Update Datenschutz Nr. 5
EU einigt sich auf Wortlaut der Datenschutz Grundverordnung
Seit dem 15.12.2015 besteht nun endlich ein im Trilogverfahren abgestimmter Text der Datenschutz Grundverordnung (DS-GVO), von dem allgemein erwartet wird, dass er bis spätestens Sommer 2016 von Kommission, Rat und Parlament angenommen wird. Die Vorschriften werden zwei Jahre nach ihrer Annahme unmittelbar anwendbar, also voraussichtlich im Frühjahr oder Sommer 2018. Damit endet die Ungewissheit über den Inhalt des neuen einheitlichen europäischen Datenschutzrechts, welche seit dem ersten Kommissionsentwurf von 2012 bestand. Dies nehmen wir zum Anlass, um einige wesentliche Regelungen darzustellen.
Das Wichtigste in Stichworten
Aufgrund der Komplexität dieser größten Reform seit dem Bestehen des Datenschutzrechts können wir im Rahmen dieses Update Datenschutz nur auf wenige Highlights detaillierter eingehen. Zuvor bieten wir Stichwortartig einen Kurzüberblick über die wichtigsten Änderungen:
- Der Bußgeldrahmen wird angehoben von bisher 300.000 Euro auf bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes (Art. 79 DS-GVO).
- Für Unternehmen, die in verschiedenen EU-Ländern tätig sind, wird zukünftig eine nationale führende Aufsichtsbehörde („One-Stop-Shop“) vorrangig vor den Aufsichtsbehörden anderer EU-Staaten zuständig sein (Art. 51a DS-GVO).
- Viele Sonder-Erlaubnistatbestände des deutschen Datenschutzrechts fallen weg. Dies betrifft auch Normen außerhalb des Bundesdatenschutzgesetzes (BDSG). Neben dem Datenschutz im Telemediengesetz (TMG) werden vermutlich weite Teile des Sozialdatenschutzes wegfallen. Öffnungsklauseln, die abweichende nationale Regelungen gestatten, gibt es etwa im Bereich des Beschäftigtendatenschutzes (Art. 82 DS-GVO).
- Die Bestellung eines Datenschutzbeauftragten wird in der ganzen EU verpflichtend (Art. 35 DS-GVO).
- Wegfall des Schriftformerfordernisses bei Einwilligungen bei gleichzeitig höheren Anforderungen an die notwendige „Freiwilligkeit“. Einwilligungen von Personen unter 16 Jahren werden erheblich erschwert.
- Transparenzverpflichtungen – also die Pflicht zur Information über Datenverarbeitungen – werden erheblich ausgeweitet (Art. 14 DS-GVO).
- Im Rahmen der Auftragsdatenverarbeitung wird dem Auftragnehmer eine größere Verantwortung und mehr formale Verpflichtungen auferlegt (Art. 26 ff. DS-GVO).
- Die Pflicht zur Meldung von Security Incidents wird gemäß Art. 31 DS-GVO im Vergleich zum jetzigen § 42a BDSG erheblich erweitert und wird neben den Verpflichtungen aus dem IT-Sicherheitsgesetz bestehen.
- Es entstehen insgesamt deutlich mehr formale Anforderungen im Vorfeld einer Datenverarbeitung (sogenannte Datenschutzfolgenschätzung, Art. 33 ff. DS-GVO).
- Das Recht auf Datenportabilität, das heißt ein Recht auf „Mitnahme“ von Daten in gängigen Dateiformaten wurde in Art 18 DS-GVO aufgenommen.
- Das Recht auf Vergessenwerden (Art. 17 DS-GVO) wurde gemäß den Vorgaben des EuGH umgesetzt.
- Privacy by Design und by Default wurden als Grund-sätze in Art. 23 DS-GVO verankert.
