Die neue EU-Datenschutzgrundverordnung (DSGVO) wird zum 25.05.2018 im gesamten EU-Beitrittsgebiet verbindlich wirksam. Ergänzend hierzu wird in weiten Teilen auch das nationale Datenschutzrecht, insb. das Bundesdatenschutzschutzgesetz (BDSG), neu geregelt. Aufgrund der Vielzahl von Öffnungsklauseln in der DSGVO kann das nationale Recht der Mitgliedsstaaten in vielen Bereichen von den Europäischen Standards abweichen. Bis zum 25. Mai 2018 haben alle in einem Mitgliedsstaat der EU niedergelassenen Unternehmen ihre Geschäftsprozesse den Neuerungen anzupassen und zwar unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der EU stattfi ndet. Verstöße gegen die neuen Regelungen können mit Bußgeldern bis zu 10 Mio. oder 20 Mio. EUR oder in Höhe von 2 % bzw. 4 % des gesamten, weltweit erzielten Jahresumsatzes des Unternehmens verfolgt werden. Dennoch haben in Deutschland bisher nur etwa 13% der Unternehmen mit der Umsetzung der neuen Datenschutzvorgaben begonnen; jedes dritte Unternehmen hat sich mit der Datenschutzgrundverordnung derweil noch überhaupt nicht auseinandergesetzt.

1. Ab wann gilt die DSGVO?

Die Datenschutz-Grundverordnung ist bereits am 25. Mai 2016 in Kraft getreten. Nach einer zweijährigen Übergangsfrist wird sie zum 25. Mai 2018 verbindlich wirksam. Ab diesem Zeitpunkt können die Einhaltung durch Aufsichtsbehörden und Gerichte überprüft und festgestellte Verstöße sanktioniert werden. Als Verordnung gilt die DSGVO unmittelbar in allen Mitgliedsstaaten der EU und ohne nationalen Umsetzungsakt.

2. Was regelt die DSGVO?

Der sachliche Anwendungsbereich beschränkt sich auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten natürlicher Personen. Personenbezogene Daten von juristischen Personen unterliegen der Verordnung dagegen nicht.

3. Für wen gilt die DSGVO?

Die DSGVO findet bereits Anwendung, wenn der Verantwortliche oder ein Auftragsverarbeiter seine Niederlassung in der EU hat. Ob die Datenverarbeitung innerhalb oder außerhalb der Union erfolgt, ist nicht entscheidend. Darüber hinaus findet die DSGVO auch für außereuropäische Verarbeiter Anwendung, sofern sie Daten von EU-Bürgern erheben oder verarbeiten und die Verarbeitung im Zusammenhang mit dem Absatz von Waren oder Dienstleistungen steht oder das Verhalten der Betroffenen innerhalb der EU beobachtet (Marktortprinzip).

4. Wie steht die Verordnung zu den Gesetzen der Mitgliedsstaaten?

Die DSGVO ist als europäisches Gemeinschaftsrecht gegenüber dem nationalen Recht der Mitgliedsstaaten grundsätzlich vorrangig anzuwenden. Allerdings beabsichtigt die Grundverordnung keine gänzliche Vollharmonisierung des Datenschutzrechts, sondern ermöglicht den nationalen Mitgliedsstaaten durch insgesamt 69 Öffnungsklauseln, eigene Regelungen zum Datenschutz einzubringen. Die nationalen Regelungen dienen als Ergänzung und Präzisierung zur DSGVO und dürfen dem Unionsrecht folglich nicht widersprechen. Die wichtigsten deutschen Regelungen finden sich im neuen Bundesdatenschutzgesetz (BDSG-neu); weitere Regelungen finden sich beispielsweise im Telekommunikationsgesetz (TKG), im Telemediengesetz (TMG) sowie im Messstellenbetriebsgesetz (MsbG).

5. Welche Bedeutung haben die Erwägungsgründe der DSGVO?

Die Erwägungsgründe stellen selbst keine Regelungen dar, sondern dienen der Auslegung der Artikel. Sie beinhalten die Beweggründe zur Einführung und Ausarbeitung der jeweiligen Artikel.

6. Was ist gleich geblieben?

Die Verordnung baut im Wesentlichen auf der EU-Datenschutzrichtlinie 95/46/EG auf behält deren wesentliche Prinzipien bei. So bleibt die Verarbeitung personenbezogener Daten weiterhin verboten, wenn diese nicht durch einen Tatbestand der DSGVO oder eine nationale Rechtsvorschrift erlaubt wird (Verbot mit Erlaubnisvorbehalt). Auch die wesentlichen Rechtsinstrumente der Übermittlung in Drittstaaten bleiben weitgehend erhalten.

