Datenschutzgrundverordnung: MITTELSTANDSVERBUND informiert

Die neue Datenschutzgrundverordnung der EU soll für mehr Rechtssicherheit im Umgang mit Daten sorgen. DER MITTELSTANDSVERBUND informiert, was sich für den kooperierenden Mittelstand verändert.

Brüssel, 13.01.2016 — Nach fast drei Jahren haben sich der Rat der EU und das Europäische Parlament am 15. Dezember 2015 auf eine Datenschutzgrundverordnung (DSGVO) geeinigt. Die neue Verordnung wird nach Ansicht der Beteiligten vor allem für mehr Rechtssicherheit im Umgang mit Daten sorgen – für den gesamten Binnenmarkt. Nationale Vorschriften werden durch die beschlossene DSGVO ausgehebelt – die Verordnung wird direkt und unmittelbar als Grundlage der Datenverarbeitung in allen Mitgliedstaaten gelten.

DER MITTELSTANDSVERBUND informiert über die wichtigsten Neuerungen, die von der Verordnung zu erwarten sind:

Anwendungsbereich

Die Verordnung setzt Standards und Pflichten hinsichtlich der Verarbeitung personenbezogener Daten fest. Die Regeln finden auf alle Arten kommerzieller Verarbeitung von Daten Anwendung.

Der Begriff der "personenbezogenen Daten" ist weit gefasst. Auch Daten, die pseudonymisiert werden, sollen unter den Anwendungsbereich der Verordnung fallen, sofern sich die Pseudonymisierung wieder umkehren lässt, der Datensatz also etwa durch eine Chiffre wieder einer einzelnen Person zuordenbar ist.

Auch der Begriff "Verarbeitung" umfasst eine Vielzahl möglicher Nutzungen. So fällt die automatische Verarbeitung von Daten genauso darunter wie beispielsweise das Speichern, das Sammeln oder die Übertragung von Daten. Dies entspricht den bereits existierenden Regelungen des deutschen Bundesdatenschutzgesetzes (BDSG).

Voraussetzungen für eine Datenverarbeitung

Die Voraussetzungen für die Datenverarbeitung entsprechen weitgehend der bisherigen Rechtslage in Deutschland.
  • Eine Datenverarbeitung ist rechtmäßig, wenn der Inhaber der Daten einer Verarbeitung zugestimmt hat. Die Zustimmung kann dabei formfrei erklärt werden. Der Datenverarbeiter muss jedoch die Einwilligung nachweisen können. Die Einwilligung muss dabei ohne Zwang abgegeben worden sein. Eine unzulässige Zwangssituation kann sich beispielsweise daraus ergeben, dass der Vertrag nur zustande kommt, wenn Daten vom Inhaber an den Verarbeiter übermittelt werden, die Daten zur Erfüllung des Vertrages jedoch nicht notwendig sind. Die Einwilligung kann zudem jederzeit zurückgenommen werden. Datenverarbeitungsprozesse, die vor diesem Zeitpunkt veranlasst wurden, bleiben jedoch weiterhin rechtmäßig.
  • Daneben können Daten rechtmäßig verarbeitet werden, wenn es zur Erfüllung eines Vertrages notwendig ist. Dies dürfte regelmäßig bei der Durchführung von Kauf- und Dienstleistungsverträgen der Fall sein.
  • Eine Datenverarbeitung ist auch rechtmäßig, wenn sie gesetzlich vorgegeben ist.
  • Weiterhin ist eine Datenverarbeitung zulässig, wenn der Verarbeiter ein schützenswertes Interesse nachweisen kann. Die Verordnung stellt in diesem Zusammenhang klar, dass auch das Sammeln von Daten zu Marketingzwecken grundsätzlich ein schützenswertes Interesse darstellen kann. In diesem Fall kann der Dateninhaber jedoch jederzeit einer Verarbeitung zu Marketingzwecken widersprechen. Grundsätzlich hat bei der Ermittlung des schützenswerten Interesses eine Interessenabwägung zwischen Dateninhaber und -verarbeiter zu erfolgen.
  • Nach den gleichen Grundsätzen kann auch eine Verarbeitung von Daten über den ursprünglichen Zweck hinaus erfolgen. Auch für die Rechtmäßigkeit einer solchen Handlung trägt der Datenverarbeiter die Beweislast.

