Datenschutz-Grundverordnung – was Unternehmen dazu wissen müssen

Am 25. Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) wirksam. Damit gilt künftig in der gesamten Europäischen Union ein einheitliches Datenschutzrecht. Auf Unternehmen kommen damit verschiedene Neuerungen zu, die sie umsetzen müssen.

Rund vier Jahre lang war zäh verhandelt worden, bevor das Europäische Parlament und der Europäische Rat im Frühjahr 2016 die Datenschutz-Grundverordnung verabschiedeten. Am 25. Mai 2018 endet die Übergangsfrist, dann sind die neuen Vorgaben in jedem EU-Mitgliedstaat verbindlich anzuwenden. Alle bisherigen Gesetze, die den Regelungsbereich der DSGVO betreffen, verlieren damit ihre Geltung.

Als EU-Verordnung gilt die DSGVO unmittelbar. Einer Umsetzung in nationales Recht bedarf es nicht. Das Regelwerk enthält jedoch sogenannte Öffnungsklauseln, die den nationalen Gesetzgebern Regelungsspielräume bieten. Der deutsche Bundesgesetzgeber hat diese Möglichkeit genutzt und ein neues Bundesdatenschutzgesetz (BDSG) verabschiedet, dessen Regelungen überwiegend am 25. Mai 2018 in Kraft treten werden. Darüber hinaus sind bis zum Mai alle sonstigen datenschutzrechtlichen Vorschriften in Deutschland, wie die Landesdatenschutzgesetze, den Vorgaben der DSGVO anzupassen.

Wen betrifft die Datenschutz-Grundverordnung?

Das neue Datenschutzrecht gilt für sämtliche Unternehmen in der Europäischen Union. Auch Unternehmen, die ihren Sitz außerhalb der EU haben und am europäischen Markt tätig sind, müssen die DSGVO beachten (Marktortprinzip). Alle Unternehmen, die Daten von EU-Bürgern verarbeiten, um ihnen Waren oder Dienstleistungen anzubieten, und Unternehmen, die das Verhalten von Personen in der EU beobachten, unterliegen somit künftig europäischem Datenschutzrecht. Prominente Beispiele hierfür sind Facebook und Google. Mit einigen Ausnahmen gilt die DSGVO zudem für alle Behörden der EU-Mitgliedstaaten.

Was ändert sich für Unternehmen durch die Datenschutz-Grundverordnung?

Neu sind umfangreiche Informations- und Transparenzpflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten. Unternehmen müssen die Betroffenen einer Datenverarbeitung, etwa bei Gewinnspielen oder Newsletter-Abonnements, künftig über die Rechtsgrundlage der Datenverarbeitung, über Speicherfristen und über Beschwerderechte bei Aufsichtsbehörden aktiv benachrichtigen. Findet ein Profiling statt (Erstellung eines Persönlichkeits-, Verhaltens- oder Bewegungsprofils durch Sammlung von Daten), kann es sogar vorgeschrieben sein, den Betroffenen die verwendeten Algorithmen zu erläutern.

Über den Datenschutz hinaus führt die DSGVO das Recht auf Datenübertragbarkeit (Datenportabilität) ein. Damit hat der EU-Gesetzgeber ein Instrument geschaffen, das Nutzern den Wechsel zwischen Diensten verschiedener Anbieter erleichtern soll. Unternehmen müssen ihren Nutzern künftig diejenigen personenbezogenen Daten, welche die Nutzer selbst bereitgestellt haben, in einem “strukturierten, gängigen und maschinenlesbaren Format” zur Verfügung stellen. Dies erfordert unter Umständen die Einführung neuer Datenformate. Unternehmen sollten daher möglichst bald prüfen, inwieweit sie mit ihren Diensten unter das Recht auf Datenübertragbarkeit im Sinne der DSGVO fallen und welche Anpassungen gegebenenfalls notwendig sind. Zu beachten ist in diesem Zusammenhang aber, dass die Rechtslage hier nicht abschließend geklärt ist.

Welche Vorgaben des bisherigen Datenschutzrechts übernimmt die Datenschutz-Grundverordnung?

Die DSGVO erfindet den Datenschutz nicht neu. Wichtige Prinzipien des bisher in Deutschland geltenden Datenschutzrechts bleiben bestehen, wie zum Beispiel der Grundsatz, dass für jegliche Datenverarbeitung eine gesetzliche Rechtsgrundlage oder eine Einwilligung des Betroffenen vorliegen muss. Auch die Anforderungen an die IT-Sicherheit sind alte Bekannte. Wie bisher sind Unternehmen zudem auch künftig dazu verpflichtet, die eigenen Datenschutzmaßnahmen zu dokumentieren und gegenüber den Aufsichtsbehörden auf Anforderung nachzuweisen.

Welche Sanktionen sieht die Datenschutz-Grundverordnung bei Verstößen vor?

Unternehmen, die gegen die Datenschutz-Grundverordnung verstoßen, müssen ab Mai 2018 mit hohen Bußgeldern rechnen. Die erweiterten Sanktionsmöglichkeiten betreffen alle wesentlichen Bestimmungen der DSGVO. Die Datenschutzaufsichtsbehörden können in bestimmten Fällen Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweiten Jahresumsatzes verhängen – je nachdem welcher der Beträge höher ist. Auch wenn Unternehmen Anordnungen der Aufsichtsbehörden missachten, können bis zu 4 Prozent des Jahresumsatzes als Bußgeld fällig werden.

Es bleibt zwar noch abzuwarten, welche Sanktionen die Behörden in der Praxis verhängen werden. Wichtige Kriterien für die Bemessung von Bußgeldern sind aber bereits bekannt. Dazu zählen die Art, Schwere und Dauer des Verstoßes, die Anzahl der von der Datenverarbeitung betroffenen Personen, das Ausmaß des erlittenen Schadens sowie die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes. Ebenso dürfte eine Rolle spielen, welche Maßnahmen das Unternehmen zur Minderung des Schadens getroffen hat und wie gut es mit der Aufsichtsbehörde nach Bekanntwerden des Verstoßes zusammenarbeitet.

Lesen Sie auch: “Die DSGVO erfordert die Mitwirkung der Unternehmen” – Interview mit dem Rechtsanwalt und Datenschutzrechtsrexperten Dr. André Schmidt

Bildquelle: iStockphoto.com/mattjeacock