Am 15.12.2015 haben sich die Verhandlungsführer der EU-Kommission, des EU-Parlaments sowie der Mitgliedstaaten (Trilogverhandlungen) auf eine Reform der Datenschutzregelungen geeinigt. Wir möchten Ihnen, unseren Lesern, in einer Beitragsreihe die wichtigsten Änderungen der DSGVO in den nächsten Wochen vorstellen.

Die DSGVO führt zur umfassenden Neuausrichtung des bisher geltenden Datenschutzrechts. Jedoch wird man schnell feststellen, dass die EU das Datenschutzrecht nicht völlig neu erfunden hat. Für Unternehmen beginnt daher jetzt die Phase, in der Prozesse anhand der neuen Rechtslage überprüft und Lösungswege entwickelt werden müssen. Wir werden in den nächsten Monaten besonders wichtige Bereiche der DSGVO herausgreifen und in kurzen Beiträgen darstellen, ob sich Änderungen zur bisherigen Rechtslage ergeben und wie mit diesen umgegangen werden kann.

Folgende Themen werden wir in den nächsten Wochen in unserem Blog darstellen:

1. Datenschutzrechtliche Grundlagen – Alles neu in der DSGVO?

Gilt weiterhin ein Verbot mit Erlaubnisvorbehalt? Was wurde aus dem Grundsatz der Zweckbindung und der Datensparsamkeit? Müssen sich Konzerne weiterhin ohne Konzernprivileg durchschlagen oder wird die Datenverarbeitung im Konzern erleichtert? Was ist die gemeinsam verantwortliche Stelle (joint controller)?

2. Einwilligung

Was sind die neuen Anforderungen an eine rechtkonforme Einwilligung? Was sind die zu beachtenden Formalien? Müssen Einwilligungen weiterhin schriftlich erfolgen? Darf ein Vertragsabschluss von einer Einwilligung (für Werbung etc.) abhängig gemacht werden? Gibt es kein „take it or leave ist“ mehr (Kopplungsverbot)?

3. Datenschutzmanagement Teil 1

Welche Mindestanforderungen werden an ein Datenschutzmanagement in Unternehmen gestellt? Muss das Verfahrensverzeichnis weitergeführt oder sogar ausgebaut werden? Bestehen Pflichten zur Vorabkontrolle bei bestimmten Datenverarbeitungsvorgängen? Wie müssen Mitarbeiter vertraglich besonders verpflichtet werden?

4. Datenschutzmanagement Teil 2

Wann sind Datenpannen an Aufsichtsbehörden zu melden? Wann haben Unternehmen einen internen oder externen Datenschutzbeauftragten zu benennen?

5. Outsourcing

Auch in Zukunft werden Dienstleistungen in der Datenverarbeitung eine große Rolle spielen, z.B. Cloud-Dienste, CRM-, Newsletter- oder Webseiten-Analyse-Tools. Grundlage hierfür bildete oft eine Vereinbarung zur Auftragsdatenverarbeitung. Besteht dieses Werkzeug weiterhin? Ob und inwiefern müssen vorhandene Verträge angepasst werden? Wie kommen Auftraggeber zukünftig den Prüfpflichten nach? Welche Garantien müssen eingeholt werden? Auch die Dienstleister beim Outsourcing müssen sich auf Änderungen einstellen. Wir werden darstellen, in welchem Umfang Dienstleister in der Zukunft in der Verantwortung stehen und wie hiermit praktisch umgegangen werden kann.

 6. IT-Sicherheit

Nicht nur das deutsche IT-Sicherheitsgesetz oder die geplante EU-NIS-Richtlinie treffen Vorgaben zur IT-Sicherheit. Auch die DSGVO wird zum Thema technische und organisatorische Maßnahmen Anforderungen setzen. Bei Sicherheitsvorfällen wird es für Unternehmen bares Geld wert sein, das erforderliche IT-Sicherheits-Niveau erreicht zu haben. Die DSGVO erweitert die bestehenden Regelungen erheblich.

7. International – wann gilt welches Recht/ Übermittlung von Daten ins Ausland

Die DSGVO hat das Ziel, international tätige Unternehmen schneller an das europäische Datenschutzrecht zu binden. Ist dies gelungen? Wann ist die DSGVO anwendbar? Müssen von Unternehmen darüber hinaus nationale Normen beachtet werden? Welche Öffnungsklauseln sieht die DSGVO für nationales Recht vor? Wann sind nationale Aufsichtsbehörden zuständig? Was wird aus Safe Harbor? Bestehen die sicheren Drittstaaten weiterhin fort? Was wird aus den geschlossenen EU-Standardvertragsklauseln – welche Anpassungen sind vorzunehmen? Müssen Binding Corporate Rules (BCR)nachgebessert werden?