Automatisierte Datenverarbeitung

Grundsätzlich ist nach der neuen DSGVO eine Entscheidung unzulässig, wenn sie ausschließlich auf automatisierten Datenverarbeitungsprozessen basiert. Dem Dateninhaber steht in einem solchen Fall ein Widerspruchsrecht zu. Jedoch gibt es hier Ausnahmen. So ist ein solches Vorgehen zulässig, wenn:
  • der Dateninhaber einem solchen Prozess ausdrücklich zugestimmt hat oder
  • ein solches Vorgehen zur Erfüllung eines Vertrages notwendig ist.
Damit dürften Prozesse, wie etwa die Feststellung der Kreditwürdigkeit des Kunden vor Abschluss eines Zahlungsvorgangs (und der anschließenden Festlegung des Zahlungsmittels) weiterhin möglich sein. Auch das entspricht geltendem deutschem Recht.

Rechte des Inhabers von Daten

Dem ursprünglichen Inhaber personenbezogener Daten steht eine Reihe von Rechten zu. Wie im deutschen Recht hat er einen Anspruch auf Berichtigung seiner Daten. Ein Löschungsanspruch besteht unter anderem, wenn
  • die Daten mit Blick auf den ursprünglichen Zweck der Datenerhebung nicht mehr notwendig sind,
  • die Einwilligung zur Datenverarbeitung zurückgenommen wurde,
  • der Weitergabe personenbezogener Daten an Dritte widersprochen wurde oder
  • die Daten unrechtmäßig erhoben wurden.
Daneben zählt die DSGVO jedoch auch Tatbestände auf, nach denen die Daten nicht gelöscht werden müssen. Wichtigster Punkt dürfte hier die Speicherung von Daten zur eventuellen Geltendmachung vertraglicher Ansprüche sein. In einem solchen Fall darf der Dateninhaber jedoch regelmäßig einen Anspruch auf Sperrung der Daten haben.

Informationspflichten des Datenverarbeiters

Nach der DSGVO muss der Datenverarbeiter eine Reihe von Informationspflichten gegenüber dem Danteinhaber erfüllen. Es müssen folgende Informationen zum Zeitpunkt der Datenübermittlung bereitgestellt werden:
  • die Kontaktdaten des Datenverarbeiters und des Datenschutzbeauftragten im Unternehmen,
  • den Zweck der Datenverarbeitung und deren rechtliche Grundlage,
  • falls anwendbar: das legitime Interesse des Datenverarbeiters an der Datenverarbeitung,
  • falls anwendbar: die (juristischen oder natürlichen) Personen, an die die Daten weitergegeben wurden,
  • der Zeitraum, in dem die Daten gespeichert werden oder die Kriterien, von denen die Länge der Speicherung abhängt,
  • das Recht des Dateninhabers, die Richtigkeit und Vollständigkeit der Daten zu prüfen,
  • das Recht des Dateninhabers auf jederzeitige Löschung bzw. die Einschränkung der Nutzung seiner Daten,
  • das Recht des Dateninhabers, der weiteren Verarbeitung seiner Daten zu widersprechen,
  • das Recht des Dateninhabers, eine Beschwerde bei der zuständigen Behörde einzureichen (siehe weiter unten),
  • die Tatsache, dass die Entscheidung zum Vertragsschluss auf einem automatisierten Datenverarbeitungsprozess beruht,
  • Informationen zu einer Datenverarbeitung, die über den ursprünglichen Zweck der Datenerhebung hinausgehen. 
Die DSGVO geht in diesem Punkt über das deutsche Recht hinaus. So müssen im Grundsatz auch nach deutschem Recht die aufgezählten Informationen vom Datenverarbeiter bereitgestellt werden, allerdings nur auf Anfrage des Dateninhabers.

