Die EU - Daten­schutz­grund­verord­nung – Was bleibt? Was ändert sich?

Was bleibt?

Die DSGVO führt die bekannten Grundsätze des Verbots mit Erlaubnisvorbehalt, der Datensparsamkeit und Datenvermeidung, der Zweckbindung der Datenverarbeitung und der Transparenz fort. Als wesentliche Grundsätze sind die Rechtmäßigkeit der Datenverarbeitung, die Verarbeitung nach Treu und Glauben, die Zweckbindung, die Datenminimierung, die Richtigkeit der Daten, die Begrenzung der Speicherdauer, die Integrität und Vertraulichkeit und die Rechenschaftspflicht des Verantwortlichen in Artikel 5 DSGVO normiert. Vergleichbar mit den §§ 28 ff des Bundesdatenschutzgesetzes (BDSG), sieht die DSGVO in Artikel 6 die Datenverarbeitung auf Grundlage der Einwilligung des Betroffenen, zur Vertragserfüllung und auf Grundlage berechtigter Interessen vor. Auch die Bestellung eines Datenschutzbeauftragten nach Artikel 37 bis 39 DSGVO, die Möglichkeit der Auftragsdatenverarbeitung nach Artikel 28 DSGVO und die Pflicht zur Führung eines Verzeichnisses über die Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO sind im Grundsatz geblieben.

Was ändert sich?

Die DSGVO bringt umfangreiche Änderungen mit sich, die bei der Verarbeitung personenbezogener Daten zu berücksichtigen sein werden. So werden der in Artikel 3 DSGVO geregelte räumliche Anwendungsbereich sowie die in den Artikeln 12 bis 23 und 77 bis 79 DSGVO aufgeführten Betroffenenrechte erweitert. In den Artikeln 6 bis 10 DSGVO sind teilweise neue Voraussetzungen normiert, nach denen die Verarbeitung von Daten rechtmäßig ist.

Insgesamt stellt die DSGVO stärker auf das Prinzip des risikobasierten Datenschutzes ab. In diesem Zusammenhang sind neue Grundsätze wie Privacy by design und Privacy by default, geregelt in Artikel 25 DSGVO, sowie erweiterte Nachweispflichten, die sich unter anderem aus den Artikeln 5, 24 und 82 DSGVO ergeben, spannend. Zertifizierungen nach Artikel 42 DSGVO, Standardklauseln nach den Artikeln 28 und 46 DSGVO und genehmigte Verhaltensregeln nach Artikel 40 DSGVO rücken in den Fokus unternehmerischer Datenschutzstrategien, um zukünftig die Einhaltung datenschutzrechtlicher Anforderungen nachzuweisen.

Im Folgenden werden wir diese Themen näher beleuchten:

1.   Erweiterter Räumlicher Anwendungsbereich
2.   Datenaustausch im Konzern
3.   Datenübermittlung in Drittländer
4.   Auftragsdatenverarbeitung
5.   Neue Betroffenenrechte und erweiterte Haftung
6.   Transparenzvorschriften, Datenschutzerklärung
7.   Der Datenschutzbeauftragte
8.   Dokumentations- und Nachweispflichten, Verzeichnis der Verarbeitungstätigkeiten, Zertifizierung
9.   Datenschutz-Folgeabschätzung, Konsultation der Aufsichtsbehörde
10.  Melde- und Benachrichtigungspflichten bei Datenschutzverstößen
11.  Verschärfte Sanktionen für Verstöße
12.  IT-Sicherheit, Privacy by design, Privacy by default

1. Erweiterter Räumlicher Anwendungsbereich

Die DSGVO statuiert einen weiten Anwendungsbereich, wobei an verschiedene Umstände angeknüpft wird:

Zunächst findet die DSGVO Anwendung, wenn im Rahmen der Tätigkeiten der Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU (Niederlassungsprinzip) personenbezogene Daten verarbeitet werden, Artikel 3 Absatz 1 DSGVO. Es kommt hier zukünftig auf den Ort der Niederlassung an und nicht auf den Ort der Datenverarbeitung.
Das Niederlassungsprinzip wird ergänzt durch das Marktortprinzip in Artikel 3 Absatz 2 DSGVO. Nach dem Marktortprinzip kann die DSGVO in zwei Konstellationen auch dann Anwendung finden, wenn der Verantwortliche oder der Auftragsverarbeiter nicht in der EU niedergelassen ist:

• Es werden Waren oder Dienstleistungen innerhalb der EU angeboten. Erfasst sind sowohl entgeltliche, als auch unentgeltliche Waren- und Dienstleistungsangebote. Es ist darauf abzustellen, ob offensichtlich beabsichtigt ist, Personen in der EU anzusprechen. Dies ist anhand einer Gesamtschau des Angebotes festzustellen. Nach Erwägungsgrund 23 der DSGVO können die Verwendung einer Sprache oder Währung eines Mitgliedsstaates in Verbindung mit der Möglichkeit, Waren oder Dienstleistung in dieser Sprache zu bestellen, sowie die Erwähnung von Kunden oder Nutzern in der EU darauf schließen lassen, dass sich das Angebot an EU-Bürger richtet. Auch die standardmäßige Möglichkeit der Lieferung von Waren in einen Mitgliedsstaat dürfte hierfür ausreichen. 
• Die Datenverarbeitung dient dem Zweck, das Verhalten von natürlichen Personen in der EU zu beobachten.
  

