Die Datenschutz-Grundverordnung (DSGVO) – eine neue Zeitrechnung im Bereich des Datenschutzes?

Tim Philipp Schäfers*

(Diesen Artikel als PDF herunterladen)

 

Seit dem 24. Mai 2016 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft. Nach einer Übergangsfrist ist die DSGVO ab dem 25. Mai 2018 verbindlich von den Mitgliedsstaaten der Europäischen Union anzuwenden. Sie löst die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) aus dem Jahr 1995 ab. Mit dem Wechsel von einer Richtlinie zu einer Verordnung werden die neuen Regeln zum Datenschutz damit unmittelbar in allen Staaten der Europäischen Union gültig gem. Art 288 Abs. 2 S. 2. Wie ist die DSGVO in den Kontext der bisherigen Geschichte rund um den Datenschutz einzuordnen? Was bedeutet die DSGVO für die Rechte der Betroffenen in Deutschland? Welche Folgen wird die DSGVO für den Umgang mit Daten für Unternehmen haben? Welche Aspekte aus dem BDSG bleiben bestehen, welche werden durch die DSGVO ergänzt? Diese und weitere Fragen sollen in der vorliegenden Einordnung geklärt werden.

 

A. Einführung

I. Ursprünge und frühe Entwicklung des Datenschutzes in Deutschland

Datenschutz im rechtlichen Sinne wurde in Deutschland Ende der 1960er Jahre begründet. Das Land Hessen hat 1970 mit dem Hessisches Datenschutzgesetz (HDSG 1970) formal das älteste Datenschutzgesetz der Welt geschaffen. 1 Besonders hervorzuheben ist zudem ein Aufsatz von Ulrich Seidel mit dem Titel „Persönlichkeitsrechtliche Probleme der elektronischen Speicherung privater Daten“ 2 aus dem Jahr 1970, in dem erstmals ein Definitionsversuch des Begriffs „Datenschutz“ unternommen wurde. 1977 wurden unter dem Titel „Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung“ das erste Bundesdatenschutzgesetzes (BDSG 1977) erlassen, damit wurden bundesweite Regeln für den Umgang und die Verarbeitung von personenbezogenen Daten geschaffen. Eine Nutzung von Daten war demnach nur nach gesetzlichen Grundlagen oder Einwilligung des Betroffenen zulässig, andernfalls unzulässig. 3 In den folgenden Jahrzehnten wurde das BDSG immer wieder novelliert und erweitert. Insbesondere in der Folge des sogenannten „Volkszählungsurteils“ 4 von 1983 wurde die zentrale Bedeutung der „informationellen Selbstbestimmung“ im Kontext des Datenschutzes hervorgehoben. Dem Urteil nach können auch gesetzlich legitimierte Datenverarbeitungen unzulässig sein, sofern sie zu sehr in die Grundrechte (etwa die allgemeinen Persönlichkeitsrechte nach Art. 1 Abs. 1 GG & Art. 2 Abs. 1 GG) der Betroffenen eingreifen 5. In der Novellierung des BDSG von 1990 wurde deshalb mit aufgenommen, dass keine Beeinträchtigung der Persönlichkeitsrechte stattfinden darf. 6

 

II. Datenschutz auf europäischer Ebene

Durch die zunehmende Integration von Staaten in die EU wurde am 24. Oktober 1995 die Richtlinie 95/46/EG „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ erlassen. Durch diese Richtlinie wurden Mindeststandards im Bereich des Datenschutzes geschaffen. Die Auslegung und Umsetzung oblag dabei jedoch den einzelnen Staaten. In der Folge gab es Unterschiede bei der Aufsicht und Kontrolle, zudem mussten sich Unternehmen, welche in verschiedenen Ländern der EU einen Standort hatten an verschiedene Datenschutzrechte halten. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, spricht in dem Vorwort eines Magazins zur neuen DSGVO sogar davon, dass es damals „nur bedingt zu einem einheitlichen Datenschutzniveau in der Europäischen Union“ 7 gekommen sei und „ein Flickenteppich von datenschutzrechtlichen Regelungen und eine heterogene Aufsichtspraxis der Datenschutzbehörden“ vorlag, welcher nun mit der neuen DSGVO entgegnet werden soll. 8

 

III. DSGVO und Neuerung BDSG

Im Frühjahr 2016 wurde die DSGVO durch den Europäischen Rat und das Europäische Parlament verabschiedet und wird dadurch unmittelbar geltendes Recht. 9 Die neue Grundverordnung soll vor allem die Harmonisierung des Datenschutzrechts innerhalb der Europäischen Union ermöglichen und den Herausforderungen der Digitalisierung und Globalisierung gerecht werden. Darüber hinaus enthält die DSGVO zahlreiche Öffnungsklauseln, welche durch die Mitgliedsstaaten im Rahmen des nationalen Rechts ausgestaltet werden können. Neben bekannten Prinzipien, welche bereits im Rahmen des bisherigen deutschen Bundesdatenschutzgesetzes (BDSG) Umsetzung gefunden hatten, etwa das des „Verbotes mit Erlaubnisvorbehalt“, der „Datensparsamkeit“ und der „Zweckbindung“, gibt es auch eine Reihe von Neuerungen innerhalb der DSGVO, wie beispielsweise dem „Marktortprinzip“, dem „One-Stop-Shop-Mechanismus“ oder dem „Recht auf Datenübertragung“.

