Die Datenschutzgrundverordnung ist das Ergebnis langwieriger Verhandlungen auf Unionsebene. Im Dezember 2015 erfolgte schlussendlich die Einigung auf die Datenschutzgrundverordnung (DSGVO). Diese trat bereits am 25. Mai 2016 in Kraft, ist aber erst ab dem 25. Mai 2018 anwendbar. Sinn und Zweck der EU-Verordnung ist eine weitgehende Vereinheitlichung des Datenschutzrechts in der Europäischen Union.
Denn bislang obliegt es jedem Mitgliedsstaat eine nationale Gesetzgebung auf Grundlage der EU-Datenschutzrichtlinie zu betreiben. Dies führt zu teils erheblichen Unterschieden in den verschiedenen Mitgliedsstaaten. Die DSGVO hingegen sorgt fortan für die Harmonisierung des Datenschutzrechts in der EU. Einzig und allein durch sogenannte Öffnungsklauseln sind auch weiterhin nationale Unterschiede möglich. Unter einer Öffnungsklausel versteht man die Möglichkeit, eigene nationale Regelungen im Einklang mit der DSGVO zu erlassen.
Anwendungsbereich der Datenschutzgrundverordnung
Der sachliche Anwendungsbereich der DSGVO ist in Art. 2 DSGVO normiert. Danach bestimmt sich, wann und für wen die DSGVO Anwendung findet. Wichtigster Anknüpfungspunkt sind hierbei die sogenannten personenbezogenen Daten. Darunter versteht man u.a. den Namen, die Adresse, die Bankverbindung, die E-Mail-Adresse oder die IP-Adresse des Betroffenen. Die Verarbeitung von personenbezogenen Daten unterliegt zukünftig Art. 5 DSGVO. Demnach dürfen personenbezogene Daten nur auf rechtmäßige und nachvollziehbare Weise verarbeitet und für festgelegte Zwecke erhoben werden.
Neben dem sachlichen Anwendungsbereich muss auch der räumliche Anwendungsbereich eröffnet sein. Im Vergleich zur derzeit geltenden EU-Datenschutzrichtlinie, ergibt sich eine wichtige Neuerung. Denn zukünftig gilt das sogenannte Marktortprinzip. Werden demnach personenbezogene Daten im Zusammenhang mit Angeboten von Waren oder Dienstleistungen in der europäischen Union verarbeitet, muss sich die verarbeitende Stelle an die Vorgaben der DSGVO halten. Das hat zur Folge, dass die Datenschutzgrundverordnung für deutlich mehr Stellen von Belang sein wird.
Veränderungen in Bezug auf den Datenschutzbeauftragten
Das Erfordernis zur Bestellung eines Datenschutzbeauftragten ergibt sich aus Art. 37 DSGVO. Ergänzend zur DSGVO findet ab dem 25. Mai 2018 das neue Bundesdatenschutzgesetz Anwendung, welches die nationalen Öffnungsklauseln regelt. Die wichtigste Festsetzung in Bezug auf den Datenschutzbeauftragten findet sich dabei in § 38 BDSG(neu). Demnach muss ein Datenschutzbeauftragter von einer nicht-öffentlichen Stelle bestellt werden, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Weiter wichtige Regelungen finden sich in den §§ 5-7 BDSG(neu). Zu nennen ist hier vor allem das verschärfte Kündigungsschutzrecht nach § 6 Abs. 4 BDSG(neu).
Datenschutz-Folgenabschätzung nach der DSGVO
Die in Art. 35 DSGVO normierte Datenschutz-Folgenabschätzung tritt an die Stelle der bisher geltenden Regeln zur Vorabkontrolle. Nach Art. 35 Abs. 1 DSGVO ist eine Datenschutz-Folgenabschätzung durchzuführen, wenn: „(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat).
Des Weiteren enthält Art. 35 Abs. 3 DSGVO Regelbeispiele, bei denen eine Pflicht zur Durchführung besteht. Darunter fällt u.a. die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen. Darüber hinaus bestimmt Art. 35 Abs. 7 DSGVO Mindestanforderungen an die Durchführung einer Datenschutz-Folgenabschätzung.
Informationspflichten nach der Datenschutzgrundverordnung
Die in Art. 13 DSGVO festgelegten Informationspflichten sind um einiges umfangreicher, als die bisher geltenden Regelungen des Bundesdatenschutzgesetzes. Sie sind Ausfluss des Transparenzgebots der DSGVO. Betroffene sollen dadurch in die Lage versetzt werden, mehr über die Verarbeitung ihrer personenbezogenen Daten zu erfahren.
Nach Art. 13 DSGVO sind u.a. folgende Informationen mitteilungsbedürftig: die Identität des Verantwortlichen, die Kontaktdaten des Datenschutzbeauftragten, die Verarbeitunszwecke sowie die Rechtsgrundlage, die Dauer der Speicherung, die Rechte des Betroffenen und die Widerrufbarkeit von Einwilligungen. Sämtliche Informationen sind dabei nach Art. 12 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen. Sie können in schriftlicher oder elektronischer Form übermittelt werden.
Fazit
Dieser Beitrag kann nur einen groben Überblick über einige der weitreichenden Neuerungen bieten, welche mit der Datenschutzgrundverordnung einhergehen. Grundsätzlich lässt sich jedoch festhalten, dass die DSGVO einen großen Anpassungs- und Investitionsbedarf bei Unternehmen auslöst. Denn bei Nichteinhaltung der neuen Regelungen drohen empfindliche Bußgelder von bis zu 20 Millionen Euro.