Beitrag von Peter Lotz, M.C.J. (NYU) Rechtsanwalt, Attorney-At-Law (N.Y.) MAYRFELD Rechtsanwälte & Attorneys-At-Law

Die neue EU Datenschutzgrundverordnung (DS-GVO) wurde am 14 April 2016 verabschiedet und ist ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten direkt anwendbares Recht. Die zentralen Themen im Überblick.

Auch wenn unser Blog erst seit Juni 2017 besteht, dürfen natürlich Beiträge über das, was oft als die ambitioniertesten und umfangreichsten Änderungen im Bereich des Datenschutzes in den letzten 20 Jahren weltweit bezeichnet wurde, nicht fehlen. Sich erst zu diesem späteren Zeitpunkt auf das Thema einzustimmen, gibt uns die Möglichkeit, über Grundsätzliches innezuhalten und die in der Praxis relevanten Aspekte aus den bisher verbreiteten Informationen zu destillieren. Wir wollen deshalb unsere Artikelserie zu diesem Thema mit einem Überblick beginnen, gefolgt von detaillierteren Artikeln über die einzelnen Parameter der neuen DS-GVO, die zu beachten sind, wenn man in der Praxis Datenschutz-Compliance in die Tat umsetzen muss.

Bei der Strukturierung eines rechtskonformen gesellschafts- oder konzerninternen Datenschutzregimes stellen die folgenden vier Grundprinzipien grundsätzliche Weichenstellungen dar, noch bevor man sich Gedanken über die weiteren Details der DS-GVO in der Umsetzung macht. Jedoch lehrt die Einbindung in tagtägliche Datenschutzangelegenheiten, dass Mandanten versucht sind, sofort auf die spezielleren Punkte zu fokussieren, mit einer Tendenz, die folgenden vier elementaren Grundsätze auszublenden:

  • Verbot mit Erlaubnisvorbehalt (Art. 6 DS-GVO)
  • Zweckbindung
  • Transparenzgebot
  • Datenvermeidung und Datensparsamkeit

Das Prinzip des Verbots mit Erlaubnisvorbehalt besagt, dass die Erhebung, Verarbeitung und Übermittlung von personenbezogenen Daten untersagt ist, sofern die in Art 6 DS-GVO geregelten Ausnahmetatbestände (wie z. B. Einwilligung) nicht greifen. Diese grundsätzliche Schranke wird in der Praxis oft übersehen und schafft einige Hürden – nicht zuletzt im Rahmen von Big Data-Anwendungen und Analyse. Mehr zu Big Data-Anwendungen (siehe auch Art. 23 DS-GVO) werden wir in einem gesonderten Artikel beleuchten.

Ebenso verlangt das Prinzip der Zweckbindung dem verarbeitenden Unternehmen bereits vor Implementierung eines Datenverarbeitungssystems ein klares Verständnis darüber ab, für welche Zwecke zukünftig Daten erhoben und verarbeitet werden sollen. Die mit dem Prinzip der Zweckbindung verbundenen Compliance-Anforderungen erfordern eine strategische Herangehensweise, sorgsame Kommunikation, sowie eine vorausschauende Strukturierung der Datenverarbeitungsprozesse, um spätere Beschränkungen bei der Auswertung vermeiden zu können.

Auch das Prinzip der Transparenz (Gebot zur Aufklärung von Betroffenen über Art und Umfang der Datenverarbeitung) wird oft als Limitierung zur effizienten Strukturierung interner Datenverarbeitungsprozesse und des Outsourcings von Datenverarbeitungsprozessen angesehen. Idealerweise nähert sich ein Unternehmen der Strukturierung interner Datenverarbeitungsprozesse nicht nur aus einer rein technischen Perspektive, sondern auch im Hinblick auf Kommunikation und Marketing nach Außen unter Berücksichtigung des Umfangs und der Art und Weise, in der Maßnahmen nach außen kommuniziert werden müssen bzw. kommunizierbar sind.

Die Prinzipien der Datenvermeidung und Datensparsamkeit stehen in engem Zusammenhang mit dem Prinzip der Zweckbindung. Breiter gefasste Zwecke mögen größere Flexibilität bei der Erhebung von personenbezogenen Daten erlauben, jedoch muss immer zwischen der tatsächlichen Notwendigkeit der Erhebung von Daten für einen bestimmten Zweck und den damit verbundenen Informationspflichten abgewogen werden. Hier schließt sich der Kreis zum Transparenzgebot. Wir haben erlebt, wie höchst differenzierte IT-Strukturen wegen fehlender Beachtung der obigen Prinzipien nochmals überdacht werden mussten, obwohl unternehmensseitig große Anstrengungen unternommen wurden, die spezielleren und mannigfaltigen europäischen Datenschutzanforderungen in der Planung zu berücksichtigen. Während die DS-GVO durchaus absolute Schranken bei der Verarbeitung personenbezogener Daten vorgibt, können dennoch in einer Vielzahl von Fällen Datenschutzangelegenheiten in der Praxis durch eine strukturierte, vorausschauende und strategische Herangehensweise vermieden werden.