 

B. Kernprinzipien des Datenschutzes innerhalb des bisherigen BDSG und der DSGVO

Die DSGVO weißt zentrale Prinzipien auf, welche gewissermaßen als Kernprinzipien verstanden werden können. Diese waren teilweise schon nach Rechtlage des alten BDSG enthalten, einige Elemente sind allerdings neu oder finden in den meisten Staaten der EU erstmals Anwendung, da diese durch die Verordnung nun zwangsläufig eingeführt werden müssen und nicht länger als zu interpretierende Mindestanforderungen vorliegen. Folgend sollen weiterhin bestehende und neue Prinzipien aus der DSGVO vorgestellt werden. 10

 

I. Weiterhin bestehende Prinzipien

1. Verbot mit Erlaubnisvorbehalt

Als ein Kernprinzip des Datenschutzes gilt das „Verbot mit Erlaubnisvorbehaltes“ (Art. 6 DSGVO). Demnach ist eine Verarbeitung von personenbezogenen Daten grundsätzlich unzulässig, es sei denn sie wird durch den Betroffenen erlaubt oder ist zwingend erforderlich. Im alten BDSG wurde dies durch § 4 Abs. 1 BDSG gewährleistet. In der DSGVO richtet sich die Rechtmäßigkeit der Datenverarbeitung nach den folgenden Bedingungen:

Auszug aus Art. 6 DSGVO: Rechtmäßigkeit der Verarbeitung

  • Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
  • die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

 

2. Zweckbindung

Mittels Zweckbindung soll sichergestellt werden, dass Daten ausschließlich für den Zweck verarbeitet werden, für den sie erhoben wurden. Was das konkret bedeutet, lässt sich anhand des folgenden Fallbeispiels zeigen: Ein Unternehmen darf, sofern es zu einem Rechtsgeschäft (bspw. einem Kaufvertrag) gekommen ist, für das Übersenden einer Rechnung die Adressdaten des Kunden verwenden, es wäre allerdings unzulässig diese Daten auch für den Versand von Werbematerialien zu verwenden (es sei denn der Kunde willigt dem explizit ein). Im BDSG war insbesondere eine Zweckbindung für Berufs- oder Amtsgeheimnisse vorgesehen, 11 des Weiteren wurde eine Zweckänderung weitgehend ausgeschlossen. 12 Auch in der DSGVO findet sich dieser Grundsatz des Datenschutzes in Artikel 5 wieder. In Art. 5 b DSGVO heißt es, dass für die Erhebung von personenbezogenen Daten ein festgelegter, eindeutiger und legitimer Zweck vorliegen muss. In der DSGVO ist es gemäß Artikel 6 zulässig den Verarbeitungszweck zu ändern, allerdings nur sofern dies mit dem ursprünglichen Erhebungszweck vereinbar ist nach Artikel 16 Abs. 4 DSGVO. Entsprechende Kriterien 13 machen dabei auch deutlich, dass bei Änderung des Verarbeitungszwecks insbesondere die Verbindung zwischen den Zwecken, das Verhältnis zwischen der betroffenen Person und dem Verantwortlichen und mögliche Folgen für den Betroffenen betrachtet werden müssen. Des Weiteren sollen entsprechende Garantien wie Verschlüsselung oder Pseudonymisierung vorliegen, wodurch beispielsweise die Verarbeitung mittels Big Data möglich wird. Interessant in dem Zusammenhang ist auch, dass sowohl das BDSG 14 als auch die DSGVO, in Artikel 89 Abs. 1 DSGVO, vorsehen, dass diese Zweckbindung für Archivzwecke, sowie wissenschaftliche und historische Forschungszwecke (unter Wahrung der Rechte und Freiheiten des Betroffenen) eingeschränkt werden kann. In der Praxis finden zur Wahrung der Rechte und Freiheiten eine Pseudonymisierung statt. Gemäß Art. 89 Abs 1 DSGVO darf anschließend kein Rückschluss auf betroffene Personen möglich sein.

 

3. Datenminimierung

Im BDSG wurde bislang unter den Prinzipien der „Datenvermeidung und Datensparsamkeit“ 15 sichergestellt, dass personenbezogene Daten nur dann erhoben werden, wenn dies erforderlich ist – im Gesetz hieß es sogar, dass durch Datenverarbeitungssysteme „so wenig personenbezogene Daten wie möglich zu erheben“ seien. Dieses Prinzip findet sich auch in Artikel 5 Abs. 1 lit. (c) DSGVO wieder, dort ist von „Datenminimierung“ die Rede, welche „dem Zweck angemessen“ und auf das „notwendige Maß“ zu beschränken ist. In der Praxis zeigt sich, dass viele Dienste eine Datenverarbeitung als notwendig proklamieren und diese durch die Zustimmung der Datenschutzbestimmungen des Nutzers zulässig wird. Nutzern wird nahegelegt einen Dienst nicht zu nutzen, sofern diese den Datenschutzbestimmungen nicht zustimmen möchten. Einen anderen Weg hat der österreichische Jurist Max Schrems gewählt: Er klagt seine Rechte vor Gericht ein. Seiner Aussage nach „[…] ist man ohne Facebook-Account ja fast schon sozial isoliert. Abmelden ist also keine Lösung.“. 16 Im Rahmen seiner Kampagne „Europe vs. Facebook“ 17 und der NGO „noyb“ 18 hat er in der Vergangenheit mehrfach erfolgreich seine Rechte gegen Internetkonzerne eingeklagt. „noyb“ möchte ab Mai 2018 durch „strategische Gerichtsverfahren“ eine konsequentere Durchsetzung des Datenschutzes ermöglichen. 19

 

