Was ist neu an der EU-Datenschutzgrundverordnung (DSGVO)?

Neue Informationspflichten bei der Erhebung von personenbezogenen Daten

Auch heute gelten gegenüber dem Betroffenen bereits umfangreiche Informationspflichten bei der Erhebung personenbezogener Daten. Diese Transparenzpflichten ergeben sich aus dem Bundesdatenschutzgesetz (BDSG) und für Telemedien wie Apps und Webseiten vor allem aus dem Telemediengesetz (TMG). Hinzukommen nun die Artikel 13 und 14 der DSGVO. Neu an dieser Stelle ist die Angabe der Rechtsgrundlage für die Verarbeitung, die dem Betroffenen gegenüber dargestellt werden muss. Bisher mussten die Verantwortlichen einer Webseite nur den Zweck der Datenverarbeitung leicht verständlich beschreiben. Die neue Herausforderung besteht nun darin, neben dem Zweck auch die Rechtsgrundlage in leicht verständlicher Form bereitzustellen. Wenn zum Beispiel die Anschrift eines Mieters für den Zweck der Kontaktaufnahme erfasst werden soll, muss neben diesem Zweck auch angegeben werden, auf welcher Rechtsgrundlage die Anschrift gespeichert werden darf. Hierzu könnte, je nach Szenario, der Artikel 6 Abs. 1 lit. b) dienen. Dieser würde es erlauben, die Anschrift für die Erfüllung eines Vertragsverhältnisses zu verarbeiten.

Neben Angaben zur Speicherdauer der personenbezogenen Daten, einem Hinweis zum Beschwerderecht bei einer Aufsichtsbehörde und Angaben zum Profiling bestehen zudem Informationspflichten zum neuen Recht der Datenübertragbarkeit. Vorgesehen war dieses Recht vor allem, um den Nutzer einen sauberen Wechsel zwischen sozialen Netzwerken zu ermöglichen bzw. dem Nutzer eine transparente Auskunft über die zu ihm gespeicherten Daten zur Verfügung zu stellen. Anwendung findet das Recht auf Datenübertragbarkeit grundsätzlich auf alle Verantwortlichen, die personenbezogene Daten des Nutzers verarbeiten. Daten sollen künftig direkt zwischen zwei verantwortlichen Stellen ausgetauscht werden, sofern dies technisch machbar ist. Nicht definiert ist, wer die „technische Machbarkeit“ einstuft.

Das neue „Recht auf Vergessenwerden“ und Zweckänderungen

Das Prinzip des „Rechts auf Vergessenwerden“ ist dem aktuellen Bundesdatenschutzgesetz ähnlich: Personenbezogene Daten, für welche der Speicherzweck abgelaufen ist, welche unzulässig verarbeitet werden oder für welche der Betroffene eine Löschung verlangt, müssen gelöscht werden, sofern keine Archivierungspflichten oder andere Regelungen dem entgegenstehen. Neu am „Recht des Vergessenwerdens“ ist an dieser Stelle nur die weitfassende Gültigkeit für die gesamte Europäische Union und die damit verbundenen Bußgelder, sofern die personenbezogenen Daten nicht gelöscht werden oder gar unrechtmäßig verarbeitet werden. In der DSGVO gibt es Vereinfachungen für die Zweckänderung, welche in Artikel 6 Abs. 4 geregelt sind. So ist es nun möglich, die Datensätze mit technischen Maßnahmen zusätzlich abzusichern, um diese für weitere Zwecke zu verarbeiten. Dies erfordert im Vorfeld aber detaillierte Prüfungen der Betroffenenrechte und Dokumentation des Vorhabens.

Die Datenschutz-Folgenabschätzung

Das Prinzip der Technik-Folgenabschätzung ist nicht neu. Neu ist aber, dass dieses Vorgehen im Datenschutzkontext angewendet werden muss. Im Rahmen einer Datenschutz-Folgenabschätzung (auch „privacy impact assessment“, PIA genannt) muss jedes Unternehmen bei der Verarbeitung von personenbezogenen Daten eine Abschätzung der Folgen für den Betroffenen durchführen, sofern neue Technologien verwendet werden oder aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen entsteht. An dieser Stelle hat die Datenschutz-Aufsichtsbehörde die Möglichkeit, Listen zu veröffentlichen, zu welchen Prozessen eine Datenschutz-Folgenabschätzung unbedingt durchzuführen ist. Die zu berücksichtigenden Inhalte und Voraussetzungen sind in Artikel 35 DSGVO beschrieben und schaffen ein Bild vom ungefähren Umfang einer solchen Abschätzung. Durchzuführen ist eine Datenschutz-Folgenabschätzung zum Beispiel immer bei der Überwachung von öffentlich zugänglichen Bereichen mittels optoelektronischer Vorrichtungen - sprich Videoüberwachung, da hier für die Rechte und Freiheiten der Betroffenen ein hohes Risiko droht.

Verhaltensregeln und Zertifizierung

Die Grundlagen für eine einheitliche Zertifizierung und Selbstverpflichtung auf Verhaltensregeln zum Datenschutz fehlen im bisherigen Bundesdatenschutzgesetz. Daher schaffen die Neuerungen aus den Artikeln 40 bis 43 Hoffnung auf zusätzliche Transparenz zur Einhaltung des Datenschutzes. Hier werden vor allem die Aufsichtsbehörden gefordert, bei der Ausarbeitung von Verhaltensregeln mitzuwirken und datenschutzspezifische Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen einzuführen.

Haftung, Sanktionen und Schadensersatz

Der Bereich Haftung und Sanktionen wird in Kapitel 8 der DSGVO aufgeführt. Hier fallen vor allem die gegenüber dem Bundesdatenschutzgesetz erhöhten Bußgelder auf. Im Bundesdatenschutzgesetz sind es maximal 300.000 Euro pro Verstoß und in der Grundverordnung 20.000.000 Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Die Sanktionsmöglichkeiten erzielen damit in jedem Fall eine abschreckende Wirkung.

Fazit

Es bleibt abzuwarten, wie entsprechende nationale Gesetzgebungen aussehen und wie hier Öffnungsklauseln ausgestaltet werden. Wobei die Öffnungsklauseln keineswegs eine Umgehung der DSGVO zulassen. Stattdessen sollte man diese eher als Optionen oder Konkretisierungen verstehen, welche in einem Nachfolge-Bundesdatenschutzgesetz verankert werden. Auch bleibt abzuwarten, wie schnell die Aufsichtsbehörden den vielen Neuerungen gerecht werden können. Nicht warten sollten aber alle Unternehmen. Bis zur Gültigkeit der Datenschutzgrundverordnung verbleiben nur noch knapp zwei Jahre.