7. Was ändert sich?

Die DSGVO enthält eine Vielzahl neuer Begriffsbestimmungen und Verpflichtungen für die Verantwortlichen der Datenverarbeitung. Gleichzeitig werden die Rechte der Betroffenen spürbar gestärkt. Neue Informations- und Auskunftsrechte, Bereitstellungs-, Übermittlungs- und Löschpflichten sollen für Transparenz und Selbstbestimmung bei der Verarbeitung personenbezogener Daten gewährleisten. Darüber hinaus werden Datenschutzverstöße künftig wesentlich stärker sanktioniert. Den Aufsichtsbehörden stehen umfassende Untersuchungs- und Abhilfebefugnisse zur Verfügung.

8. Was müssen deutsche Unternehmen beachten?

Deutsche Unternehmen sind verpflichtet, die neuen Vorgaben der Datenschutzgrundverordnung bis zum 25. Mai 2018 in ihren Geschäftsprozessen wirksam zu integrieren. Hierbei kommt auf die Verantwortlichen ein enormer Arbeitsaufwand zu. Neue Prozesse, Mechanismen und Zuständigkeiten müssen geschaffen werden, um die vielen neuen Herausforderungen des Datenschutzes rechtskonform umsetzen zu können. In Anbetracht der vielen Neuerungen sind zudem eine ganze Reihe von Gerichtsverfahren, Stellungnahmen und Anordnungen der Aufsichtsbehörden zu erwarten.

9. Was droht bei Verstößen gegen die DSGVO?

Verstöße gegen die neuen Datenschutzvorschriften können künftig mit Bußgeldern bis zu 10 oder 20 Mio. EUR oder in Höhe von 2 % bzw. 4 % des gesamten, weltweit erzielten Jahresumsatzes verfolgt werden, je nachdem, welcher Betrag höher ist. Adressat ist nicht alleine das Unternehmen; vielmehr wird eine eigene Verantwortlichkeit der Geschäftsführer für die Umsetzung der datenschutzrechtlichen Unternehmensprozesse begründet. Neben dem finanziellen Risiko stehen auch der Ruf und das Ansehen der Unternehmen in Gefahr.

10. Kann ich meine Verantwortung auf Dritte übertragen?

Nein. Die DSGVO erlaubt zwar weiterhin die Datenverarbeitung durch einen Auftragsverarbeiter. Dieser ist aber kein „Dritter“. Es wird lediglich ein Innenverhältnis zum Verantwortlichen begründet, woraus sich gesonderte Pflichten des Auftragnehmers ergeben. Die Verantwortung zur Einhaltung der DSGVO verbleibt bei dem Auftraggeber (Verantwortlicher). Neu Hinzugekommen sind dagegen spezielle Haftungsregelungen des Auftragsverarbeiters, so dass eine gemeinsame Haftung möglich ist.

Unser Leistungsangebot

Zu unseren Leistungen zählen insbesondere:

• Die rechtliche Begleitung und Überprüfung bestehender Datenschutz-ManagementSysteme (DSMS)

• Die Überprüfung interner Zuständigkeits- und Kontrollsysteme auf ihre rechtliche Zulässigkeit

• Die juristische Beratung zur Durchführung einer Risikofolgeabschätzung

• Vertragsgestaltung und -abwicklung im Rahmen des Beschäftigtendatenschutzes, der Auftragsverarbeitung sowie der Bestellung des Datenschutzbeauftragten.

• Gestaltung, Prüfung und Überarbeitung rechtswirksamer Einwilligungserklärungen

• Schulung von Mitarbeitern und Datenschutzbeauftragten

• Beratung und Vertretung unserer Mandanten in sämtlichen datenschutzrechtlichen Verwaltungsverfahren (insb. Aufsichts-, Zertifizierungs- und Beschwerdeverfahren) und Bußgeldverfahren

• Umfassende juristische Beratung, etwa zu bestehenden Mitwirkungspflichten

Weitere Informationen zum Datenschutzrecht finden Sie auf unserer Homepage www.maslaton.de. Für Rückfragen, Anregungen und Auskünfte stehen wir Ihnen gerne unter leipzig@maslaton.de sowie telefonisch unter 0341/149500 zur Verfügung.