In diesem Zusammenhang ist die Vorschrift des Artikels 27 Absatz 1 DSGVO von Relevanz. Unternehmen, die nach dem Marktortprinzip unter die Anwendung der DSGVO fallen, müssen grundsätzlich einen EU-Vertreter bestellen, sofern sie nicht nur gelegentlich Daten verarbeiten und so lange keine besonderen personenbezogenen Daten im Sinne des Artikel 9 DSGVO, wie z.B. Gesundheitsdaten, Daten über Religion, ethnische Herkunft oder Daten über strafrechtliche Verurteilungen, verarbeitet werden.

EU-Vertreter ist nach Artikel 4 Absatz 17 DSGVO eine in der EU niedergelassene natürliche oder juristische Person, die das Unternehmen bei der Ausübung seiner Pflichten nach der DSGVO vertritt und den Aufsichtsbehörden als Anlaufstelle dient.

2. Datenaustausch im Konzern

Die DSGVO erleichtert den Datenaustausch im Konzern. Nach Artikel 6 DSGVO ist die Datenverarbeitung zur Wahrung berechtigter Interessen der Verantwortlichen oder eines Dritten zulässig, sofern die Interessen des Betroffenen nicht überwiegen. Erwägungsgrund 48 sieht vor, dass die Übermittlung personenbezogener Daten in einer Unternehmensgruppe insbesondere für interne Verwaltungszwecke ein solches berechtigtes Interesse darstellt. Zu beachten ist jedoch, dass für die Datenübermittlung an konzernangehörige Unternehmen in Drittländern die speziellen Anforderungen der Artikel 44 ff der DSGVO (s. unten) gelten.

3. Datenübermittlung in Drittländer

Die Datenübermittlung in Drittländer oder an internationale Organisationen richtet sich nach den Artikeln 44 bis 50 DSGVO.

Nach Artikel 45 DSGVO ist die Datenübermittlung zum einen möglich, wenn die EU-Kommission für dieses Land, ein Gebiet oder spezifische Sektoren in dem Drittland einen Angemessenheitsbeschluss erlassen hat, der attestiert, dass in dem Drittland ein angemessenes Datenschutzniveau herrscht. Unter dem bisherigen Recht hat die EU-Kommission Andorra, Argentinien, Kanada, Faroer Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, die Schweiz und Uruguay als Staaten mit vergleichbarem Datenschutzniveau anerkannt. Die zugrunde liegenden Beschlüsse bleiben zunächst bis zu einer ändernden, ersetzenden oder aufhebenden Entscheidung der EU-Kommission in Kraft.

Liegt für das betreffende Drittland kein Angemessenheitsbeschluss der EU-Kommission vor, dürfen personenbezogene Daten nach Artikel 46 DSGVO an das Drittland oder die internationale Organisation übermittelt werden, wenn ausreichende Garantien für ein angemessenes Datenschutzniveau gegeben sind und den betroffenen Personen wirksame und durchsetzbare Rechte und Rechtsbehelfe zur Verfügung stehen. Hier sieht Artikel 46 Absatz 2 DSGVO folgende Möglichkeiten vor:

• Genehmigte verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) nach Artikel 47 DSGVO,
• EU-Standarddatenschutzklauseln, 
• genehmigte Standardschutzklauseln, 
• genehmigte Verhaltensregeln nach Artikel 40 DSGVO, zusammen mit einer rechtsverbindlichen und durchsetzbaren Verpflichtung des Verantwortlichen, die geeigneten Garantien anzuwenden,
• genehmigte Zertifizierungsmechanismen nach Artikel 42 DSGVO, zusammen mit einer rechtsverbindlichen und durchsetzbaren Verpflichtung des Verantwortlichen, die geeigneten Garantien anzuwenden.
  

In diesen Fällen ist keine gesonderte Genehmigung der Datenübermittlung durch die Aufsichtsbehörden erforderlich.

Mit Zustimmung der Aufsichtsbehörde kann eine Datenübermittlung erfolgen, wenn entsprechende Vertragsklauseln vereinbart wurden.

Nach Artikel 49 DSGVO kann eine Datenübermittlung in ein Drittland zudem unter anderem auf folgenden Grundlagen basieren:

• Ausdrückliche Einwilligung der betroffenen Person nach umfassender Information über die Risiken,
• Datenübermittlung zur Erfüllung eines Vertrages mit dem Verantwortlichen oder zur Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person, 
• Datenübermittlung zum Zwecke des Abschlusses oder der Erfüllung eines von dem Verantwortlichen im Interesse der betroffenen Person geschlossenen Vertrages, 
• Datenübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

In diesen Fällen ist nach Artikel 49 Absatz 6 DSGVO im Verzeichnis der Verarbeitungstätigkeiten ausdrücklich zu dokumentieren, mit welchen Risiken die Datenübermittlung behaftet ist und welche Garantien zur Herstellung eines angemessenen Datenschutzes im Drittstaat getroffen wurden. Nach Artikel 49 Absatz 5 DSGVO können die EU oder Mitgliedstaaten ausdrückliche Beschränkungen bei der Übermittlung bestimmter Kategorien von Daten an Drittländer vorsehen.