Verschärfung der Bußgeldvorschriften
Den gravierendsten Einschnitt im Datenschutzrecht dürfte die deutliche Erhöhung des Bußgeldrahmens darstellen. Bislang waren in Deutschland Bußgelder in einer Höhe von bis zu 300.000 Euro für rechtswidrige Datenverarbeitungsvorgänge möglich. Dieser Bußgeldrahmen wird für einige Fälle in Art. 79 Abs. 3a DS-GVO auf 20 Mio. Euro oder im Fall eines Unternehmens auf 4 % des weltweiten Jahresumsatzes erhöht. Dadurch wird erforderlich, dass Datenschutz-Compliance in Unternehmen in der Zukunft einen wesentlich höheren Stellenwert einnehmen muss. Beachtlich ist, dass es nach dem Wortlaut der DS-GVO für die Bemessung der Geldbuße nicht auf den Umsatz eines Konzerns bzw. Unternehmensverbandes ankommt, sondern nur auf das verstoßende Unternehmen. Diese Regelung, der zugrunde liegen dürfte, dass es im Datenschutzrecht kein „Konzernprivileg“ gibt, eröffnet gegebenenfalls Gestaltungsspielräumen für Unternehmen.
One Stop Shop
Welche Behörde die neuen Datenschutzregeln auf ein Unternehmen anwendet, hängt bei europaweit tätigen Unternehmen in Zukunft maßgeblich von der sogenannten führenden Aufsichtsbehörde nach Art. 51a DS-GVO ab. Dabei wird die Aufsichtsbehörde, die für den Hauptsitz eines Unternehmens in Europa zuständig ist, als die führende Aufsichtsbehörde definiert. Bei grenzüberschreitenden Sachverhalten kommt der führenden Aufsichtsbehörde eine zentrale Koordinierungsrolle zu (Art. 54a DS-GVO). Auch in rein nationalen Fällen muss sich die nationale Aufsichtsbehörde mit der führenden Aufsichtsbehörde zumindest entsprechend abstimmen, wobei letztere das Recht hat, den Fall in gewissem Umfang an sich zu ziehen (Art. 51a Abs. 2c DS-GVO). Für internationale Konzerne wird es damit in Zukunft wichtig zu beobachten, wo sich besonders strenge und wo sich besonders Unternehmensfreundliche Aufsichtsbehörden herauskristallisieren. Für die ohnehin bereits mit kapazitären Engpässen arbeitenden Aufsichtsbehörden ist der sich daraus gegebenenfalls entstehende zusätzliche Aufwand eine große Herausforderung. Aber auch für Unternehmen stellen sich wichtige Fragen: Was ist der Hauptsitz? Gemäß der Definition aus Art. 4 Abs. 13 kommt nicht nur der Verwaltungshauptsitz in der EU in Betracht, sondern auch eine Stelle, welche faktisch über die Entscheidungshoheit bezüglich der Verarbeitung von Daten in der EU durch den Konzern verfügt.
Datenschutzbeauftragte
Gemäß der DS-GVO ist die Ernennung eines Datenschutzbeauftragten erforderlich, wenn die Kerntätigkeit eines Unternehmens in der Datenverarbeitung liegt oder besondere personenbezogene Daten, wie Gesundheitsdaten oder Informationen über Religions-und Gewerkschaftszugehörigkeit, verarbeitet werden. In beiden Fällen muss jedoch hinzukommen, dass eine große Anzahl an Daten verarbeitet werden. Bis zuletzt war man sich aber offenbar uneins über die konkreten Schwellenwerte die zu einer Bestellungspflicht führen sollen. In den Entwürfen war eine bestimmte Anzahl von Beschäftigten oder eine Anzahl von verarbeiteten Datensätzen bzw. Betroffenen genannt worden. Konkrete Zahlen finden sich im finalen Text jedoch nicht mehr. Vielmehr bestimmt die DS-GVO in Art. 35, dass bei Verarbeitung einer großen Anzahl („large scale“) von personenbezogenen Daten in vielen Fällen die Bestellung eines Datenschutzbeauftragten notwendig wird. Die hierdurch eintretende Rechtsunsicherheit wiegt umso schwerer, wenn man bedenkt, dass gemäß Art. 79 Abs. 3 DS-GVO ein Verstoß gegen die Bestellungspflicht mit einem Bußgeld bis zu 10 Mio. Euro geahndet werden kann. Es empfiehlt sich also für Unternehmen einen Datenschutzbeauftragten allein aus Sicherheitsgründen zu bestellen. Deutsche Unternehmen – die überwiegend über einen Datenschutzbeauftragten verfügen – sollten diesen aus Sicherheitsgründen beibehalten.