4. Aufsichtsbehörden

Bereits im alten BDSG sind Aufsichtsbehörden vorgesehen, welche die Ausführung des BDSG und anderer Vorschriften über den Datenschutz kontrollieren konnten. 20 Gem. Artikel 54 DSGVO sind Aufsichtsbehörden auch in der neuen Datenschutzgrundverordnung integraler Bestandteil zur effektiven Kontrolle des Datenschutzes. In der DSGVO ist nicht festgelegt, wie viele Aufsichtsbehörden ein Mitgliedsstaat schaffen muss, so obliegt es dem Land ob eine oder mehrere Aufsichtsbehörden geschaffen werden. In Deutschland bestehen diese Behörden auf Bundes- als auch Landesebene. Zur Erfüllung der Aufsicht durch die Behörden wird vor allem die Unabhängigkeit von Aufsichtsbehörden in Artikel 52 DSGVO hervorgehoben, die sogar so weit reichen soll, dass laut DSGVO eine Amtsenthebung nur zulässig ist, sofern „eine schwere Verfehlung“ nach Artikel 53 DSGVO begangen wurde. Der Zugriff auf Ressourcen soll die Unabhängigkeit sichern, in Art. 47 Abs. 4 DSGVO heißt es dazu:

Auszug aus Art. 52 DSGVO: Unabhängigkeit

  1. Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu können.

 

5. Sanktionen

Kontrolle und Aufsicht sind nur dann wirksam, wenn auch klare Folgen bei Verstoßen folgen, dieses Prinzip liegt bereits dem BDSG zu Grunde, weshalb es Verstöße in § 43 BDSG definiert. Neu ist die Höhe der Strafen: Nach dem BDSG waren diese bisher auf höchstens 300.000 € gedeckelt 21 bzw. sollte zumindest den wirtschaftlichen Vorteil der aus dem Verstoß gezogen werden konnte übersteigen. 22 Auch in der DSGVO sind Strafen vorgesehen (Artikel 83 Abs. 5 DSGVO) und diese sind deutlich höher, denn sie können bis zu 20.000.000 € oder 4% des weltweit erzielten Umsatzes eines Unternehmens betragen, je nachdem, welcher Betrag höher ist. Für öffentliche Stellen können die Mitgliedsstaaten gemäß Artikel 83 Abs. 7 DSGVO in einer Öffnungsklausel selbst Bußgelder festlegen, müssen dies aber nicht.

 

6. Betroffenenrechte

Die Rechte von Betroffen bleiben nach der DSGVO im Großen und Ganzen 23 die gleichen, wie die des BDSG. So müssen Personen, deren personenbezogene Daten erhoben oder verarbeitet werden, gemäß DSGVO über die Erhebung und Verarbeitung der Daten und ihre Rechte informiert werden gem. Artikel 13, 14 DSGVO. Des Weiteren haben Betroffene ein Auskunftsrecht, macht ein Betroffener davon Gebrauch und liegen dessen Daten vor, so muss die entsprechende Stelle gem. Artikel 15 Abs. 1 DSGVO Auskunft über den Verarbeitungszweck, die möglichen Empfänger und die geplante Dauer der Speicherung geben. Betroffene haben zudem ein Recht auf Berichtigung falscher Daten gem. Artikel 16 DSGVO. Auch ein Recht auf Löschung gem. Artikel 17 DSGVO existiert, das kann vor allem dann genutzt werden, wenn der ursprüngliche Erfassungsgrund nicht mehr vorliegt oder einer Einwilligung widerrufen wird. 24 Auch das Widerspruchrecht ist in der DSGVO vorgesehen in Artikel 21 Abs. 1 DSGVO, es soll Betroffenen die Möglichkeit geben die Verarbeitung von sie betreffenden personenbezogenen Daten zu unterbinden und kommt damit dem Entzug der Erlaubnis gleich. Alle Betroffenenrecht können nach Art. 23 Abs. 1 DSGVO, sofern erforderlich, durch nationales Recht der Mitgliedsstaaten eingeschränkt werden.

 

II. Neue Prinzipien

1. Marktortprinzip

Zukünftig soll es ausländischen Unternehmen nicht mehr möglich sein Zugang zum europäischen Binnenmarkt zu erhalten, sofern diese sich nicht auch an den geltenden Datenschutz halten. Bislang war dies durch einige Tricks teilweise möglich, entweder indem man aus dem Ausland operierte, oder einen Mitgliedsstaat der EU wählte, der einen geringen Standard im Bereich Datenschutz hatte. So wurde beispielsweise wiederholt davon berichtet, dass große Internetkonzerne wie Facebook, Microsoft, Twitter oder LinkedIn allesamt ihren europäischen Hauptsitz nach Irland verlegt haben. 25 Nach eigenen Angaben geschah dies, da die Unternehmensbesteuerung dort niedrig sei, es gute Infrastruktur gäbe und qualifizierte Fachkräfte 26 – tatsächlich hat(te) Irland allerdings auch ein eher niedriges Niveau in Puncto Datenschutz. 27 In der Vergangenheit waren daher dreißig Mitarbeiter einer irischen Aufsichtsstelle für die Daten von über 500 Millionen Europäern zuständig waren – eine nicht zu erfüllende Aufgabe. Durch die Vereinheitlichung des europäischen Datenschutzrechts soll solchen Tricks zukünftig ein Riegel vorgeschoben werden. Die DSGVO sieht vor, dass das Datenschutzrecht nicht ausschließlich für Unternehmen gilt, die sich in der Europäischen Union niedergelassen haben, sondern auch für solche, die auf dem europäischen Markt operieren. Die Tätigkeit liegt gemäß Art. § 3 Abs. 2 DSGVO bereits dann vor, wenn ein Angebot von Waren oder Dienstleistungen (auch ohne Zahlung) an betroffenen Personen innerhalb der europäischen Union erfolgt oder wenn ein Verhalten betroffener Personen beobachtet wird, welches innerhalb der europäischen Union stattfindet. Zusammenfassend lässt sich sagen, dass das sogenannte Marktortprinzip sicherstellen soll,

  • dass Daten, welche in der europäischen Union erhoben werden, auch nach europäischen Datenschutzrecht verarbeitet werden müssen.
  • dass Unternehmen, welche ihr Angebot an einen nationalen Markt richten die geltenden Datenschutzrechte einhalten müssen (unabhängig von ihrem Sitz).
  • dass keine Umgehung nationaler Datenschutzrechte innerhalb der europäischen Union mehr möglich ist.

