DSGVO: Grundlagen und Umsetzung

Die europäische Datenschutz-Grundverordnung (DSGVO) gilt seit nunmehr zwei Jahren. Die Datenschutzbehörden kontrollieren die Einhaltung der DSGVO und verhängen zunehmend (hohe) Bußgelder. Es ist deshalb höchste Zeit, die Themen Datenschutz-Compliance anzugehen und voranzutreiben.

Die EU-DSVGO als Chance

Die EU-Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25.5.2018 in der gesamten Europäischen Union. Die DSGVO ist damit ein vergleichsweise neues Gesetzeswerk, was beim Rechtsanwender in der konkreten Umsetzung zu Unsicherheit und Problemen führen kann. Zugleich birgt die DSGVO aber auch ein erhebliches Potenzial: Die Verordnung bringt eine Modernisierung hin zu einem wirksamen und konkreten Schutz von personenbezogenen Daten in Europa. Unternehmen haben die Chance, ihr Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern zu untermauern, indem sie die Verordnung konsequent umsetzen und in Hinblick auf datenschutzrechtliche Vorgaben stets auf dem neuesten Stand bleiben. Im Zeitalter von Digitalisierung und datengetriebener Wirtschaft (Datenökonomie) ist ein gewissenhafter und integrer Umgang mit Daten und Informationen eine zentrale Voraussetzung für einen effektiven Schutz der individuellen Privatsphäre.

DSGVO: Was hat sich für das nationale Recht geändert?

Da es sich bei der DSGVO um eine europäische Verordnung handelt, gilt das Gesetzeswerk unmittelbar in allen EU-Mitgliedsstaaten (vgl. Art. 288 Abs. 2 AEUV). Anders als bei einer Richtlinie, wie es bspw. noch die europäische Datenschutz-Richtlinie (DS-RL) als Vorgängerin der DSGVO war, musste die DSGVO also nicht durch Gesetze auf nationaler Ebene umgesetzt werden.

Die einschlägigen Regelungen des nationalen Rechts – insbesondere des Bundesdatenschutzgesetzes-(BDSG)alt – werden damit, aufgrund des Anwendungsvorrangs des Unionsrechts, weitgehend durch die Regelungen der DSGVO verdrängt. Der nationale Gesetzgeber hat daher auf Bundes- und Länderebene neue Gesetze erlassen, um die nationalen Vorschriften aufzuheben bzw. anzupassen, die durch die Verordnung ersetzt werden. Die nationalen Gesetzgeber sind überdies an mehreren Stellen der Verordnung – durch sogenannte Öffnungsklauseln – dazu ermächtigt, die Regelungen der DSGVO zu konkretisieren und zu ergänzen. Ein wichtiges Beispiel hierfür stellt der Bereich des Beschäftigtendatenschutzes dar, für den sich in Art. 88 DSGVO eine Öffnungsklausel findet, von der der nationale Gesetzgeber in § 26 BDSG-neu Gebrauch gemacht hat.

Grundsätze der Datenverarbeitung in der DSGVO

Die tragenden Grundsätze der Datenverarbeitung sind in Art. 5 DSGVO festgelegt. Diese Grundsätze sollen als allgemeine Regeln für die Datenverarbeitung und als Auslegungshilfen für die weiteren Vorschriften der DSGVO dienen. Die Einhaltung dieser Grundsätze muss der Verantwortliche nachweisen können; Verantwortlicher im Sinn der DSGVO ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ihnen drohen bei Verstößen gegen die Grundsätze und Vorgaben der DSGVO regelmäßig Bußgelder nach Art. 83 Abs. 5 DSGVO oder andere aufsichtsbehördliche Maßnahmen. Die zentralen Grundsätze der DSGVO für die Datenverarbeitung lauten:

  • Rechtmäßigkeit, Art. 5 Abs. 1 lit. a) DSGVO: Ohne eine Ermächtigungs- bzw. Rechtsgrundlage dürfen keine personenbezogenen Daten erhoben und benutzt werden.
  • Verarbeitung nach Treu und Glauben, Art. 5 Abs. 1 lit. a) DSGVO: Unredliche bzw. missbräuchliche Verarbeitungsvorgänge sind zu unterlassen.
  • Transparenz, Art. 5 Abs. 1 lit. a) DSGVO: Die Datenverarbeitung soll so ausgestaltet sein, dass der Betroffene ihre Auswirkungen einschätzen und gegebenenfalls von seinen Betroffenenrechten Gebrauch machen kann. Dies setzt insbesondere voraus, dass dem Betroffenen die Informationen über die Verarbeitung leicht zugänglich und sprachlich verständlich sind.
  • Zweckbindung, Art. 5 Abs. 1 lit. b) DSGVO: Personenbezogene Daten dürfen nur zu dem genau bestimmten Zweck verwendet werden, für den eine gesetzliche Grundlage besteht. Eine nachträgliche Zweckänderung ist nur in engen Grenzen zulässig.
  • Datenminimierung, Art. 5 Abs. 1 lit. c) DSGVO: Die Datenverarbeitung muss dem Zweck angemessen und erheblich sein sowie auf das notwendige Maß beschränkt werden.
  • Richtigkeit von Daten, Art. 5 Abs. 1 lit. d) DSGVO: Die zu verarbeitenden Daten müssen sachlich richtig und auf dem neuesten Stand sein; unrichtige Daten sind zu löschen.
  • Speicherbegrenzung, Art. 5 Abs. 1 lit. e) DSGVO: Die Daten dürfen nur solange gespeichert werden, wie es für die Zwecke der Verarbeitung notwendig ist. Danach sind die Daten in der Regel zu löschen; Ausnahmen gelten für bestimmte Archivzwecke.
  • Integrität und Vertraulichkeit, Art. 5 Abs. 1 lit. f) DSGVO: Die personenbezogenen Daten müssen durch technisch-organisatorische Maßnahmen angemessen gesichert werden, insbesondere vor unbefugter Verarbeitung, Schädigung, Manipulation oder Fälschung.