Werden Daten ohne Kenntnis des Betroffenen erhoben, so ist dieser im gleichen Umfang zu informieren. Die Information soll in einer angemessenen Zeit, höchstens aber einen Monat nach Erhebung der Daten erfolgen.

Die DSGVO stellt darüber hinaus klar, dass alle Rechte des Dateninhabers – inklusive der Informationspflichten des Datenverarbeiters – durch nationales Recht eingeschränkt werden können, soweit dies zur Erfüllung eines höherrangigen öffentlichen Interesses notwendig ist.

Verantwortlichkeit des Datenverarbeiters

Nach der Verordnung hat der Datenverarbeiter Vorkehrungen zu treffen, um für die Sicherheit der Daten zu sorgen. Hierzu wird die Europäische Kommission weitere Umsetzungsakte erlassen, die die Einzelheiten einer sicheren Datenverarbeitung niederlegen. In jedem Fall hat der Datenverarbeiter dem Dateninhaber und der zuständigen Behörde ein Datenleck anzuzeigen.

Datenschutzbeauftragter

Die Ernennung eines betrieblichen Datenschutzbeauftragten ist davon abhängig, welche und wie viele Daten verarbeitet werden und nicht davon, wie viel Personal ein Unternehmen beschäftigt. Der Datenschutzbeauftragte muss keine Vollzeitkraft sein und kann ein externer Dienstleister sein. Die Mitgliedstaaten können an dieser Stelle strengere Regeln für die Benennung von Datenschutzbeauftragten aufstellen. Es erscheint wahrscheinlich, dass Deutschland aus diesem Grund seine Datenschutzregeln aufrechterhält. Ein Unternehmen muss danach einen Datenschutzbeauftragten bestellen, wenn in einem Betrieb mindestens 10 Personen mit der Verarbeitung von Daten beschäftigt sind.

Haftung des Datenverabeiters

In Fällen von Verstößen gegen die Verordnung erwarten Unternehmen harte Sanktionen. Die zuständigen Behörden können bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro für alle anderen Datenverarbeiter an Bußgeldern verhängen. Dies stellt eine empfindliche Erhöhung der maximalen Bußgelder gegenüber der bestehenden deutschen Rechtslage dar.

Wie zu befürchten war, stellt die DSGVO ein Verbandsklagerecht auf. Daneben können Vermögensschäden des Dateninhabers, die auf einer Datenverarbeitung beruhen, zivilrechtlich geltend gemacht werden.

Fazit

Insgesamt behält die Datenschutzgrundverordnung das in Deutschland bestehende hohe Datenschutzniveau bei. Damit können die bestehenden Modelle im kooperierenden Mittelstand weiter aufrechterhalten werden. Mit der DSGVO hat das Parlament sein Versprechen eingehalten, dass alles, was unter deutschem Recht bislang möglich ist, auch weiterhin möglich bleiben soll.

Daneben werden den Unternehmern neue Informationspflichten auferlegt, die unabhängig von einem Auskunftsverlangen des Dateninhabers erfüllt werden müssen. Dies dürfte zu einer weiteren Belastung mittelständischer Unternehmen führen.

"Viele Details der Verordnung müssen noch durch Durchführungsrechtsakte der Kommission definiert werden. Abzuwarten bleibt auch die Entscheidung des Bundesgesetzgebers, die nach der Verordnung bestehenden Spielräume auszunutzen. Erst danach lässt sich abschließend feststellen, wieviel Mehraufwand durch die Neuregelung des Datenschutzrechts zu erwarten ist", erklärt Tim Geier, MITTELSTANDSVERBUND-Büroleiter in Brüssel.

Die Verordnung wird in Kraft treten, sobald der Rat der EU und das EU-Parlament den Verordnungstext formell angenommen haben. DER MITTELSTANDSVERBUND wird weiterhin über die künftigen Entwicklungen sowie über die konkrete Ausgestaltung der Pflichten informieren.

Seite drucken

Ansprechpartner

Tim GeierDER MITTELSTANDSVERBUND
Tim Geier Geschäftsführer Büro Brüssel Mehr Infos
DER MITTELSTANDSVERBUND
E-Mail schreiben
Zurück zur Übersicht