 

2. One-Stop-Shop-Mechanismus / Kohärenzverfahren

Unternehmen, die in mehreren Staaten der europäischen Union operieren, mussten sich bislang immer an die entsprechenden Aufsichtsbehörden des Mitgliedslandes wenden, sofern sie datenrechtliche Anliegen zu klären hatten. So konnte es dazu kommen, dass beispielsweise zahlreiche Beschwerden in verschiedenen Ländern anfielen, die von den unterschiedlichen Behörden weitgehend unabhängig bearbeitet wurden. Das sorgte sowohl bei den Behörden, als auch bei den Unternehmen für hohen Arbeitsaufwand. 28 Nach Umsetzung der DSGVO gilt der „One-Stop-Shop-Mechanismus“ durch den sichergestellt werden soll, dass Unternehmen sich immer an die Aufsichtsbehörde wenden können, bei der sie ihren Hauptsitz angemeldet haben. Zukünftig werden alle Angelegenheiten mit Hilfe dieser Behörde, als zentralen Ansprechpartner, koordiniert. Betroffene Personen haben dennoch die Möglichkeit sich an ihre lokale Aufsichtsbehörde zu wenden. Die lokale Behörde des Betroffenen teilt den Fall dann der Aufsichtsbehörde mit, in dessen Zuständigkeit sich das Unternehmen befindet. Durch dieses Vorgehen können Synergien genutzt und ähnliche Anfragen gebündelt werden. In einem nächsten Schritt wird versucht gemeinsam eine Lösung herbeizuführen, welche für beide Aufsichtsbehörden passabel erscheint. Kommt es zu einer Lösung, etwa zur Auferlegung einer Geldstrafe, so ergeht ein entsprechender Beschluss am Hauptsitz des Unternehmens. In diesem Fall wird die Beschwerde und dessen festgelegte Folgen von der Aufsichtsbehörde vor Ort federführend koordiniert. Diese hat auch zu kontrollieren, dass in allen EU-Niederlassungen oder die EU betreffenden Niederlassungen des Unternehmens Maßnahmen getroffen werden, die Verstöße gegen die DSGVO abwenden. Die Informationen bezüglich des Falls werden über die Behörde bei der die Beschwerde eingereicht wurde dem Betroffenen mitgeteilt. Können sich die Aufsichtsbehörden teilweise, übereinstimmend der Beschwerde anschließen, so ergehen zwei Beschlüsse: ein Beschluss an das Unternehmen (durch die Aufsichtsbehörde im gleichen Land) und ein Beschluss an den Betroffenen (durch Behörde an der Beschwerde erhoben wurde). Wird die Beschwerde durch beide Aufsichtsbehörden gleichermaßen abgelehnt, so wird die einreichende Person darüber von der Behörde bei der die Beschwerde eingereicht wurde informiert. Können sich die beteiligten Aufsichtsbehörden nicht übereinstimmend auf ein Vorgehen einigen, so wird ein sogenanntes Kohärenzverfahren (Artikel 63 DSGVO) eröffnet, welches gemäß Art. 65 Abs. 1 DSGVO zum Ziel hat unter Einbeziehung des Europäischen Datenschutzausschusses die einheitliche Anwendung der DSGVO sicherzustellen. Konkret sieht das Vorgehen dazu vor, dass Einzelfälle gem. Artikel 64 DSGVO mittels Stellungnahme durch den Ausschuss kommentiert werden und so langfristig Positionen zum Datenschutz entstehen, welche für zukünftige Fälle herangezogen werden können.

Bislang wurden ausschließlich Fälle beschrieben bei denen das Unternehmen einen Sitz in der EU hat. Hat das Unternehmen keinen Sitz innerhalb der EU, fällt aber dennoch unter die DSGVO (etwa da gemäß Art. § 3 Abs. 2 DSGVO ein Angebot von Waren vorliegt), so muss die Beschwerde von der jeweiligen Aufsichtsbehörde an die sich der Betroffene gewandt hat eine Untersuchung erfolgen.

Abbildung 1: Vorgehensschema zum One-Stop-Shop Mechanismus

 

