bitte setzen Sie sich telefonisch mit uns in Verbindung, um über das Thema Datenschutz mit uns zu sprechen:
Buttons