Neue EU-Datenschutzgrundverordnung kommt

Übergangsfrist nutzen

Im April 2016 hat das Europäische Parlament der neuen EU-Datenschutzgrundverordnung zugestimmt. Unternehmen sollten die Übergangszeit bis 2018 nutzen, um sich auf das neue Recht einzustellen.

IP-Adressen von Webseitenbesuchern sind künftig personenbezogene Daten und müssen als solche behandelt werden. Foto: Guy Erwood.

Die neue Verordnung tritt vor allem in die Fußstapfen des bisherigen Bundesdatenschutzgesetzes. Manche Bereiche sind uns bereits aus dem geltenden Recht vertraut. Es kommen aber auch neue Anforderungen auf die Unternehmen zu. Hier ein erster Überblick:

1. Weniger Schlupflöcher – Ausweitung des Geltungsbereichs

Die EU-Datenschutzgrundverordnung regelt erstmals einige in der Vergangenheit streitige Punkte. Bisher konnte man sich zum Beispiel auf den Standpunkt stellen, dass die IP-Adressen der Besucher einer Webseite kein personenbezogenes Datum sei oder die Anbieter ohne weiteres Cookies (kleine Textdateien zur Identifizierung wiederkehrender Besucher) setzen durften. Beides wird sich ändern. Auch eine „Pseudonymisierung“ von Daten fällt künftig in den Anwendungsbereich.

Der örtliche Geltungsbereich der Verordnung wurde angepasst. Wie bisher gilt das Gesetz für Unternehmen mit Niederlassungen in der EU. Es reicht aber künftig aus, wenn Personen in der EU (auch kostenlos) Waren oder Dienstleistungen angeboten bekommen beziehungsweise deren Verhalten beobachtet werden soll.

2. Analysierung und Dokumentation der Unternehmensprozesse

Unternehmen müssen bereits heute den Umgang mit Daten dokumentieren (in einem sogenannten Verfahrensverzeichnis). Die Anforderungen daran werden steigen, nicht zuletzt weil Betroffene mehr Auskunftsrechte erhalten und bei Verstößen unmittelbar die Datenschutzaufsicht zu informieren ist. Wo werden die Daten erhoben und verarbeitet? Liegt die Einwilligung des Betroffenen oder eine gesetzliche Grundlage im Einzelnen vor?

Hat eine Form der Verarbeitung (insbesondere bei Verwendung neuer Technologien) voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge? Dann hat das Unternehmen eine Abschätzung der Folgen der Datenverarbeitung vorzunehmen. Aufsichtsbehörden werden künftig Listen dieser Vorgänge veröffentlichen. Diese gilt es zu beachten. In einigen Fällen ist die Datenschutzaufsicht sogar unmittelbar vorab zu beteiligen.

3. Überprüfung der bisherigen Einwilligungen zu Marketing-Zwecken

Künftig ist datenschutzrechtlich keine besondere Form der Einwilligung mehr notwendig. Da aber die Einwilligung dokumentiert werden muss, wird man kaum um die Schriftform herumkommen. Die Einwilligung muss wie bislang freiwillig erfolgen, die Folgen für den Betroffenen müssen klar und leicht verständlich sein. Seitenlange, kaum lesbare Erklärungen dürften nicht mehr genügen. Künftig darf ein Vertragsschluss nicht mehr an eine Einwilligung gekoppelt werden. Nur die Daten dürfen erhoben werden, die zur Erfüllung des Vertrags notwendig sind.

4. Überprüfung der Verträge bei Datenübertragung an Dritte

Das Recht der Auftragsdatenverarbeitung (künftig: Auftragsverarbeitung) wurde ebenfalls angepasst. So dürfen Unternehmen, die im Auftrag Daten verarbeiten (zum Beispiel Cloud-Anbieter, Druckereien etc.), grundsätzlich keine Subunternehmer mehr einsetzen. Der Datenverarbeiter muss alle seine Mitarbeiter auf das Datengeheimnis verpflichten. Die Kriterien für die Auswahl des Verarbeiters sind strenger als bislang zu dokumentieren. Dazu gehört auch, warum dieser Dienstleister ausgewählt und wie er kontrolliert wurde.

5. Einführung datenschutzfreundlicher Einstellungen bei Unternehmens-Software

Bei der Entwicklung und Installation von IT-Systemen ist künftig darauf zu achten, dass diese dem Grundsatz der Datensparsamkeit bestmöglich genügen („privacy by design“). Software muss so eingestellt werden, dass keine unnötigen Daten erhoben und verarbeitet werden („privacy by default“).

6. Bußgelder bis 20 Millionen Euro

Schließlich hat die EU nicht vergessen, die Bußgelder bei Verstößen deutlich zu erhöhen. Auch große Unternehmen dürften sich durch mögliche Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes beeindrucken lassen.

Autor:

Daniel Kühn
Telefon (069) 8207-225
E-Mail kuehn@offenbach.ihk.de