3. Recht auf Datenübertragbarkeit

Wie bei den bestehenden Prinzipien erläutert gibt es zahlreiche Betroffenenrechte, etwa das Recht auf Auskunft gem. Artikel 15 DSGVO, Berichtigung gem. Artikel 16 DSGVO oder Pflicht zur Löschung von Daten gem. Artikel 17 DSGVO. Ein weiteres Betroffenenrecht, welches auf Grund der DSGVO zum Tragen kommt, ist das Recht auf Datenübertragbarkeit nach Artikel 20 DSGVO. Das Recht soll sicherstellen, dass es Nutzern möglich ist von einem Dienst simpel die eigenen Daten zu exportieren und im besten Fall in einem neuen Dienst zu importieren. Diese Möglichkeit soll dabei verschiedene Zwecke erfüllen: So ist es dem Benutzer dadurch beispielsweise möglich schnell einzusehen, welche personenbezogenen Daten ein Dienst über ihn gespeichert hat, 29 des Weiteren wird der Umzug von einem Service zu einem anderen erheblich erleichtert, was auf die Senkung des sogenannten Lock-in-Effekts zurückzuführen ist. Die Bereitstellung der Daten hat unentgeltlich zu erfolgen, es sei denn ein Nutzer macht davon „exzessiven“ Gebrauch, Artikel 12 Abs. 5 DSGVO. In der Praxis wird sich zeigen, welche Formate entsprechende Informationen haben, gesetzlich festgelegt wurden diese nicht – in Art. 20 Abs. 1 DSGVO heißt es dazu nur, dass die Datensätze „in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ sind. Gemäß Art. 20 Abs. 2 DSGVO kann von einer betroffenen Person auch verlangt werden, dass die Daten direkt an den neuen Dienst übermittelt werden, sofern dies technisch, unter Betrachtung des Aufwandes, möglich ist.

 

4.Recht auf Vergessenwerden

Bereits im Vorfeld der DSGVO gab es einige Debatten zum „Recht auf Vergessenwerden“. 30 Dieses Betroffenenrecht reicht deutlich weiter als die bloße Pflicht zum Löschen nach Artikel 17 Abs. 1 DSGVO von personenbezogenen Informationen, denn es verpflichtet die verarbeitende Stelle dazu, dass bei Veröffentlichung von personenbezogenen Daten entsprechende Dritte darüber in Kenntnis zu setzen sind, dass eine Löschung von Daten erfolgt ist und entsprechende Kopien und Replikationen ebenfalls gem. Artikel 17 Abs. 2 DSGVO zu löschen sind. Gemäß der Löschpflicht aus Art. 17 DSGVO hat eine Löschung ohne unangemessene Verzögerung zu erfolgen. Erfolgt keine Information oder kommt es zu Fehlern bei der Löschung von personenbezogenen Daten, so sind Bußgelder in Höhe von bis zu 4 Prozent des weltweiten Umsatzes gem. Artikel 83 Abs. 5 lit. (b) DSGVO möglich.

 

5. Privacy by Design & Privacy by Default

In der DSGVO finden sich in Artikel 25 DSGVO „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“die beiden Begriffe des „Privacy by Design“ (Artikel 25 Abs. 1 DSGVO) und „Privacy by Default“ (Artikel 25 Abs. 2 DSGVO). Der Ansatz „Privacy by Design“ 31 beschreibt dabei die Notwendigkeit, dass bereits im Rahmen der Entwicklung eines Systems oder einer Grundkonzeption die zentralen Grundsätze des Datenschutzes (Zweckbindung, Datenminimierung, etc. nach Artikel 5 DSGVO) berücksichtigt werden müssen. „Privacy by Default“ liegt dann vor, wenn ein System in den Standardeinstellungen die Prinzipien des europäischen Datenschutzes einhält.

Gewissermaßen findet damit ein Paradigmenwechsel statt, denn oftmals sind insbesondere Systeme, die aus den USA stammen in der Grundkonfiguration so eingestellt, dass sie viele Daten erfassen. Sie müssen daher für den europäischen Markt angepasst werden. Die Anforderungen werden in der Verordnung zwar durch den Stand der Technik sowie die Implementierungskosten (Artikel 25 Abs. 1 DSGVO) eingeschränkt, dennoch könnte es sein, dass sich durch die Möglichkeit zur Zertifizierung nach Artikel 25 Abs. 3 DSGVO zusammen mit Artikel 42 DSGVO eine Marktdynamik entwickelt, welche dazu führt, dass entsprechende Anforderungen zu Standards werden, was wiederrum zu einer Erhöhung des Datenschutzes führen könnte. Zudem können Verstöße gegen diesen Artikel mit Bußgeldern in Höhe von bis zu zwei Prozent des weltweiten Umsatzes gem. Artikel 83 Abs. 4 lit. (a) DSGVO bestraft werden.

 

6. Datensicherheit

Datensicherheit spielte im Zusammenhang mit dem Datenschutz bisher eine nachgelagerte Rolle, so wurden Verstöße gegen Vorgaben aus dem Bereich der Datensicherheit oder zu technischen und organisatorischen Maßnahmen (nach § 9 BDSG) nicht mit einem Bußgeld geahndet. Im Rahmen der DSGVO ändern sich dies. Gemäß Art. 32 DSGVO haben Unternehmen „geeignete technische und organisatorische Maßnahmen“ einzuleiten, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Ein Nachweis zur Einhaltung der Datensicherheit kann beispielsweise durch geeignete Zertifizierungen gem. Artikel 32 Abs. 3 DSGVO nachgewiesen werden. Es ist betroffenen Personen zudem demnächst einfacher möglich zivilrechtliche Ansprüche geltend zu machen nach Artikel 24 Abs. 1 DSGVO, sofern ein Unternehmen grob gegen die grundsätzlichen IT-Sicherheitsrichtlinien (Stand der Technik) verstoßen hat. Unternehmen sollten zur Sicherstellung der Daten- und Informationssicherheit Risikoanalysen und Risikobewertungen durchführen, um daraus Maßnahmen abzuleiten. Im Rahmen von Art. 32 DSGVO sind die technischen Maßnahmen zur Einhaltung der Datensicherheit nicht konkret festgehalten, es kann allerdings Orientierung an Branchenstandards und ISO-Normen genommen werden.

 

C. Umsetzung in der Unternehmenspraxis

Viele Unternehmen stehen vor der Herausforderung, die ab dem 25.5.2018 einzuhaltende DSGVO voll umzusetzen. Folgend werden zentrale Punkte aus der Unternehmenspraxis präsentiert, welche zur Einhaltung der DSGVO unumgänglich sind 32.