Die DS-GVO ändert teilweise bestehende Regelungen und führt auf der anderen Seite völlig neue Regelungen zu den nachfolgenden zentralen Themen ein, die bei der Strukturierung von Datenverarbeitungsprozessen zu beachten sind:

Verbot mit Erlaubnisvorbehalt
Die Gebote der Identifizierung der Zwecke der Datenverarbeitung und deren Benennung gegenüber den Betroffenen sowie die Notwendigkeit der Einhaltung der zweckbestimmten Speicherungsfristen sind im wesentlichen nicht neu. Jedoch sind die Anforderungen zur Einholung einer Einwilligung beschwerlicher geworden. Diese wiederum korrelieren mit den umfangreichen Informations- und Transparenz-Anforderungen der DS-GVO. Auf der anderen Seite werden konzerninterne Datentransfers sowie das Direct Marketing nunmehr als berechtigte Interessen in den Erwägungsgründen der DS-GVO genannt.

Compliance
Unternehmensseitig erfordern die Compliance-Anforderungen der DS-GVO inbesondere, der Datenschutz-Compliance eine prominente Stelle in der internen Unternehmensorganisation einzuräumen, zwingend unterstützt durch Geschäftsführung und Vorstand, einen Datenschutzbeauftragten zu benennen, sowie die kontinuierlich Schulung von Datenschutzbeauftragen und mit der Datenverarbeitung befassten Mitarbeitern im Unternehmen.

Privacy by design und Datenschutz-Folgeabschätzungen
Die DS-GVO enthält neue Regelungen zur Herstellung des Datenschutzes im Wege der Implementierung technischer Maßnahmen (data protection by design), sowie zur Durchführung von Datenschutz-Folgeabschätzungen (data protection impact assessments) sofern die Form der Datenverarbeitung (insbesondere bei der Verwendung neuer Technologien) voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hat.

Verantwortungen und Compliance-Nachweise
Die DS-GVO etabliert umfangreiche und neue Dokumentations-Anforderungen. Ferner obliegt Datenverarbeitern nunmehr die Beweislast dafür, dass sie nach der DS-GVO notwendige Datenschutzmaßnahmen rechtskonform umgesetzt haben. In diesem Zusammenhang sind auch die Anforderungen an das “Recht auf Vergessenwerden” zu berücksichtigen. Unternehmen erhalten durch die DS-GVO diesbezüglich die Möglichkeit zur Einführung von Zertifizierungsverfahren und deren Genehmigung durch die Behörden.

Übertragung von personenbezogenen Daten
Die bereits bestehenden Rahmenbedingungen für die grenzüberschreitende Übertragung von personenbezogenen Daten wurde durch neue Anforderungen an Auftragsdatenverarbeiter, die Nutzung von verbindlichen internen Datenschutzvorschriften (sog. Binding Corporate Rules) bzw. spezielle Anforderungen in bestimmten Industriebereichen geändert.

Neue Regelungen zu gemeinsam für die Verarbeitung Verantwortliche und zu neuen Pflichten für Auftragsdatenverarbeiter
In Abweichung von den bisherigen Regelungen führt die DS-GVO nunmehr eine gemeinsame Verantwortlichkeit aller an einem Datenverarbeitungsprozess beteiligten verantwortlichen Stellen ein. Auch sind nach den neuen Regelungen der DS-GVO Auftragsdatenverarbeiter nunmehr für Rechtsverletzungen direkt verantwortlich.

Arbeitnehmerdatenschutz
Spätestens seit Einführung der Datenschutzrichtlinie bedarf die Verarbeitung von Arbeitnehmerdaten einiger Überlegungen. Das galt und gilt insbesondere für die grenzüberschreitende Übertragung von Arbeitnehmerdaten im Konzern. Unter der DS-GVO wird der Arbeitnehmerdatenschutz seine Prominenz nicht verlieren. Insbesondere verbleibt eine gewisse Komplexität, da die DS-GVO beim Arbeitnehmerdatenschutz Abweichungen durch das jeweilige nationale Recht der Mitgliedstaaten zulässt. Diesbezüglich wird eine enge Abstimmung mit Rechtsberatern im jeweiligen Mitgliedstaat erforderlich bleiben.

