Newsroom / PerspektivePraxis / Recht & Steuern

Das neue Datenschutzrecht kommt


Ein Beitrag von RA Christian Schmitt, DGRV-Rechtsabteilung, für unser Fachmagazin PerspektivePraxis.


Ab dem 25. Mai 2018 gelten in Deutsch­land (und der übrigen EU) neue ge­setzliche Vorgaben zum Schutz per­sonenbezogener Daten. Grundlage des neuen Rechts bildet die EU­-weit gel­tende Datenschutz­grundverordnung (DSGVO) sowie in Deutschland zu­sätzlich das Bundesdatenschutzgesetz (BDSG) n. F. Weitere datenschutzrecht­liche Vorgaben aus anderen Gesetzen, z. B. aus dem Sozialgesetzbuch (SGB) und dem Telemediengesetz (TMG), gel­ten daneben weiter. Im Mai 2016 wurde die DSGVO (mit einer zweijährigen Übergangsfrist) im Amtsblatt der Europäischen Union ver­öffentlicht. Mehr als ein Jahr später – am 30. Juli 2017 – wurde im Bundesge­setzblatt im Rahmen des „Datenschutz­ Anpassungs-­ und Umsetzungsgesetz EU“ das neue Bundesdatenschutzge­setz für Deutschland verkündet. Es tritt zeitgleich mit der DSGVO in Kraft und ist neben der Verordnung zu beachten.

Zusammenspiel von Verordnung und Datenschutzgesetz


Die DSGVO enthält mit 99 Artikeln um­fassende Regelungen für die Verarbei­tung personenbezogener Daten. Gleich­wohl werden den Gesetzgebern der Mitgliedsstaaten über Öffnungsklauseln in der DSGVO Möglichkeiten gewährt, nationale Sonderregelungen zu erlas­sen. Der deutsche Gesetzgeber hat diese Gesetzgebungskompetenz z. B. durch Regelungen zum Datenschutz­beauftragten (§ 38 BDSG n. F.) und zum Datenschutz im Beschäftigungs­verhältnis (§ 26 BDSG n. F.) genutzt. Grundlegende Änderungen der bishe­rigen Rechtslage sind damit aber nicht verbunden. Obgleich das neue Bundesdatenschutz­gesetz 37 Paragrafen mehr als seine Vorgängerversion aufweist, gelten vie­le der Vorschriften nur für öffentliche Stellen (z. B. Behörden) und sind damit nicht auf Genossenschaften anwendbar (insb. §§ 8–16 und 45–84 BDSG n. F.). Die bisher bekannte Vorgabe zur Ver­pflichtung auf das Datengeheimnis steht beispielsweise nun in § 53 BDSG n.F. und damit in einem Teil des neuen BDSG, welcher auf Genossenschaf­ten keine Anwendung findet. Auch wenn Genossenschaften nicht von § 53 BDSG n. F. erfasst werden, hat sich die Verpflichtung auf das Datengeheimnis bewährt. Beschäftigte (inkl. Praktikan­tinnen und Praktikanten) sollten daher auch weiterhin bei Beschäftigungsauf­nahme (bzw. Praktikumsbeginn) auf das Datengeheimnis verpflichtet werden. Für Auftragsverarbeiter gilt zudem aus­drücklich Art. 28 Abs. 3 lit. b) DSGVO („Verpflichtung zur Vertraulichkeit der eingesetzten Mitarbeiter/innen“).

Alles neu? Nicht alles!


Aufgrund des ohnehin sehr hohen Da­tenschutzniveaus in Deutschland wird die neue Rechtslage für deutsche Unter­nehmen überschaubare Veränderungen zur Folge haben. Es gilt weiterhin der Grundsatz, dass die Verarbeitung (s. zur erweiterten Begriffsdefinition Art. 4 Ziffer 2 DSGVO) personenbezogener Daten verboten ist, soweit die Verarbeitung nicht z. B. auf­grund einer Einwilligung zur Vertragserfüllung oder aufgrund einer Interessen­abwägung erlaubt ist (Grundsatz der Rechtmäßigkeit). Die bekannten Grundsätze Zweckbin­dung, Richtigkeit, Datenminimierung (bislang Datensparsamkeit) finden sich nun in Art. 5 DSGVO kodifiziert. Zu­dem ist die Datenverarbeitung mög­lichst transparent für den Betroffenen zu gestalten, was sich in vielfältigen In­formationspflichten widerspiegelt (z. B. Art. 14 bis 16 DSGVO). Der gestie­gene Dokumentationsbedarf resultiert im Wesentlichen aus dem in Art. 5 Abs. 2 DSGVO verankerten Grundsatz der „Rechenschaftspflicht“ – der für die Datenverarbeitung Verantwortliche muss die Einhaltung der Rechtmäßigkeit der Verarbeitung „nachweisen“ können. Spezielle Vorschriften zur Datenverar­beitung für Werbezwecke enthalten die neuen Vorschriften nicht mehr. Neben der Einwilligung (Art. 6, 7 DSGVO) bietet zukünftig die Interessenabwägung gem. Art. 6 Abs. 1 lit. f) DSGVO regel­mäßig eine angemessene Rechtsgrund­lage zur Verarbeitung personenbezoge­ner Daten für Werbezwecke. Hervorzuheben ist der stark angehobene Bußgeldrahmen (bis zu 20 Mio. Euro oder 4 % des weltweit erzielten Jahres­umsatzes, Art. 83 Abs. 5 DSGVO, grundsätzlich schon einschlägig bei Verletzung der o. g. Grundsätze).Insbesondere mit den neuen Begrifflich­keiten (z. B. Einschränkung statt Sper­rung) oder vergleichbaren Regelungen (z. B. Datenschutz­ Folgenabschätzung statt Vorabkontrolle) wird man sich, auch dank der erläuternden Erwägungs­gründe, schnell zurechtfinden.