I. Verzeichnis von Verarbeitungstätigkeiten

Insbesondere Art. 6 Abs. 1 S.1 lit. f DSGVO (welche das Verbot mit Erlaubnisvorbehalt behandelt) wird aktuell in der Literatur kontrovers diskutiert, 33 da es sich bei dem Begriff „berechtigtes Interesse“ um einen unbestimmten Rechtsbegriff handelt. Ab wann ist ein berechtigtes Interesse zur Erfassung von Daten vorhanden? Um das genauer zu verstehen lohnt sich ein Blick auf das bisherige BDSG: Dort wird zwischen Datenverarbeitungen, welche dem Rechtsgeschäft dienen 34 und sonstiger zweckmäßiger Datenverarbeitung 35 unterschieden. Ersteres ist zulässig, da bei einem Rechtsgeschäft eine Erlaubnis des Betroffenen vorliegt. Bei Letzterem geht es darum die „schutzwürdigen Interessen“ der Betroffenen und die „berechtigte[n] Interessen der verantwortlichen Stelle“ gegeneinander aufzuwiegen. In der DSGVO, Artikel 6 Abs. 1 S.1 lit. (f) DSGVO, ist nur noch von „berechtigtem Interesse“die Rede. Somit wurden beide Fälle in einem erfasst, was in jedem Fall eine Prüfung des Interesses und eine entsprechende Dokumentation dieser Untersuchung erforderlich macht. Die Prüfung sollte dabei nach geltender Rechtsauffassung vor allem die Identifikation der Ziele einer Verarbeitung samt einer Abwägung der Interessen des Betroffenen beinhalten. 36 Unternehmen und staatliche Stellen müssen demnach mindestens den Umgang mit personenbezogenen Daten erfassen und dokumentieren. Für letzteres ist die Erstellung eines sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ oder einer „Datenschutz-Folgeabschätzung“ erforderlich. 37 Wird bei der Erfassung unter Betrachtung der Verhältnismäßigkeit deutlich, dass die Verarbeitung massiv in die Grundrechte und Grundfreiheiten betroffener Personen eingreift, so ist diese zu unterlassen. Aufsichtsbehörden können Einsicht in die Verfahrensverzeichnisse nehmen 38 und auch entsprechende Sanktionen oder Strafen aussprechen. Das BDSG hat bislang auch die Führung eines „öffentlichen Verfahrensverzeichnisses“ vorgesehen, 39 welches durch einen Datenschutzbeauftragen jedem auf Antrag zugänglich gemacht werden musste. Diese Regelung entfällt im Rahmen der DSGVO. Nach Art. 30 Abs. 1 DSGVO ist eine umfassendere Erfassung von Informationen im Rahmen des Verzeichnisses von Verarbeitungstätigkeiten notwendig, diese sind folgend dargestellt.

Auszug aus Art. 30 DSGVO: Verzeichnis von Verarbeitungstätigkeiten

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland […]
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

 

II. Datenschutz-Folgeabschätzungen

Gemäß Art. 35 DSGVO müssen sogenannte Datenschutz-Folgeabschätzungen erfolgen, sofern erhöhte Risiken für die Rechte und Freiheiten eines Betroffenen festzustellen ist. Ein erhöhtes Risiko kann etwa dann vorliegen, wenn besondere personenbezogene Daten (Art. 9 DSGVO – Krankheiten, Religionszugehörigkeit, etc.) erhoben und verarbeitet werden. Weitere Gründe für die Durchführung von Datenschutz-Folgeabschätzungen lassen sich aus Art. 35 Abs. 3 lit. (c) entnehmen, diese können etwa das Erstellen von Profilen („Profiling“) oder die öffentliche Überwachung (mittels Videokamera) sein. Eine Datenschutz-Folgeabschätzung hat zum Ziel Risiken einer Datenverarbeitung zu beleuchten, indem der Zweck, die Art und der Umfang durch den Verarbeiter erhoben werden. Nach Artikel 35 Abs. 7 lit. (c) und (d) DSGVO soll darüber hinaus festgestellt werden, ob ein erhebliches Risiko vorliegt und wie sich dieses minimieren lässt. Ist die Eindämmung eines Risikos nicht möglich, so muss die zuständige Aufsichtsbehörde informiert und um Rat gefragt werden gem. Artikel 36 DSGVO. Werden keine Datenschutz-Folgeabschätzungen vorgenommen (obwohl dies gemäß den angeführten Kriterien als notwendig zu betrachten ist) oder wird die Datenschutz-Folgeabschätzung falsch durchgeführt, so können Bußgelder in Höhe von bis zu zwei Prozent des Umsatzes des Unternehmens gem. Artikel 83 Abs. 4 lit. (a) DSGVO erhoben werden.