DSGVO: “Privacy by Design” und “Privacy by Default”

Zusätzlich zu den Grundsätzen der Datenverarbeitung weist Art. 24 DSGVO dem Verantwortlichen eine allgemeine Pflicht zu, geeignete und wirksame Maßnahmen zur Einhaltung der datenschutzrechtlichen Vorgaben zu treffen. Hierzu gehören vor allem die in Art. 25 DSGVO konkretisierten Verpflichtungen, für einen Datenschutz durch Technikgestaltung (“Privacy by Design“) sowie für datenschutzfreundliche Voreinstellungen (“Privacy by Default“) zu sorgen.

Nach dem Prinzip des Privacy by Design (Art. 25 Abs. 1 DSGVO) soll der Schutz der Privatsphäre auf allen Stufen der Produktentwicklung berücksichtigt werden. Denn es lässt sich ein effektiver Datenschutz am besten sicherstellen, wenn bereits bei der Konzeption und Programmierung der Verarbeitungssysteme die Vorgaben möglichst betroffenenfreundlich berücksichtigt werden.

Der Grundsatz der Privacy by Default (Art. 25 Abs. 2 DSGVO) ist hingegen insbesondere auf die Voreinstellungen von Online-Diensten ausgerichtet. Verantwortliche sind verpflichtet, entgegen den mit mehr Daten verbundenen ökonomischen Vorteilen ihre Voreinstellungen so zu wählen, dass die Verarbeitung personenbezogener Daten minimiert wird. Will ein Nutzer mehr Datenverarbeitungen zulassen, muss er diese Einstellungen aktiv ändern. In diesem Zusammenhang sind sogenannte Opt-Out-Lösungen, bei denen der Betroffene, um weniger Datenverarbeitung zu erlauben, aktiv Häkchen herausnehmen muss, die in den Voreinstellungen betreiberseitig gesetzt waren, grundsätzlich unzulässig.

Was bedeutet der risikobasierte Ansatz der DSGVO?

Die DSGVO verfolgt einen stark risikobasierten Ansatz. So bestehen keine allgemeinen präventiven Meldepflichten für Datenverarbeitungen. Stattdessen hat der Verantwortliche nach dem sogenannten Risikoansatz lediglich bei Datenverarbeitungen mit besonders hohen Risiken für die Rechte und Freiheiten der Betroffenen bestimmte Maßnahmen durchzuführen: Bei risikoreichen Verarbeitungen muss z.B. der Verantwortliche vorab eine Datenschutz-Folgenabschätzung nach Maßgabe des Art. 35 DSGVO vornehmen. Ferner richtet sich die konkrete Ausgestaltung der technisch-organisatorischen Maßnahmen, die der Verantwortliche nach Art. 32 DSGVO implementieren muss, (auch) nach dem jeweiligen Risiko. Schließlich hängt ebenfalls von dem Ausmaß des Risikos ab, ob bei Datenschutzverstößen eine Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO erfolgen muss.

DSGVO: Umsetzung und Folgenabschätzung (Aufwand)

Der Aufwand für Anpassungen an die datenschutzrechtlichen Vorgaben der DSGVO variiert von Unternehmen zu Unternehmen; hier kommt es vor allem auch darauf an, wie viele relevante Datenverarbeitungsprozesse zu prüfen sind und welche Relevanz die einschlägigen Vorschriften für die Unternehmensprozesse haben. Der konkrete Aufwand hängt ferner auch davon ab, wie umfangreich und übersichtlich die bisherige Dokumentation der Datenverarbeitungsprozesse erfolgte.

Im Folgenden sind einige Faktoren genannt, die für die Abschätzung des Aufwands herangezogen werden können: Anzahl der bereits dokumentierten Verfahren im Verfahrensverzeichnis; Anzahl der noch zu dokumentierenden Verfahren; Erfordernis der Erstellung eines Verfahrensverzeichnisses; Anzahl der einzubeziehenden Abteilungen; Umfang der Überarbeitung einer bzw. mehrerer Datenschutzerklärung(en); Erfordernis von Verhandlungen mit dem Betriebsrat.

Neben dem betrieblichen Datenschutzbeauftragten sollten in die Umsetzung der Vorgaben stets auch andere Stellen im Unternehmen einbezogen werden, darunter die Geschäftsleitung, die Personalabteilung, der Betriebsrat sowie die Abteilungen Recht und Compliance, IT-Security, Finanzen und Forschung und Entwicklung.

Das könnte Sie auch interessieren:

Wie hat sich die Datenschutzgrundverordnung bewährt? EU-Kommission zieht 1. Bilanz