DSGVO – Die wichtigsten Neuerungen auf einen Blick

January 26, 2018 11:21 AM

Ab dem 25. Mai 2018 gilt die neue Datenschutzgrundverordnung der EU (DSGVO) sowie das neue Bundesdatenschutzgesetz. Die neuen Regelungen bringen im Bereich Datenschutz und Datenverkehr einige wichtige Neuerungen. Dieser Beitrag greift die wichtigsten Bestimmungen für kleine und mittelständische Unternehmen heraus und gibt einen groben Überblick.

 

Vorwegzuschicken ist, dass die Datenschutzgrundverordnung eine Art Zwitter zwischen einer Richtlinie der EU und einer Verordnung ist. Der Unterschied dieser zwei „Gesetzgebungsmöglichkeiten“ der EU ist, dass europäische Richtlinien durch den nationalen Gesetzgeber erst umgesetzt werden müssen und Verordnungen direkt gelten. Die Datenschutzgrundverordnung ist eigentlich eine klassische Verordnung. An vielen Stellen ist sie jedoch so vage gefasst und erlaubt den nationalen Gesetzgeber ausdrücklich ergänzende Regelungen, dass hier eine eigentlich nicht existierende Mischform der beiden Regelungsmöglichkeiten der EU gewählt wurde. Das bedeutet, dass die Datenschutzgrundverordnung immer stets mit den nationalen (deutschen) Regelungen im Einklang gesehen werden muss, insbesondere eben mit dem neuen Bundesdatenschutzgesetz, das auch ab dem 25. Mai 2018 gelten wird.

 

Betrachtet man die DSGVO und das neue BDSG sind die wichtigsten Neuerungen:

 

  • höhere Bußgelder: Die Bußgelder werden sich ab dem 25. Mai 2018 drastisch erhöhen, von früher maximal 300.000 Euro Bußgeld wurde das Höchstmaß eines Bußgelds auf 20 Millionen Euro oder 4% des Jahresumsatzes eines Unternehmens erhöht.
  • Einführung eines Straftatbestands: Mit § 42 BDSG-neu wurde im Bundesdatenschutzgesetz ein Straftatbestand eingeführt. Danach macht sich strafbar, wer personenbezogene Daten ohne Berechtigung verarbeitet, um z.B. sich oder einen anderen dadurch zu bereichern.
  • höhere Anforderungen an die Einwilligung zur Datenverarbeitung: Die Einwilligung ist in den allermeisten Fällen (es gibt spezielle Ausnahmen) die Grundvoraussetzung für eine zulässige Verarbeitung personenbezogener Daten. Die Anforderungen an diese Einwilligung des Betroffenen werden durch die DSGVO erhöht. Ein großes Augenmerk ist laut den Erwägungsgründen zur Verordnung auf die Freiwilligkeit der Erteilung der Einwilligung zu legen. So ist die oftmals anzutreffende opt-out-Lösung (also das Entfernen-müssen eines Häckchens) nach der EU-DSGVO wohl unzulässig. Experten gehen davon aus, dass die meisten bisher erteilen Einwilligungen nach der EU-DSGVO unwirksam sind. Denn wenn man die Erbringung einer Dienstleistung von der Einwilligung abhängig macht, kann dies ein starkes Indiz dafür sein, dass die Freiwilligkeit nicht vorlag (Art. 7 Abs. 4 EU-DSGVO weist eindeutig auf diese Konnexität hin).
  • Datenverarbeitungsvorgänge müssen dokumentiert werden (Art. 30 EU-DSGVO), was jedoch in aller Regel erst für Unternehmen mit über 250 Mitarbeitern gilt außer es werden ständig personenbezogene Daten verarbeitet.
  • Ein Datenschutzbeauftragter muss ernannt werden und auch bei den zuständigen Behörden namentlich benannt werden (Art. 37 EU-DSGVO und §38 BDSG-neu): Diese Regelung gilt hauptsächlich für Unternehmen, die ständig 10 oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder deren Kerntätigkeit Verarbeitungsvorgänge sind (Achtung: es gibt noch weitere weniger wichtige Fälle). Für diese Unternehmen ist es jedoch ab dem 25. Mai 2018 Pflicht einen Datenschutzbeauftragen zu benennen. Der Datenschutzbeauftragte kann beispielsweise der Geschäftsführer sein, ein (leitender) Angestellter oder aber auch ein externer Dienstleister.
  • Pflicht zur Meldung von Verstößen (Art. 33 EU-DSGVO): Unternehmen müssen ab dem 25. Mai 2018 unverzüglich Verstöße gegen die Datenschutzbestimmungen melden und zwar sollten sie Verstöße gegen den Schutz personenbezogener Daten den Aufsichtsbehörden innerhalb von 72 Stunden melden. Unter Umständen muss sogar der betroffenen Person der Verstoß unverzüglich mitgeteilt werden. Dies sollte unbedingt getan werden, wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person(en) besteht.
  • Möglichkeit der Betroffenen gegen den Datenschutzpflichtigen wegen eines Verstoßes auf immateriellen Schadensersatz zu klagen: Bisher war es zwar auch möglich als Betroffener eines Datenschutzverstoßes gegen ein Unternehmen zu klagen, allerdings musste in aller Regel ein materieller Schaden („Vermögensschaden“) vorliegen. In den meisten Fällen sind jedoch nur immaterielle Rechte wie das Persönlichkeitsrecht oder das Recht auf informationelle Selbstbestimmung durch einen Verstoß gegen Datenschutzbestimmungen verletzt. In solchen Fällen ist meistens kein finanziell messbarer Schaden entstanden. In der DSGVO wird nun aber auch ein Anspruch und daher eine Klagemöglichkeit wegen eines lediglich immateriellen Schadens ermöglicht. Zudem wird es für Betroffene eine Beweiserleichterung geben. Betroffene müssen nämlich bei einer Klage nur behaupten, dass es einen Verstoß gegen Datenschutzbestimmungen gab und das Unternehmen muss beweisen, dass kein Datenschutzverstoß vorliegt. Aufgrund dieser Beweislastumkehr ist es für Unternehmen auch unabhängig von Art. 30 EU-DSGVO die Datenverarbeitungsvorgänge vernünftig zu dokumentieren.

Kategorisiert in: Strafrecht, Compliance

Blog-Abo