Der Punkt des Arbeitnehmerdatenschutzes bildet einen guten Übergang zur Problematik einer noch immer fehlenden vollständigen Harmonisierung des Datenschutzrechts innerhalb der EU-Mitgliedstaaten. Auch wenn die DS-GVO auf eine Vereinheitlichung der Datenschutzregeln in der EU abzielt, bietet sie den Mitgliedstaaten in einer Reihe von Fällen die Möglichkeit zur Abweichung durch spezielleres nationales Recht der Mitgliedstaaten. Aus diesem Grund wird auch zukünftig die rechtskonforme Strukturierung von EU-weiten Datenverarbeitungsprozessen insbesondere in den nachfolgenden Fällen eine zusätzliche Abstimmung mit den Regeln nationalen Rechts der betroffenen Mitgliedstaaten erfordern:

  • Definition des für die Datenverarbeitung Verantwortlichen (Art 4 (7) DS-GVO, Art 24 DS-GVO)
  • Verbot mit Erlaubnisvorbehalt / Anforderungen an Rechtmäßigkeit der Datenverarbeitung (Art 6 (2) DS-GVO)
  • Definition des Empfängers von personenbezogenen Daten (Art 4 (9) DS-GVO)
  • Mindestalter für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft (Art 8 (1) DS-GVO)
  • Verarbeitung besonderer Kategorien / sensitiver personenbezogener Daten (Art 9 DS-GVO)
  • Informationspflichten, wenn Daten nicht direkt beim Betroffenen erhoben werden (Art 14 (5)© und (d) DS-GVO)
  • Recht auf Löschung (Recht auf Vergessenwerden) (Art 17(1)(e) und (3)(b) DS-GVO)
  • Automatisierte Entscheidungen im Einzelfall (Art 22 (2) (b) DS-GVO)
  • Möglichkeiten zur Beschränkung von Betroffenenrechten (Art 23 (1) DS-GVO)
  • bestimmte Umstände der Auftragsdatenverarbeitung (Art 28 DS-GVO)
  • Datenverarbeitung unter der Aufsicht des Verantwortlichen oder Auftragsverarbeiters (Art 29 DS-GVO)
  • Datenschutz-Folgeabschätzung (data protection impact assessment) (Art 35 (10) DS-GVO)
  • Benennung eines Datenschutzbeauftragten (Art 37 (4) DS-GVO)
  • Vertretung von betroffenen Personen (Art 80 DS-GVO)
  • Verarbeitung der nationalen Kennziffer (Art 87 DS-GVO)
  • Datenverarbeitung im Beschäftigungskontext (Art 88 DS-GVO)
  • Geheimhaltungspflichten (Art 90 (1) DS-GVO).

Wir werden in weiteren Beiträgen im Rahmen unserer Artikelserie zur DS-GVO die oben genannten Grundprinzipien und zentralen Themen, als auch die Fragen der Harmonisierung und Anwendung nationalen (insb. deutschen) Rechts näher beleuchten sowie einige Gedanken über potentielle operative “To-Dos” sowie praktische Compliance-Erwägungen im Rahmen der Umsetzung der Verordnung mit Ihnen teilen.

Dieser Artikel enthält lediglich allgemeine Erwägungen zum beschriebenen Thema und stellt weder Rechtsberatung noch ein Angebot auf Erbringung von rechtlicher oder anderer Beratung dar. Durch das Besuchen dieser Webseite wird kein Mandatsverhältnis begründet. Die Bezeichnung “MAYRFELD” bezieht sich stets auf die MAYRFELD LLP. Die Bezeichnung “Partner” bezieht sich stets auf die Gesellschafter (members) der MAYRFELD LLP. Die  Haftung für diesen Artikel oder dessen Inhalts sämtlicher für MAYRFELD handelnden Personen, ganz gleich ob als Member, Partner, Gesellschafter, Angestellter oder Berater ist ausgeschlossen. Dieser Artikel dient lediglich der Information über bestimmte Rechtsentwicklungen. Er enthält keine vollständige Analyse der jeweiligen Rechtslage und stellt keine rechtlich verbindliche Stellungnahme der MAYRFELD LLP zur Rechtslage dar. Die Beantwortung von Fragen zur Rechtslage kann nur im Rahmen eines konkreten Mandatsverhältnisses erfolgen.

Weitere Informationen über MAYRFELD erhalten Sie unter www.mayrfeld.com.

Über den Autor Peter Lotz, M.C.J. (NYU) Rechtsanwalt, Attorney-At-Law (N.Y.) MAYRFELD Rechtsanwälte & Attorneys-At-Law
Peter Lotz ist Partner bei MAYRFELD. Er berät seit über 20 Jahren sowohl Fortune 500 als auch mittelständische Unternehmen aus dem In- und Ausland insbesondere im Zusammenhang mit der grenzüberschreitenden Entwicklung, Akquisition, Lizenzierung und Kommerzialisierung von neuartigen Technologien.
Alle Beiträge anzeigen