Reform des Datenschutzrechts: Ein Überblick (Teil 1)

Neue Pflichten, höhere Haftungsrisiken – wenn am 25. Mai 2018 die europäische Datenschutzverordnung (DSGVO) in der EU und gleichzeitig das neue Bundesdatenschutzgesetz (BDSG) in Kraft treten, kommt auf die Wirtschaft einiges zu. Wir stellen in einer zweiteiligen Reihe die wichtigsten Neuregelungen vor. Lesen Sie in Teil 1 mehr zu Einwilligung und Datenschutzerklärung sowie Details zu den Rechten Betroffener.

Ab dem 25. Mai 2018 gilt die europäische Datenschutzverordnung (DSGVO) unmittelbar in allen Mitgliedsstaaten der Europäischen Union und bedarf grundsätzlich keiner Umsetzung durch nationale Gesetzgeber. Ziel der DSGVO ist eine Harmonisierung des Datenschutzniveaus in den Mitgliedsstaaten. Gleichzeitig wurde das Bundesdatenschutzgesetz (BDSG) im Rahmen des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (DSAnpUG-EU) an die DSGVO angepasst und tritt ebenfalls am 25. Mai 2018 als Neufassung des BDSG in Kraft. Das neue BDSG darf nicht im Widerspruch zur DSGVO stehen. Diese sieht allerdings einige sogenannte Öffnungsklauseln vor, wodurch die Mitgliedsstaaten die Möglichkeit erhalten, bestimmte Bereiche abweichend oder ergänzend von der DSGVO zu regeln. Wir stellen einige der wichtigsten Neuregelungen vor.

Einwilligung

Das allgemeine Grundprinzip des Verbots mit Erlaubnisvorbehalt bleibt bei der Erhebung und Verarbeitung  personenbezogener Daten erhalten, wobei Art. 6 DSGVO die Erlaubnistatbestände aufzählt. Zudem wird in Art. 4 Nr. 11 DSGVO der Begriff der „Einwilligung“ ausdrücklich definiert und Art. 7 DSGVO enthält zusätzliche Bedingungen für dessen Wirksamkeit. Nach dem neuen Datenschutzrecht ist zwar keine Schriftform mehr erforderlich. Allerdings muss die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisieren, was der Verantwortliche jederzeit nachweisen können muss. Dabei genügen Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person nicht als Einwilligung.

Datenschutzerklärung

Wenn ein Unternehmen bei dem Betroffenen Daten erhebt, muss es nach Art. 13 DSGVO nicht nur den Namen und die Kontaktdaten des Verantwortlichen sowie den Verarbeitungszweck mitteilen. Nunmehr hat es den Betroffenen auch über Folgendes zu informieren:

– die Kontaktdaten des Datenschutzbeauftragten
– die Rechtsgrundlage der Verarbeitung, d.h. auf welchem Erlaubnistatbestand die Verarbeitung gestützt wird
– ggf. Aufklärung über das berechtigte Interesse, falls die Verarbeitung zur Wahrung dieser nach Art. 6 Abs. 1 f) DSGVO erforderlich ist
– die Empfänger oder ggf. Kategorien von Empfängern der Daten
– ggf. über die Absicht der Übermittlung personenbezogener Daten in Drittstaaten
– die Dauer der Speicherung der Daten oder ggf. die Kriterien für die Festlegung dieser Dauer
– das Bestehen eines Rechts auf Auskunft sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder auf Widerspruch sowie des Rechts auf Datenübertragbarkeit
– die Widerrufbarkeit von Einwilligungen
– das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde nach Art. 77 DSGVO
– Information darüber, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist
– ob der betroffene Nutzer verpflichtet ist, die Daten bereitzustellen und welche Folgen es hat, wenn er dem nicht nachkommt
– über das Bestehen einer automatisierten Einzelfallentscheidung einschließlich Profiling

Dies hat in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zum Zeitpunkt der Datenerhebung zu erfolgen. Wenn die personenbezogenen Daten nicht direkt beim Betroffenen erhoben werden, stellt Art. 14 DSGVO nahezu dieselben Informationspflichten auf. Hier genügt die Mitteilung allerdings innerhalb einer angemessenen Frist, spätestens jedoch nach einem Monat. Bei der direkten Erhebung kann auf die Informationspflicht gegenüber dem Betroffenen nur verzichtet werden, wenn dieser bereits über die Informationen verfügt. Wenn die Daten nicht direkt beim Betroffenen erhoben werden, sieht Art. 14 Abs. 5 DSGVO drei weitere Fälle vor.

Rechte der Betroffenen

Durch die DSGVO werden die bestehenden Rechte der Betroffenen gegen die Verantwortlichen erweitert und ein neues Recht auf Datenübertragbarkeit geschafft. Die Betroffenen haben ein umfassendes Auskunftsrecht nach Art. 15 Abs. 1 DSGVO, wonach ihnen auf Verlangen folgendes mitgeteilt werden muss:

– die Zwecke der Verarbeitung
– die Kategorien der verarbeiteten Daten
– die Empfänger oder Kategorien von Empfängern, gegenüber denen die Daten offengelegt werden, insb. wenn bei Empfängern in Drittländern oder internationalen Organisationen
– die Dauer der Speicherung der Daten oder die Kriterien für die Festlegung dieser Dauer
– das Bestehen eines Rechts auf Berichtigung oder Löschung der Daten oder auf Einschränkung der oder Widerspruch gegen die Verarbeitung
– das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
– die Herkunft der Daten, wenn die Daten nicht bei den Betroffenen selbst erhoben werden
– das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling

Zudem steht ihnen ein Recht nach Art. 15 Abs. 3 DSGVO zu, wonach sie eine kostenlose Kopie aller verarbeiteten Daten verlangen können. Dabei dürfen die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Dennoch wird sich aufgrund von Art 15 Abs. 4 DGSVO eine vollständige Auskunftsverweigerung nicht begründen lassen.

Nach Art. 16 der DSGVO haben die Betroffenen das Recht, vom Verantwortlichen die Berichtigung bzw. die Vervollständigung von unrichtigen oder unvollständigen Daten zu verlangen.

Art. 17 DGSVO gewährt den Betroffenen das „Recht auf Vergessenwerden“. Demnach können sie in gewissen Fällen die Löschung ihrer personenbezogenen Daten erreichen. Dabei ist der Verantwortliche verpflichtet, den Betroffenen zu unterstützen, sodass er z.B. eine Löschungsanweisung weiterzuleiten hat, wenn die Daten an einen Dritten weitergeleitet worden sind.

Darüber hinaus wurde mit Art. 20 Abs. 1 DSGVO ein neues Recht auf Datenübertragbarkeit geschaffen, wonach der Betroffene Daten, die er selbst aufgrund einer Einwilligung bereitgestellt hat oder die zur Erfüllung eines Vertrages erforderlich waren, strukturiert in einem gängigen maschinenlesbaren Format herausverlangen kann.

In Teil 2 der Serie erfahren Sie mehr zu den Regelungen rund um den Datenschutzbeauftragten, das Verfahrensverzeichnis und die Folgenabschätzung sowie Details zu Bußgeldern, Schadenersatz und Beschäftigtendatenschutz – und unser Gesamtfazit.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.