Ein Hinweis speziell für die Datenübermittlung in die USA:

Bis zur Entscheidung des EUGH im Oktober 2015 erfolgte die Datenübermittlung in die USA häufig auf Grundlage des Safe Harbor Abkommens. Im Oktober 2015 hat der EUGH in einem Verfahren gegen Facebook entschieden, dass die Datenübermittlung in die USA auf Grundlage des Safe Harbor Abkommens nicht zulässig ist. Die Rechtslage in den USA gewährleistet nach Ansicht des EUGH keinen angemessenen Datenschutz, insbesondere im Hinblick auf den Zugriff von US-Behörden auf personenbezogene Daten aus der Europäischen Union. Zudem hat der EUGH fehlende Rechtschutzmöglichkeiten bemängelt. In der Folge hat eine Vielzahl von Unternehmen die Datenübermittlung in die USA auf EU-Standardvertragsklauseln gestützt. Dieses Vorgehen wird jedoch derzeit ebenfalls in Frage gestellt, denn die Datenübermittlung in die USA auf Grundlage der EU-Standardvertragsklauseln wird wohl noch vom EUGH überprüft werden (mehr hierzu). Auch das zwischen den USA und der EU bislang verhandelte EU-US Privacy Shield, welches das Safe Harbor Abkommen ersetzen soll, bedarf nach einem Beschluss des EU-Parlaments noch erheblicher Nachbesserung. Auch der oberste Europäische Datenschutzbeauftragte sieht noch Handlungsbedarf, bis eine darauf gestützte Datenübermittlung erfolgen kann. Damit verbleibt die Datenübermittlung in die USA auch zukünftig mit Rechtsunsicherheit behaftet.

4. Auftragsdatenverarbeitung

Ebenso wie Artikel 11 BDSG sieht auch die DSGVO die Möglichkeit der Datenverarbeitung im Auftrag vor, Artikel 28 DSGVO. Hierbei verarbeitet der Auftragsverarbeiter im Zusammenhang mit einem Auftrag und auf Grundlage eines separaten Vertrages Daten im Auftrag des Verantwortlichen.

Nach Artikel 28 Absatz 3 DSGVO muss dieser Vertrag schriftlich oder elektronisch geschlossen werden und Ausführungen zu folgenden Punkten enthalten:

• Gegenstand und Dauer der Verarbeitung, 
• Art und Zweck der Verarbeitung, 
• Art der personenbezogenen Daten, 
• Kategorien betroffener Personen, 
• Rechte und Pflichten des Verantwortlichen, 
• Festlegungen, dass die Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden, 
• Festlegung, dass
  - Unterbeauftragungen nur mit vorheriger Genehmigung des Verantwortlichen erfolgen dürfen,
  - der Unterbeauftragte die Anforderungen der DSGVO einhalten muss,
  - beabsichtigte Änderungen dem Verantwortlichen mitzuteilen sind, wobei diesem ein Einspruchsrecht zusteht,
• Regelung der in Artikel 32 der DSGVO geregelten technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz der Datenverarbeitungsvorgänge, 
• Klausel zur Verschwiegenheitspflicht der mit der Datenverarbeitung betrauten Mitarbeiter, 
• Pflicht des Auftragsverarbeiters,
  - den Verantwortlichen bei der Einhaltung seiner Verpflichtungen gegenüber den Betroffenen und den Aufsichtsbehörden zu unterstützen,
  - ihm alle Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung zu stellen,
  - sowie dem Verantwortlichen oder einem beauftragten Prüfer Überprüfungen und Inspektionen zu ermöglichen,
• Pflicht zur Rückgabe oder Löschung der Daten nach Abschluss der Auftragsverarbeitung.

Die EU-Kommission oder die Aufsichtsbehörden können hierzu gemäß Artikel 28 Absatz 7 und 8 DSGVO Standardvertragsklauseln festlegen.

Nach wie vor ist der Verantwortliche dafür zuständig, bei der Wahl des Auftragsverarbeiters eine hinreichende Sorgfalt an den Tag zu legen. Allerdings sieht Artikel 28 Absatz 5 DSGVO nun explizit die Möglichkeit vor, Zertifizierungen nach Artikel 42 DSGVO oder genehmigte Verhaltensregeln nach Artikel 40 DSGVO als Nachweis für die Qualifizierung des Auftragsverarbeiters heranzuziehen.

Die wichtigste Neuerung in dem Bereich ist wohl die Haftung des Auftragsverarbeiters nach Artikel 82 Absatz 2 DSGVO für materielle und immaterielle Schäden von Betroffenen, die daraus resultieren, dass er seinen Pflichten aus der DSGVO nicht nachkommt oder nicht nach den Anweisungen des Verantwortlichen gehandelt hat.

5. Neue Betroffenenrechte und erweiterte Haftung

Die DSGVO sieht neue und teilweise erweiterte Rechte des Betroffenen vor.

So erweitert Artikel 15 DSGVO das aus § 34 BDSG bekannte Auskunftsrecht der betroffenen Personen. Neben den bisher bekannten Auskünften zu 

• Inhalt und Herkunft der gespeicherten Daten, 
• Empfängern oder die Kategorien von Empfängern der Daten und 
• den Zweck der Speicherung
  

sind nun auch Informationen zur

• Speicherdauer und den dafür festgelegten Kriterien,
• den Rechten des Betroffenen (Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Beschwerderecht bei der Auskunftsbehörde),
• Datenübermittlung an Drittstaaten und geeigneten Garantien zur Sicherstellung eines angemessenen Datenschutzniveaus

bereitzustellen.