8. Bereichsspezifische Datenverarbeitung

Trifft die DSGVO Regelungen zum Beschäftigtendatenschutz, die die bestehende Rechtslage konkretisieren? Was gilt bei der Datenverarbeitung durch die Öffentliche Hand? Wann gilt die DSGVO für Behörden? Was haben Behörden zu beachten, wann gelten nationale Normen weiter?

9. Besondere Arten personenbezogener Daten

Bestimmten Daten – wie z.B. Gesundheitsdaten, biometrischen und genetischen Daten – wird in der DSGVO eine Sonderrolle eingeräumt. Änderungen betreffen z.B. den Pharmabereich, Anbieter von Gesundheits-Apps oder Kirchen. Wie können diese besonderen Daten nach der DSGVO verarbeitet werden? Ist weiterhin eine ausdrückliche Einwilligung des Betroffenen notwendig? Wie können Daten zu strafrechtlichen Verurteilungen verarbeitet werden? Welche Grenzen bestehen bei der Verarbeitung personenbezogener Daten von Kindern, z.B. im Sportverein?

10. Videoüberwachung

Bestehen die Vorgaben an die Videoüberwachung fort? Was wird aus der verdeckten Überwachung? Können bestehende Hinweisschilder weiter verwendet werden?

11. Informationspflichten

Müssen meine Kunden auch weiterhin über die Datenverarbeitung informiert werden? Wann und wie hat dies zu erfolgen? Bestehen Besonderheiten bei Scoringverfahren und Bonitätsprüfungen?

12. Datenverarbeitung im Internet

Müssen Webseitenbetreiber weiterhin eine Datenschutzerklärung auf der Webseite vorhalten? Wie ist diese einzubeziehen? Haben sich Änderungen bezüglich des Einsatzes von Cookies und Webtrackingtools ergeben? Bestehen die Regelungen des Telemediengesetzes weiterhin fort?

13. Werbung

Wann sind Marketingmaßnahmen mit personenbezogenen Daten zulässig? Was wird aus dem Adresshandel? Wie können Kundenbindungssysteme weiter eingesetzt werden? Bestehen Widerspruchsrechte von Betroffenen? Was regelt die DSGVO unter dem Begriff Profiling?

14. Betroffenenrechte

Was ist aus den umfassenden Ansprüchen des Betroffenen geworden, z.B. dem Auskunfts-,  und Widerspruchsrecht? Welche Pflichten ergeben sich aus dem neuen Anspruch auf Datenportabilität? Eines der Hauptziele der DSGVO war ein umfassender Löschungsanspruch von Betroffenen. Dieser fand auch entsprechende Umsetzung in der DSGVO. Was haben Unternehmen nunmehr zu beachten? Ergeben sich Änderungen für das eigene Löschkonzept? Was ist, wenn Daten für die Vertragserfüllung oder zur Abwehr von Ansprüchen noch benötig werden?

15. Datenschutz-Folgenabschätzung/ Konsultation

Die DSGVO kommt mit einem dem BDSG unbekannten Begriff daher. Was ist unter einer Datenschutz-Folgenabschätzung zu verstehen? Welche Pflichten ergeben sich für die Unternehmen? Wann müssen die Unternehmen die Aufsichtsbehörden konsultieren, um Bußgelder zu vermeiden?

16. Datenschutzkontrolle/ Audits/ Zertifizierung

Die Dokumentation und Gewährleistung von hinreichenden Garantien wird auch in Zukunft, insbesondere im Outsourcing, eine wichtige Rolle spielen. Die DSGVO trifft hier weitergehende Vorgaben als nach dem BDSG. Welche sind dies und was ist hier die richtige Unternehmensstrategie, um mit einem vertretbaren Preis-Leistungsverhältnis ans Ziel zu kommen?

17. Meldung von Datenpannen

Daten kommen beim Dienstleister oder von den eigenen Servern abhanden. Ein Mitarbeiter vergisst ein Notebook in der Bahn. Nachdem alle technisch-organisatorischen Maßnahmen getroffen wurden um die Datenpanne zu beheben und weiteren Schaden abzuwenden, stellt sich die Frage, muss der Vorfall an die betroffene Person oder sogar Behörden gemeldet werden? Bleiben die Reglungen des § 42a BDSG (Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten) erhalten?

18. Sanktionen

Welche Sanktionen – z.B. Ordnungswidrigkeiten, Schadensersatzansprüche – sich aus den einzelnen Vorgaben ergeben, wird bereits im jeweiligen Blogbeitrag erörtert. Ein weiterer Blogbeitrag wird aufzeigen, welche Höchststrafen möglich sind, wie Rechtmittel und Verfahren aussehen und welche Strategien zur Vermeidung bzw. Minimierung möglich sind.

19. Aufsichtsbehörden

Welche neuen Rechte und Pflichten ergeben sich für die Aufsichtsbehörden? Wann sind diese zuständig und was ist eigentlich der One-Stop-Shop?