 

D. Zur Kritik an der DSGVO

Die DSGVO wird von Interessensgruppen durchaus verschieden aufgenommen. Befürworter der DSGVO betonen insbesondere, dass durch das Gesetz die Grundrechte eines jeden EU-Bürgers erstmals auch im digitalen Zeitalter durchgesetzt werden können. 40 Besonderes Lob erhält dabei, dass trotz starker Beeinflussung durch Unternehmensverbände 41 ein hoher europäischer Standard für den Datenschutz geschaffen werden konnte, welcher effektive Sanktions- und Aufsichtsmöglichkeiten bietet. 42 Kritiker der DSGVO halten diese für zu schnell umgesetzt und unscharf definiert. So gibt der Präsident des Branchenverbandes Bitkom etwa in einem Interview zu bedenken, dass viele Artikel für Rechtsunsicherheit sorgen würden und zudem nicht klar sei wie Datenschutzbehörden die neuen Regelungen auslegen. 43 Ähnlich ordnet es auch der Präsident des Bundesverband Digitale Wirtschaft (BVDW) e.V., Matthias Wahl, in einer Informationsbroschüre ein, laut ihm erwartet der Verband „von   der   Europäischen Kommission und  den  zuständigen Datenschutzaufsichtsbehörden gleichermaßen deutliches Engagement bei der Konkretisierung der Verordnung mit dem Ziel, die heute etablierten Geschäftsmodelle und Möglichkeiten der Digitalen Wirtschaft zu erhalten und im globalen Wettbewerb zu  fördern“. 44 Wahl sieht zudem, das Problem, dass durch die DSGVO eine Hürde geschaffen werden könnte, welche dazu führt, dass die Innovationsfähigkeit vermindert wird und auch Investitionsentscheidungen anders und zu Lasten von Arbeitsplätzen in der EU ausfallen. 45 Tatsächlich enthält die DSGVO siebzig Öffnungsklauseln, diese müssen in nationales Recht umgesetzt werden. In Deutschland wurde dazu 2017 das Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) geschaffen. 46 Kritiker merkten zu dem Gesetz an, dass dadurch eher Rechtsunsicherheiten geschafft wurden, so sei etwa der in der DSGVO in das Gespräch gebrachte Begriff des „Privacy-by-Design“ nicht national aufgegriffen und konkretisiert worden, ähnlich sehe es bei konkreten Fragestellungen, wie etwa dem Beschäftigtendatenschutz (Videoaufnahmen am Arbeitsplatz / Ortung von Mitarbeitern), aus. 47 Grundsätzlich lässt sich feststellen, dass einigen Interessengruppen der Datenschutz nicht weit genug geht, anderen ist er zu unklar definiert, was ihrer Ansicht zu Rechtsunsicherheiten führt.

 

E. Wertung

Aus Sicht von Privatpersonen ist die DSGVO durchaus positiv zu betrachten, da sie im erheblichem Maße die Betroffenenrechte stärkt und damit die Einhaltung von Grundrechten gewährleistet. Darüber hinaus sorgt sie sowohl bei Unternehmen, als auch Privatpersonen für mehr Rechtssicherheit, da klar geregelt ist in wessen Zuständigkeit ein Datenschutzvorfall fällt und wie dieser zu behandeln ist. Allerdings obliegt die Ausgestaltung der Verordnung sehr stark den einzelnen Nationalstaaten, insoweit wird sich erst im Rahmen der nationalen Ausgestaltung und der darauffolgenden Kontrollmechanismen, welche durch die Aufsichtsbehörden implementiert werden, zeigen, ob und wie erfolgreich die DSGVO sein wird.

 

F. Zusammenfassung

Mit der DSGVO wird ein einheitlicher, hoher Standard zum Umgang mit personenbezogenen Daten durch öffentliche und nicht-öffentliche Stellen geschaffen, welcher EU-weit Geltung hat. Da es sich um eine Verordnung handelt ist absehbar, dass bisherige Ungleichheiten zwischen den Datenschutzrechten der Mitgliedsstaaten der europäischen Union in großen Teilen aufgehoben werden. Zentrale Kritikpunkte an der Verordnung sind, dass Rechtsunsicherheiten entstehen können. Zudem kann ein erheblicher Mehraufwand für Unternehmen anfallen – dem gegenüber steht allerdings auch eine Vereinfachung des Rechts, durch eine Vereinheitlichung mit hohem Standard. Die Sanktionsmöglichkeiten könnten sicherstellen, dass Unternehmen sich fortan (noch) stärker mit dem Thema Datenschutz beschäftigen und diesen als Wettbewerbsvorteil betrachten. Ein Großteil der Prinzipien gleicht denen aus dem BDSG, allerdings geht die DSGVO in einigen Teilen weit darüber hinaus, macht beispielsweise die Informationssicherheit gewissermaßen zu einem integralen Teil des Datenschutzes und stärkt die Betroffenenrechte.

* Der Autor ist Mitgründer des Projektes „Internetwache.org“, welches sich insbesondere für IT-Sicherheit und Privatsphäre in einer digitalisierten Gesellschaft einsetzt. Darüber hinaus ist er Junior-Fellow der Gesellschaft für Informatik, Autor mehrere Fachbücher im Bereich der Datensicherheit und ist Bachelor of Science der Wirtschaftsinformatik.


Fußnoten:

  1.   „Hessischer Landtag verabschiedet das weltweit erste Datenschutzgesetz “, 7. Oktober 1970, in: v    Zeitgeschichte in Hessen <https://www.lagis-hessen.de/de/subjects/idrec/sn/edb/id/204> (Stand: 22.2.2018).
  2. Neue juristische Wochenschrift (NJW) 1970, S. 1581 und 1583 f.
  3. § 3 BDSG (1977).
  4. BVerfG, Urteil v. 15. Dezember 1983, Az. 1 BvR 209, 269, 362, 420, 440, 484/83.
  5. idem
  6. Art. § 1 BDSG (1990).
  7. “Datenschutz-Grundverordnung – BfDI-Info 6“, September 2017 (5. Auflage)“ S. 6.
  8. idem
  9. ABl. EU 4. Mai 2016 L 119 S. 1f.
  10. Da die DSGVO sehr umfassend ist, wird in dieser Einordnung auf die grundlegenden Prinzipien eingegangen.
  11. § 39 BDSG (alt).
  12. § 14 Abs. 4 & § 39 BDSG (alt).
  13. idem
  14. § 27 BDSG (alt).
  15. § 3a BDSG (alt).
  16. „Facebook weiß, wer wie lange welchen Porno anschaut“, 24. Januar 2018, in: Sueddeutsche / sz.de <http://www.sueddeutsche.de/digital/max-schrems-facebook-weiss-wer-wie-lange-welchen-porno-anschaut-1.3836444> .
  17. Mehr Informationen zu der Kampagne und entsprechenden Klagen finden sich unter: <http://europe-v-facebook.org/DE/de.html>.
  18. Mehr zu „noyb“ lässt sich hier erfahren: <https://noyb.eu/faqs?lang=de>.
  19. idem
  20. § 38 Abs. 1 BDSG (alt).
  21. § 43 Abs. 3 BDSG (alt).
  22. § 17 Abs. 4 OWiG.
  23. Es gibt zwei Ausnahmen, welche im Abschnitt „Neue Prinzipien“ betrachtet werden.
  24. „Datenschutz-Grundverordnung – BfDI-Info 6“, September 2017 (5. Auflage)“ S. 13.
  25. “Irische Datenschutzbehörde – Vertrauen ist besser“, 14. August 2013, in: ZEIT ONLINE
    <http://www.zeit.de/2013/34/datenschutzbehoerde-irland-facebook-nsa/komplettansicht>.
  26. idem
  27. “Europas zahnloser Datenschutz“, 27. März 2013, in Deutschlandfunk Kultur

    < http://www.deutschlandfunkkultur.de/google-facebook-co-europas-zahnloser-datenschutz.1162.de.html?dram:article_id=281318>.

  28. Neben rechtlichen Hürden kamen dazu oftmals auch sprachliche Hürden.
  29. Dabei handelt es sich um einen positiven Nebeneffekt, denn wir erinnern uns daran, dass gemäß Art. 15 DSGVO bereits ein Auskunftsrecht vorgesehen ist. Oft ist ein Export allerdings schneller, als eine formale Anfrage zur Ausgabe der Daten.
  30. u.a. „Probst, Das Recht auf Vergessen(werden)“ Frederic Probst, in: Freilaw 1/2015.
  31. „Privacy by design“, Peter Schaar, 6. Juli 2010 in: Fachzeitschrift „Identity in the Information Society“ (Informatorische Übersetzung) <https://www.bfdi.bund.de/SharedDocs/Publikationen/%22PrivacyByDesign%22.pdf >.
  32. Da die DSGVO ein extrem komplexes Thema ist wird an dieser Stelle nur auf die grundlegenden Maßnahmen eingegangen.
  33. „Berechtigte Interessen nach der DSGVO“, 21. August 2017, in: Privacy in Germany (Datenschutz und Compliance) <https://www.pingdigital.de/blog/2017/08/21/berechtigte-interessen-nach-der-dsgvo/1186> (Stand: 22.2.2018).
  34. § 28 Abs. 1, BDSG.
  35. § 28 Abs. 2, BDSG.
  36. „Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der betrieblichen Praxis“, S. 430 f., RA Prof. Nico Härtling.
  37. Die Anfertigung von „Verfahrensverzeichnissen“ war bereits nach § 4d & § 4e des BDSG für deutsche Unternehmen und öffentliche Stellen erforderlich, sie hat in ähnlicher Form nun auch gemäß Art. 30 der DSGVO zu erfolgen.
  38. Diese Einsicht der Aufsichtsbehörden war bereits nach § 38 Abs. 4, BDSG möglich.
  39. § 4e Satz 1 Nr. 1 bis 8 BDSG.
  40. “Neue Datenschutzregeln: “Es wird kein Pardon geben””, 02 Februar 2018, Marcel Rosenbach: SPIEGEL ONLINE < http://www.spiegel.de/netzwelt/netzpolitik/datenschutz-verordnung-deutsche-unternehmen-sind-schlecht-vorbereitet-a-1191075.html >.
  41. „Silicon Valley Companies Lobbying Against Europe’s Privacy Proposals“, 25. Januar 2013, in: NY Times
    <http://www.nytimes.com/2013/01/26/technology/eu-privacy-proposal-lays-bare-differences-with-us.html>.
  42. vgl. „Unternehmen müssen mit hohen Bußgeldern rechnen“, 29. Januar 2016, Christian Schlesiger: https://www.wiwo.de/politik/europa/andrea-vosshoff-datenschutz-als-wettbewerbsvorteil/12897388-2.html >.
  43. „Deutsche Firmen im Wettlauf gegen die Zeit“, 27. Dezember 2017, Dietmar Neuerer: Handelsblatt < http://www.handelsblatt.com/my/politik/deutschland/eu-datenschutzgrundverordnung-deutsche-firmen-im-wettlauf-gegen-die-zeit/20792956.html >.
  44.   „EU-Datenschutz-Grundverordnung 2018 – BVDW-Praxisleitfaden“ Bundesverband Digitale Wirtschaft (BVDW) e.V., S. 7 ff. < http://www.bvdw-datenschutz.de/wp-content/uploads/2017/10/rz_lp_es_grundverord_final_20171122.pdf >.
  45. idem
  46. Das Bundesgesetzblatt 47 (2017) enthält das Datenschutzanpassungs- und Umsetzungsgesetz: <http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl117s2097.pdf>.
  47.   „Chance verpasst“: Interview zur Zukunft des Datenschutzes“, 2. Juli 2017, in: netzpolitik.org
    <https://netzpolitik.org/2017/chance-verpasst-interview-zum-neuen-datenschutzgesetz/>.