Der Umfang der Auskunftserteilung richtet sich nun nicht mehr nach dem Zweck der Datenverarbeitung. Besondere Anforderungen bestehen nach Artikel 15 Absatz 1 h DSGVO lediglich beim Einsatz von Verfahren der automatisierten Entscheidungsfindung, wie Profiling.

Artikel 15 Absatz 3 DSGVO sieht vor, dass eine Kopie der gespeicherten Daten dem Betroffenen kostenlos zur Verfügung zu stellen ist. Für weitere Kopien kann nun ein Entgelt auf Grundlage der Verwaltungskosten verlangt werden.
Nach Artikel 16 DSGVO besteht ein Recht auf Berichtigung unrichtiger und Vervollständigung unvollständiger Daten.

Artikel 17 DSGVO statuiert das Konzept des „Rechts auf Vergessenwerden“. Auf Verlangen des Betroffenen sind dessen personenbezogene Daten unverzüglich zu löschen, sofern einer der in Artikel 17 DSGVO aufgeführten Gründe zutrifft. So sind die Daten unter anderem dann zu löschen, wenn sie für den Verarbeitungsvorgang nicht mehr erforderlich sind oder wenn die Einwilligung widerrufen wird und keine andere Rechtsgrundlage für die Verarbeitung vorliegt. Hat der Verantwortliche Daten öffentlich gemacht, so muss er aktiv Dritte, die die Daten nutzen, über das Löschbegehren informieren.

Unter bestimmten Voraussetzungen, die in Artikel 18 DSGVO festgelegt sind, ist die Datenverarbeitung einzuschränken. Artikel 21 DSGVO sieht zudem ein Widerspruchsrecht des Betroffenen vor.

Neu eingeführt wurde das Recht auf Datenübertragbarkeit, Artikel 20 DSGVO. Erfolgte die Verarbeitung aufgrund einer Einwilligung oder mithilfe automatisierter Verfahren, so sind die Daten dem Betroffenen auf Anfrage in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen. Soweit dies technisch machbar ist, sind die Daten auf Anforderung durch den Betroffenen direkt einem anderen Verantwortlichen zu übermitteln.

Mit der DSGVO wurden auch die Schadensersatzansprüche der Betroffenen erweitert. Verantwortliche und Auftragsverarbeiter haften nun nach Artikel 82 DSGVO für alle materiellen und immateriellen Schäden der Betroffenen, die aus einem Verstoß gegen die Verordnung resultieren. Die neuen Regelungen führen zu einer erheblichen Erweiterung der Schadensersatzverpflichtungen. Die bisherige Rechtslage sieht Schadensersatzansprüche im Regelfall nur bei materiellen Schäden vor. Ersatz für immaterielle Schäden wurde nur in solchen Fällen zugesprochen, in denen es zu einer schwerwiegenden Rechtsverletzung mit hoher Eingriffsintensität gekommen ist.

Betroffenen steht nach Artikel 77 DSGVO ein Recht auf Beschwerde bei einer Aufsichtsbehörde zu und nach Artikel 79 DSGVO ein Recht auf wirksamen gerichtlichen Rechtsbehelf, wenn ihr zustehende Rechte aus der DSGVO verletzt wurden.

6. Transparenzvorschriften, Datenschutzerklärung

Ein wesentlicher Grundsatz der DSGVO ist die Transparenz der Datenverarbeitung für den Betroffenen. Artikel 12, 13 und 14 DSGVO sehen deshalb umfangreiche Informationspflichten des Verantwortlichen vor:

Den Betroffenen sind nach Artikel 13 DSGVO bei Erhebung der Daten alle wesentlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Insbesondere sind die Betroffenen über

• den Namen und die Kontaktdaten des Verantwortlichen, 
• die Kontaktdaten des Datenschutzbeauftragten, 
• die Zwecke und die Rechtsgrundlage (NEU) der Verarbeitung, 
• die Empfänger oder Kategorien der Empfänger der Daten (NEU),
• die geplante Übermittlung an Drittländer einschließlich eines Verweises auf die bestehenden Garantien, die ein ausreichendes Datenschutzniveau sicherstellen (NEU),
• die Speicherdauer bzw. die Kriterien für die Festlegung der Speicherdauer (NEU), 
• das Bestehen einer gesetzlichen oder vertraglichen Pflicht zur Bereitstellung der Daten und die Folgen die Nichtbereitstellung

und über ihre Rechte (NEU),

• Auskunft nach Artikel 15 DSGVO, 
• Berichtigung nach Artikel 16 DSGVO, 
• Löschung nach Artikel 17 DSGVO, 
• Einschränkung der Verarbeitung nach Artikel 18 DSGVO, 
• Widerspruch nach Artikel 21 DSGVO, 
• Datenübertragung nach Artikel 20 DSGVO, 
• Widerruf der Einwilligung nach Artikel 7 Abs. 3 DSGVO,
• Beschwerde bei der Auskunftsbehörde nach Artikel 77 DSGVO
  

zu informieren.

Sind die Daten Ausgangspunkt für eine automatisierte Entscheidungsfindung, einschließlich Profiling, müssen 

• Informationen über die involvierte Logik (NEU) und 
• die Auswirkungen für die betroffene Person (NEU)

angegeben werden.