Transparenzverpflichtung
Die Informationspflichten des Datenverarbeiters werden erheblich erweitert. Soweit bislang im Rahmen einer Datenerhebung über die Identität der Verantwortlichen Stelle, die Zweckbestimmung der Datenverarbeitung und in bestimmten Fällen über die Kategorie von Empfängern unterrichten musste, legt Art. 14 DS-GVO nun noch wesentlich weitere Verpflichtungen auf: So ist es etwa in einem Fall, in dem sich die Verantwortliche Stelle auf ein legitimes Interesse zur Rechtfertigung der Datenverarbeitung berufen will, erforderlich, dieses legitime Interesse dem Betroffenen auch darzulegen. Zudem muss die Speicherdauer, ein Hinweis auf das Beschwerderecht bei der zuständigen Aufsichtsbehörde und in allen Fällen ein Hinweis auf das Recht zum Widerruf etwaiger Einwilligungserklärungen gegeben werden. Außerdem müssen die Kontaktdaten des Datenschutzbeauftragten und viele weitere Hinweise angegeben werden.
Wegfall des Schriftformerfordernisses für die Einwilligungserklärung
Ein generelles Schriftformerfordernis für Einwilligungserklärungen, wie es derzeit noch nach § 4a BDSG besteht, sieht die DS-GVO nicht vor. Damit kann die im Telemedienbereich bekannte Praxis der Einwilligung per „Klick“ nun im gesamten Datenschutzrecht angewendet werden. Eine Unterscheidung zwischen TMG-Daten und BDSG-Daten ist nicht mehr notwendig. Zugleich stellt die DS-GVO in Art 7 Abs. 4 und den Erwägungsgründen 32 und 34 höhere Anforderungen an die Freiwilligkeit einer Einwilligungserklärung. Einwilligungserklärungen von Minderjährigen werden in Zukunft nur noch dann gültig sein, wenn eine Zustimmung eines Erziehungsberechtigten vorliegt (siehe Art. 8 DS-GVO).
Wegfall spezieller Erlaubnistatbestände des nationalen Rechts
Die DS-GVO geht aufgrund ihrer Natur als Verordnung den bestehenden deutschen Datenschutzrecht vor („Anwendungsvorrang“). Ausgenommen hiervon sind in den Art. 80 ff. der DS-GVO zwar einige spezielle Bereiche (im gewissen Umfang ist etwa noch ein nationales Arbeitnehmerdatenschutzrecht möglich). Jedoch werden Etablierte nationale Erlaubnistatbestände etwa bezüglich Datenübermittlung an Auskunfteien, Scoring, Videoüberwachung, Nutzung personenbezogener Daten zu Werbezwecken gem. § 28 Abs. 3 ff. BDSG oder die Erlaubnis zur Anlegung von pseudonymisierten Nutzerprofilen zu Werbezwecken im Onlinebereich (§ 15 Abs. 3 TMG) unwiederbringlich wegfallen. Dies muss nicht in allen Fällen bedauert werden: Gerade im Bereich der Werbung kann in der Zukunft im Rahmen der allgemeinen Erlaubnistatbestände der DS-GVO mehr möglich sein, als unter der Geltung der aktuellen sehr strengen deutschen Regeln zum Direktmarketing.
Auch außerhalb des BDSG werden ganze Regelungskomplexe unanwendbar. Neben §§ 11ff TMG dürfte dies für weite Teile des Sozialdatenschutzrechts gelten. Während in den Entwürfen noch Öffnungsklauseln für „Gesundheitsdaten“ und „genetische Daten“ bestanden (Art. 81f DS-GVO) wurden diese in der finalen Fassung ersatzlos gestrichen. Viele Datenschutzregeln des Gesundheitswesen, die weit verstreut, etwa den Sozialgesetzbüchern, Landeskrankenhausgesetzen, dem AMG und vielen weiteren Gesetzen zu finden sind, stehen damit auf dem Prüfstand. Allenfalls vage formulierte Öffnungsklauseln etwa über die Datenverarbeitung im öffentlichen Interesse (Art. 6 Ziff. 2a i.V.m. Art. 6 Ziff. 1(e)) oder für Zwecke der Wissenschaft (Art. 83 DS-GVO) könnten noch weitere nationale Erlaubnistatbestände retten.