Umsetzung der neuen Vorgaben


Der Aufwand zur Umsetzung der neuen Vorgaben hängt maßgeblich vom Um­fang der durch das Unternehmen verarbeiteten Daten ab sowie von der Frage, wie umfassend bisher datenschutzrecht­lich relevante Vorgänge dokumentiert wurden. Die Aufsichtsbehörden für den Datenschutz erarbeiten fortlaufend Infor­mationsdokumente und Umsetzungshil­fen. Auch verbundintern werden derzeit Leitfäden und Muster entwickelt, die den Genossenschaften über die Ver­bände zur Verfügung gestellt werden. Unternehmen, die schon jetzt über ein ausgeprägtes Informationssicherheits­anagementsystem (ISMS) verfügen, können viele der dort vorhandenen In­formationen auch für die datenschutz­rechtlich erforderliche Dokumentation nutzen. Bei komplexen und umfangrei­chen datenschutzrechtlichen Verfahren wird zukünftig regelmäßig auch ein um­fassendes Datenschutzmanagementsys­tem erforderlich sein. Eine verstärkte Zusammenarbeit der Bereiche Informa­tionssicherheit und Datenschutz ist in jedem Fall geboten. Zur Umsetzung der neuen Vorgaben bietet sich eine Projektstruktur an. Durch die Projektgruppe sollte zunächst eine Bestandsaufnahme erfolgen: Welche Verfahren mit personenbezoge­nen Daten bestehen im Unternehmen? Auf welcher Rechtsgrundlage erfolgt die Datenverarbeitung? Welche Sicher­heitsmaßnahmen wurden getroffen? Sodann ist dieser Istzustand mit dem Sollzustand nach neuem Recht abzu­gleichen; etwaige Defizite sind ange­messen zu beheben. Bei der Analyse sind insbesondere fol­gende Punkte zu beachten:

  • Rechtsgrundlagen der Verarbeitung (Art. 5 und 7 DSGVO)• Sicherung der Betroffenenrechte (Art. 13–17, 20 und 21 DSGVO)
  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)
  • Überprüfung der Dienstleistungsbe­ziehungen (Art. 28, 29 DSGVO)
  • Datenschutzfolgen­ Abschätzung (Art. 35, 36 DSGVO)
  • Datensicherheit (Art. 24, 32 DSGVO) und Dokumentationspflichten

Fazit


Das neue Datenschutzrecht hat viele altbekannte Grundsätze und Regelun­gen im Gepäck. Gleichwohl werden die neuen Vorgaben Umsetzungsaufwand verursachen. Den angemessenen Verarbeitungsmöglichkeiten für Unternehmen stehen verschärfte Dokumentations­- und Informationspflichten gegenüber. Der hohe Bußgeldrahmen veranschaulicht den gestiegenen Anspruch von Staat und Gesellschaft an die Rechtmäßigkeit bei der Verarbeitung personenbezoge­ner Daten.

Folgende Artikel unseres Fachmagazins PerspektivePraxis könnten Sie auch interessieren:


Recht & Steuern

Digitaler Aufbruch in der Betriebsprüfung | Teil II:

Wie verhalten während der Durchführung?

Mehr
Recht & Steuern

Digitalisierung bei Genossenschaften

Geht es nun der Schriftform an den Kragen?

Mehr
Recht & Steuern

Bitte ein Bot – Genossenschaftsbeitritt per Roboter?

Zulassungsverfahren per Robotic Process Automation

Mehr