Besteht die Absicht, die Daten zu anderen Zwecken weiterzuverarbeiten (NEU), sind die Betroffenen ebenfalls vorab darüber zu informieren.

Bisherige Datenschutzerklärungen, insbesondere im Online-Bereich, können weiter verwendet werden. Diese sind jedoch um die zusätzlichen neuen Pflichtangaben zu ergänzen.

7. Der Datenschutzbeauftragte

Anders als bislang ist die Bestellung eines Datenschutzbeauftragten nach Artikel 37 DSGVO nur unter engen Voraussetzungen verpflichtend. Insbesondere ist dann ein Datenschutzbeauftragter zu bestellen, wenn 

• die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund Art, Umfang oder Zweck eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder 
• besondere Kategorien von Daten in großem Umfang verarbeitet werden.
  

Allerdings ist zu beachten, dass nach Artikel 37 Abs. 4 DSGVO ein Datenschutzbeauftragter darüber hinaus dann zu bestellen ist, wenn dies nach dem Recht der Mitgliedsstaaten vorgesehen ist. Hier eröffnet die DSGVO konkrete gesetzliche Ausgestaltungsspielräume für die Mitgliedsstaaten. Die auf dieser Basis erlassenen nationalen Regelungen sind jedenfalls von den Verantwortlichen, die eine Niederlassung in dem jeweiligen Mitgliedsland betreiben, zu berücksichtigen. Daraus folgt: Sofern § 4 f BDSG nicht durch den deutschen Gesetzgeber aufgehoben oder ersetzt wird, bleibt es in Deutschland bei den bisherigen Voraussetzungen für die Pflicht der Bestellung eines Datenschutzbeauftragten. Es empfiehlt sich daher, personelle oder organisatorische Maßnahmen erst dann zu ergreifen, wenn klar ist, wie sich der nationale Gesetzgeber positionieren wird.

Zu den Aufgaben des Datenschutzbeauftragten zählen nach Artikel 39 DSGVO: 

• Die Unterrichtung und Beratung des Verantwortlichen, des Auftragsverarbeiters und der Beschäftigten zu den Pflichten nach der DSGVO sowie den Durchführungsvorschriften der EU und der Mitgliedsstaaten, 
• die Überwachung und Überprüfung der Einhaltung der datenschutzrelevanten Vorschriften,
• die Überwachung und Überprüfung der Datenschutzstrategien des Verantwortlichen oder Auftragsverarbeiters,
• die Sensibilisierung und Schulung der Mitarbeiter, 
• die Beratung bei der Datenschutz-Folgeabschätzung und die Überwachung ihrer Durchführung, 
• die Zusammenarbeit mit der Aufsichtsbehörde, einschließlich der Funktion als Anlaufstelle für die Aufsichtsbehörden.
  

Abweichend vom geltenden Recht sieht Artikel 37 Absatz 2 DSGVO ausdrücklich vor, dass eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten bestellen kann.

8. Dokumentations- und Nachweispflichten, Verzeichnis der Verarbeitungstätigkeiten, Zertifizierung

Die DSGVO sieht an mehreren Stellen Nachweispflichten des Verantwortlichen vor, z. B. 

• Einhaltung der in Artikel 5 Absatz 1 DSGVO geregelten Grundsätze der Rechtmäßigkeit, Transparenz und Sicherheit der Datenverarbeitung, Artikel 5 Absatz 2 DSGVO, 
• Erteilung einer Einwilligung in die Datenverarbeitung durch den Betroffenen, Artikel 7 Absatz 1 DSGVO,
• Eingeschränkte Betroffenenrechte, wenn der Verantwortliche nachweisen kann, dass er den Betroffenen nicht identifizieren kann, Artikel 11 Absatz 2 DSGVO,
• Eingeschränkte Auskunftspflichten, wenn der Verantwortliche nachweisen kann, dass der Betroffene offenkundig unbegründete oder exzessive Auskunftsanträge stellt, Artikel 12 DSGVO,
• Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der Datenverarbeitungsvorgänge, einschließlich der IT-Sicherheitsmaßnahmen, Artikel 24 und 32 DSGVO,
• Sicherstellung, dass der Auftragsverarbeiter hinreichende Garantien für eine verordnungskonforme Datenverarbeitung bietet, Artikel 28 Absatz 5 DSGVO,
• Zulässigkeit der Datenübermittlung in Drittländer, da ein ausreichendes Datenschutzniveau garantiert ist, Artikel 40 Absatz 3, Artikel 42 Absatz 2, Artikel 46 Absatz 1 f DSGVO.
  

Diese Nachweispflichten sind in den folgenden Konstellationen von hoher praktischer Relevanz:

• Schadensersatzpflicht: Nach Artikel 82 Absatz 3 DSGVO tragen der Verantwortliche und der Auftragsverarbeiter im Falle von Schadensersatzforderungen betroffener Personen wegen eines Verstoßes gegen die Verordnung die Beweislast dafür, nicht für den Schadenseintritt verantwortlich zu sein. 
• Kooperation mit der Aufsichtsbehörde: Auf Verlangen der zuständigen Aufsichtsbehörde, z. B. bei Datenschutzüberprüfungen oder im Falle eines vermeintlichen Verstoßes, ist die Einhaltung der Vorschriften der DSGVO nachzuweisen, die Datenverarbeitungsvorgänge sowie die technischen und organisatorischen Schutzmaßnahmen sind der Behörde offenzulegen. Kann der Nachweis nicht erfolgen, haben die Aufsichtsbehörden die Möglichkeit, Sanktionen zu Lasten des Betroffenen oder Auftragsverarbeiters zu erlassen, Artikel 58, 83 DSGVO. 
• Höhe von Geldbußen: Liegt tatsächlich ein relevanter Verstoß gegen die DSGVO vor, müssen die Aufsichtsbehörden nach Artikel 83 DSGVO bei der Festlegung der Höhe einer Geldbuße unter anderem berücksichtigen, in welchem Umfang mit der Aufsichtsbehörde kooperiert wurde und in welchem Maße der Verantwortliche oder der Auftragsverarbeiter verantwortlich sind. Hierbei ist insbesondere zu berücksichtigen, welche Maßnahmen zum Schutz der Datenverarbeitungsvorgänge getroffen und nachgewiesen wurden.
  

Wie die Nachweise zu führen sind schreibt die DSGVO nicht im Einzelnen vor. Den Verantwortlichen und Auftragsverarbeitern wird durch die DSGVO jedoch explizit die Möglichkeit eingeräumt, Datenverarbeitungs­vorgänge durch akkreditierte Zertifizierungsstellen zertifizieren zu lassen (Artikel 42, 43 DSGVO) oder die Anforderungen durch Einhaltung genehmigter Verhaltensregeln (Artikel 40 und 41 DSGVO) nachzuweisen. Vor diesem Hintergrund wird das Thema Zertifizierung in den kommenden Jahren erheblich an Bedeutung gewinnen.
Datenschutzspezifische Zertifikate, Siegel und Prüfzeichen können nach Artikel 43 DSGVO von akkreditierten Zertifizierungsstellen oder von der Aufsichtsbehörde erteilt werden. Sämtliche zugelassenen Zertifizierungs­verfahren, Datenschutzsiegel und Datenschutzprüfzeichen werden vom Europäischen Datenschutzausschuss in ein Register aufgenommen und veröffentlicht. Dies bietet Verantwortlichen Sicherheit im Hinblick auf die Vertrauenswürdigkeit des Zertifikats und der Zertifizierungsstelle.

Verhaltensregeln im Sinne des Artikel 40 DSGVO sollen von branchenspezifischen Verbänden oder Vereinigungen ausgearbeitet werden und zugeschnitten auf die Besonderheiten einzelner Verarbeitungsbereiche die Anforderungen der Verordnung konkretisieren. Hierbei soll insbesondere den Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen Rechnung getragen werden. Die Verhaltensregeln werden von den nationalen Aufsichtsbehörden oder vom Europäischen Datenschutzausschuss genehmigt und veröffentlicht.

Ein weiteres Mittel, um entsprechende Nachweise führen zu können, ist die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten. Artikel 30 Absatz 1 DSGVO sieht eine entsprechende Verpflichtung des Verantwortlichen vor. Ebenso wie beim bisher erforderlichen internen Verfahrensverzeichnis nach § 4 g Absatz 2 Satz 1 BDSG sind dort Angaben 

• zum Verantwortlichen und zum Datenschutzbeauftragten, 
• zu den Kategorien der verarbeiteten Daten und der betroffenen Personen, 
• zu den Zwecken der Verarbeitung, 
• zu den Kategorien der Empfänger der Daten, 
• zu der Übermittlung in Drittländer, 
• zu den vorgesehenen Löschfristen und
• wenn möglich zu den technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung
  zu treffen.
  

Auch der Auftragsverarbeiter muss nach Artikel 30 Absatz 2 DSGVO ein Verzeichnis aller Kategorien von im Auftrag durchgeführten Datenverarbeitungstätigkeiten führen, welches die

• Kategorien der Verarbeitungen, 
• den Namen und die Kontaktdaten des Auftragsverarbeiters und der Verantwortlichen, 
• auch die Übermittlungen an Drittländer und
• wenn möglich eine allgemeine Beschreibung der zum Zwecke der Datensicherheit getroffenen technischen und organisatorischen Maßnahmen
  

enthält.

Nach Artikel 30 Absatz 3 DSGVO ist das Verzeichnis schriftlich oder in elektronischem Format zu führen. Weitere Formvorschriften bestehen nicht.

Das Verzeichnis ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen. Eine Offenlegung von Teilen des Verzeichnisses an den Betroffenen, wie bisher in § 4 g Absatz 2 Satz 2 BDSG für das öffentliche Verfahrensverzeichnis normiert, entfällt. An dessen Stelle treten die umfassenden Informationspflichten der Artikel 13 und 14 DSGVO.

Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten besteht nach Artikel 30 Absatz 5 DSGVO nicht für Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern, sofern die Verarbeitung kein Risiko für den Betroffenen mit sich bringt, nicht nur gelegentlich erfolgt und keine besonderen Kategorien personenbezogener Daten verarbeitet werden. 

9. Datenschutz-Folgeabschätzung, Konsultation der Aufsichtsbehörde

Ergibt sich aus Art, Umfang, Umständen und Zwecken der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, besteht nach Artikel 35 DSGVO die Pflicht zur Durchführung einer Datenschutz-Folgeabschätzung. Diese soll es dem Verantwortlichen oder dem Auftragsverarbeiter ermöglichen, darüber zu entscheiden, welche Maßnahmen zum Schutz der Daten ergriffen werden müssen.