An die Stelle der bisherigen Detailregelungen treten im Wesentlichen die sechs allgemeinen Erlaubnistatbestände aus Art. 6 Abs. 1 (a) – (f) DS-GVO. In der Praxis wird es häufig auf die folgenden vier wesentlichen Erlaubnistatbestände ankommen:
- Einwilligungserklärung des Betroffenen
- Datenverarbeitung ist notwendig zur Durchführung eines Vertrages
- Datenverarbeitung ist notwendig, um eine gesetzliche Verpflichtung zu erfüllen.
- Datenverarbeitung liegt im legitimen Interesse des Datenverarbeiters oder eines Dritten, es sei denn die Interessen des Betroffenen überwiegen.
Aufwertung des legitimen Interesses
Dies führt zu einer noch höheren Bedeutung der vor einer Datenverarbeitung vorzunehmen Selbsteinschätzung in den Unternehmen. Diese Aufgabe wird dadurch erschwert, dass es hinsichtlich der häufig relevanten Interessenabwägung zunächst keine Rechtsprechung zur Orientierung zur Verfügung steht. Der europäische Gesetzgeber hat es versäumt, gerade dem modernen Werbetargeting, Big Data Anwendung, Industrie 4.0, Smart Home, Connect Car und dem Internet der Dinge klare Vorgaben an die Hand zu geben. Nun liegt der Ball wieder im Feld der Unternehmen: Es gilt die weiten Auslegungsspielräume durch fundierte Begründungen zu nutzen.
Immerhin enthalten die Erwägungsgründe Hinweise darauf, wann ein legitimes Interesse gegeben sein kann, so etwa bei einer Datenverarbeitung zu Zwecken der:
- Betrugsprävention (Erwägungsgrund 38)
- IT-Sicherheit (Erwägungsgrund 39)
- Direktmarketing (Erwägungsgrund 38)
- Konzerninterne Verwaltung (Erwägungsgrund 38a)
Während damit zumindest auf Umwegen so etwas wie ein Konzernprivileg eingeführt wird, fällt auf, dass die oben genannten neuen Erscheinungen der IT-Welt, wie Big-Data und SmartHome nicht als Beispiele für legitimes Interesse genannt werden. Es kommt damit in jedem Einzelfall darauf an, wie die an sich „neutralen“ Technologien genutzt werden.
Bei der Abwägung sollen im Übrigen in Zukunft die „berechtigten Erwartungen“ der Betroffenen eine Rolle spielen. Hier muss sich erst noch zeigen, wie dieses neue Kriterium in der Praxis gehandhabt wird.
Bis zum Inkrafttreten der DS-GVO sollte daher für jede Datenverarbeitung analysiert werden, auf welchen Erlaubnistatbestand diese in Zukunft gestützt werden kann und ob hinreichend valide Argumente für ein überwiegendes Interesse vorliegen.
Fazit
Die DS-GVO enthält zu viele Detailregelungen um vorliegend auf sämtliche Aspekte einzugehen. Aus den vorgestellten Änderungen lässt sich folgendes Fazit ziehen: Angesichts der neuen hohen Bußgelder und der vielen Umstellungen im materiellen Recht sollte frühzeitig mit der Prüfung begonnen werden, welche Änderungen in den Datenverarbeitungsprozessen im Unternehmen notwendig sein werden und welcher zusätzliche Aufwand betrieben werden muss. Viele der bisherigen Leitfäden der Aufsichtsbehörden, wie etwa die des Düsseldorfer Kreises, können kaum noch herangezogen werden. Etwas Anderes dürfte für die Opinions der Art. 29 Data Protection Working Party gelten, die sich häufig an den überkommenen Erlaubnistatbeständen der alten Richtlinie 46/95 orientiert haben, die nun teilweise wortlautidentisch in die neue DS-GVO übernommen wurde. Es bleibt mit Spannung abzuwarten, ob bis zum Inkrafttreten der DS-GVO weitere Guideline-Papiere der Aufsichtsbehörden entstehen werden.