Bei der Beurteilung der Frage, ob ein hohes Risiko vorliegt, ist abzuwägen, welche Risiken Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugter Zugang zu den personenbezogenen Daten für den Betroffenen mit sich bringen können.  

• Ein hohes Risiko wird unter anderem dann angenommen, wenn ein erheblicher wirtschaftlicher, gesellschaftlicher oder physischer, materieller oder immaterieller Schaden für die Betroffenen droht, z. B. die Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl, Identitätsbetrug, finanzielle Verluste, Aufhebung der Pseudonymisierung, Rufschädigung und der Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten. Artikel 35 Absatz 3 DSGVO sieht diese Gefahr insbesondere beiumfassendem Profiling und auf diesem basierenden Scoring,
• der Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 und 10 DSGVO, z. B. Gesundheitsdaten, genetische Daten, biometrische Daten, Daten zu politischen Ansichten, sexueller Orientierung oder religiösen Überzeugungen oder
• der systematischen und umfangreichen Überwachung öffentlich zugänglicher Bereiche.
  

Im Rahmen der Datenschutz-Folgeabschätzung sind die Notwendigkeit der Datenverarbeitung und die Risiken für die Rechte der betroffenen Personen gegenüberzustellen und die erforderlichen Datenschutzmaßnahmen aufzuführen.

Stellt sich bei der Datenschutz-Folgeabschätzung heraus, dass ein so hohes Risiko besteht, dass mit den verfügbaren technischen und finanziellen Mitteln kein ausreichender Schutz der Daten gewährleistet werden kann, ist nach Artikel 36 DSGVO die Aufsichtsbehörde im Vorfeld der Datenverarbeitung zu konsultieren.

Die allgemeine Meldepflicht des § 4 d BDSG entfällt. 

10. Melde – und Benachrichtigungspflichten bei Datenschutzverstößen

Die DSGVO schreibt in den Artikeln 33 und 34 vor, welche Maßnahmen bei Verstößen gegen die DSGVO zu treffen sind.

Im Falle der Verletzung des Schutzes personenbezogener Daten ist nach Artikel 33 DSGVO unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung, die Aufsichtsbehörde zu informieren. Art und Umfang der Verletzungen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen sind zu dokumentieren. Die möglichst frühzeitige und umfassende Information der Aufsichtsbehörde sowie die ausreichende Dokumentation können sich nach Artikel 83 DSGVO unmittelbar auf die Höhe einer möglichen Geldbuße auswirken und sind daher im Interesse der Verantwortlichen.

Besteht ein hohes Risiko für die persönlichen Freiheiten und Rechte der betroffenen Personen, sind diese nach Artikel 34 DSGVO unverzüglich von der Verletzung zu benachrichtigen. Ein hohes Risiko ist nach Erwägungsgrund 85 DSGVO dann anzunehmen, wenn bei nicht rechtzeitiger oder angemessener Reaktion ein erheblicher wirtschaftlicher, gesellschaftlicher oder physischer, materieller oder immaterieller Schaden für die betroffenen Personen droht. Als Beispiele werden der drohende Kontrollverlust über die Daten, die Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl, Identitätsbetrug, finanzielle Verluste, Aufhebung der Pseudonymisierung, Rufschädigung und der Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten genannt. 

11. Verschärfte Sanktionen für Verstöße

Die DSGVO führt zu einer erheblichen Erhöhung der Bußgelder, die im Falle der Nichteinhaltung der Vorschriften drohen.

Bisher sah das BDSG Bußgelder von bis zu 300.000,00 Euro pro Einzelfall vor. Art 83 DSGVO erhöht dieses Bußgeld auf einen Betrag von bis zu 20.000.000,00 Euro oder 4 Prozent des globalen Jahresumsatzes des vorangegangenen Geschäftsjahres.

Die Geldbuße wird im Einzelfall festgelegt und soll wirksam, verhältnismäßig und abschreckend sein. Hierbei soll die Aufsichtsbehörde festgelegte Kriterien berücksichtigen, die sich auf die Höhe der zu verhängenden Geldbuße auswirken. So kommt es unter anderem auf

• die Art, Schwere und Dauer des Verstoßes, 
• die Kategorien der betroffenen Daten, 
• vorsätzliches oder fahrlässiges Handeln,
• die zur Schadensminderung getroffenen Maßnahmen, 
• einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters, 
• die Einhaltung früherer angeordneter Maßnahmen, 
• die Art und Weise, auf die der Verstoß der Aufsichtsbehörde bekannt wurde sowie
• den Umfang der Zusammenarbeit mit der Aufsichtsbehörde
  

an.

Reduzierend wirkt sich unter anderem der Nachweis ausreichender technischer und organisatorischer Maßnahmen zum Schutz der Daten aus. Hierbei werden z. B. die bereits angesprochenen Grundsätze Privacy by design, Privacy by default, Zertifizierung und Einhaltung genehmigter Verhaltensregeln zu Gunsten des Verarbeiters berücksichtigt. So können Verantwortliche bereits durch Implementierung angemessener und sicherer Datenverarbeitungsvorgänge die Höhe einer Geldbuße erheblich beeinflussen.

Weitere Sanktionen können von den Mitgliedsstaaten bestimmt werden. 

12. IT-Sicherheit, Privacy by design, Privacy by default

Die DSGVO legt einen stärkeren Fokus auf das Thema technischer Datenschutz und IT-Sicherheit.

Artikel 32 DSGVO sieht vor, dass in Abhängigkeit von dem jeweiligen Schutzbedarf konkrete Sicherheitsmaßnahmen zu implementieren sind. Die erforderlichen technischen und organisatorischen Maßnahmen umfassen:

• Pseudonymisierung und Verschlüsselung von Daten, 
• Maßnahmen zur dauerhaften Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der mit der Datenverarbeitung befassten Systeme und Dienste,
• Maßnahmen, die es ermöglichen, im Falle eines physischen oder technischen Zwischenfalls die personenbezogenen Daten und den Zugang zu ihnen rasch wiederherzustellen,
• Maßnahmen, die sicherstellen, dass Daten nur auf Anweisung des Verantwortlichen verarbeitet werden und
• das Aufsetzen eines Verfahrens, anhand dessen die Sicherheit der Datenverarbeitung regelmäßig überprüft, bewertet und evaluiert wird.

Bei der Ermittlung des individuellen Schutzbedarfs ist darauf abzustellen, welche Risiken Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugter Zugang zu den personenbezogenen Daten für den Betroffenen mit sich bringen.

Nach Artikel 25 DSGVO sollen die Grundsätze des Datenschutzes bereits bei der Implementierung und Entwicklung von Produkten, Diensten, Anwendungen und technischen Prozessen, die personenbezogene Daten verarbeiten, berücksichtigt werden (Privacy by design). Durch entsprechende technische Implementierung soll sichergestellt werden, dass

• nur bestimmte Daten erhoben werden, 
• diese schnellstmöglich pseudonymisiert und verschlüsselt und 
• diese nur in dem erforderlichen Umfang verarbeitet werden, 
• sie nach Ablauf der Speicherfrist gelöscht werden und 
• nur bestimmte Personen Zugriff auf die Daten haben.

Der Grundsatz der datenschutzfreundlichen Voreinstellungen (Privacy by default) in Artikel 25 DSGVO sieht vor, dass IT-Systeme und Anwendungen so voreingestellt sind, dass sie nur solche personenbezogene Daten verarbeiten, deren Verarbeitung für den jeweils verfolgten Zweck erforderlich sind.

Diese Grundsätze sollten als zukunftsweisende Grundentscheidung für die Verantwortlichen von großem Interesse sein. Denn die DSGVO lässt hiermit deutlich pragmatische Ansätze erkennen: Prävention statt nachgelagerter Abhilfe, Datenschutz per Default, Einbettung von Datenschutz und Datensicherheit im Design, volle Funktionalität, Schutz über den gesamten Lebenszyklus, Sichtbarkeit und Transparenz, Respektieren der Privatspähe des Nutzers. Wird bereits auf technischer Ebene für eine Minimierung der zu verarbeitenden Daten und ihren Schutz durch technische und organisatorische Maßnahmen gesorgt, sinkt das Verarbeitungsrisiko für die Verantwortlichen erheblich.

Einen Katalog technischer und organisatorischer Maßnahmen, wie ihn bislang die Anlage zu § 9 Absatz 1 BDSG vorsah, gibt die DSGVO nicht vor. Welche konkreten Sicherheitsmaßnahmen getroffen werden müssen, ist anhand einer individuellen Analyse von Art, Umfang und Inhalt der verarbeiteten Daten, den Zwecken der Datenverarbeitung und den Umständen der Datenverarbeitung, einschließlich der jeweiligen Geschäftsprozesse, IT-Systeme, Anwendungen und Infrastrukturen festzustellen. Insofern bietet es sich für Unternehmen an, das Thema IT-Sicherheit und Privacy by design mit Hilfe entsprechender Compliance Audits, Zertifizierungen nach Artikel 42 DSGVO und Best Practice Guidelines anzugehen. Die DSGVO sieht auch die Möglichkeit vor, sich hierbei an genehmigte branchenspezifische Verhaltensregeln nach Artikel 40 DSGVO zu halten. 

Fazit

Die DSGVO beinhaltet neben altbekannten Grundsätzen des Datenschutzes auch neue Prinzipien, die einem präventiven und risikobasierten Ansatz entstammen. Durch Konzepte wie Privacy by design, Standardisierung und Zertifizierung erfolgt eine zunehmende Verlagerung datenschutzrechtlicher Anforderungen auf die technische Ebene, was auf einen zukünftig pragmatischeren Datenschutz hoffen lässt. Insoweit muss die DSGVO für Unternehmen nicht bloß als Anforderung, sondern Chance gesehen werden. Denn die erweiterten Möglichkeiten zu Sicherstellung und Nachweis der Erfüllung der datenschutzrechtlichen Anforderungen auf Basis von Standards und Zertifizierungen dürften dazu führen, dass die Kalkulation und Kontrolle von Risiken leichter handhabbar wird. Die damit gewonnene Sicherheit im Hinblick auf die Erfüllung datenschutzrechtlicher Anforderungen erweitert zudem das Potential datengetriebener Geschäftsmodelle.

Unternehmen sollten deshalb die Übergangsfrist bis zur Geltung der neuen Regelungen nicht nur dazu nutzen, die neuen Anforderungen umzusetzen, sondern auch ihre Chancen und Potentiale unter der DSGVO zu prüfen. 

Stand: Juni 2016