Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.

Es ist nicht alles neu in der Datenschutzgrundverordnung (DSGVO). Der erste Beitrag in unserer Blogreihe wird zeigen, dass die großen Pfeiler des bisherigen nationalen Datenschutzrechts erhalten geblieben sind. Im Kern kann dies auch nicht verwundern, da das bisherige deutsche Datenschutzrecht auch schon im Wesentlichen auf europäischen Richtlinien basierte. Teilweise haben sich aber auch weitreichende Änderungen ergeben (z.B. Konzernprivileg, Direkterhebungsgrundsatz).

1. Grundsätzliches zur Datenschutz-Grundverordnung

Die DSGVO wird voraussichtlich im Frühjahr 2018 in Kraft treten. Ein wesentlicher Unterschied zu den bereits bestehenden EU-Datenschutz-Richtlinien ist, dass die Verordnung zum genannten Zeitpunkt unmittelbar gelten wird. Es bedarf keiner Umsetzung mehr in das deutsche Recht. Selbst wenn das BDSG noch nicht aufgehoben sein sollte, würden die Regelungen der DSGVO unmittelbaren Anwendungsvorrang genießen (EuGH – Urteil v. 15.07.1964 Costa ./. E.N.E.L.). Da die DSGVO über die Öffnungsklauseln aber dem deutschen Gesetzgeber noch großen Spielraum einräumt, ist davon auszugehen, dass bald eine nationale Initiative starten wird, das deutsche BDSG entsprechend zu überarbeiten, um einen widerspruchsfreien Übergang zu gewährleisten.

Datenschutzrechtliche Regelungen werden daher auch zukünftig in unterschiedlichsten Gesetzen zu finden sein, wobei der erste Blick nunmehr zunächst in die DSGVO zu erfolgen hat.

2. Verbot mit Erlaubnisvorbehalt

Der Kerngedanke des Datenschutzrechtes bleibt erhalten. Jede Datenverarbeitung wird auch in Zukunft einer gesetzlichen Erlaubnis oder Einwilligung des Betroffenen bedürfen. In Artikel 6 DSGVO wird abschließend aufgezählt, unter welchen Bedingungen eine Datenverarbeitung rechtmäßig ist:

„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“

 

3. Das „kleine“ Konzernprivileg

Ein Standardproblem für gesellschaftsrechtlich verbundene Unternehmen stellt das fehlende Konzernprivileg im Datenschutzrecht dar. Jede Gesellschaft wird als externe Stelle betrachtet und muss eine gesonderte Rechtfertigung suchen, um die Personaldatenverarbeitung oder andere Dienste im Konzern bündeln zu können. Ursprünglich fand sich im Parlamentsentwurf unter Art. 22 Abs. 3a DSGVO ein ausdrückliches Konzernprivileg. Hiervon ist der Kompromissvorschlag abgewichen und hat eine allgemeine Formulierung in den Erwägungsgründen (48) aufgenommen:

“Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.”

Rechtssystematisch würde man eine Datenverarbeitung dann auf Art. 6 Abs. 1  DSGVO stützen. Die Lösung ist vom Gesetzgeber nicht optimal gewählt, da Erwägungsgründe formal nicht dem Gesetzestext zuzuordnen sind, sondern nur als Auslegungshilfe zum eigentlichen Gesetzestext dienen. Die Rolle ähnelt daher der deutschen Gesetzesbegründung. Man kann im Ergebnis folgendes festhalten:

  • ein umfassendes/ ausdrückliches Konzernprivileg wird auch durch die DSGVO nicht geschaffen,
  • Aufsichtsbehörden und Gerichte haben es zukünftig schwer, ein berechtigtes Interesse bei der Bündelung von Kunden- und Mitarbeiterdaten zu „internen Verwaltungszwecken“ im Konzern zu verneinen,
  • Unternehmen müssen auch zukünftig jedes Verfahren einzeln auf Rechtmäßigkeit prüfen und mit den Interessen der betroffenen Personen abwägen, hierbei können auch weiterhin vertragliche Vereinbarungen zwischen den Unternehmen eine hilfreiche Stütze sein,
  • eine Übermittlung in Drittstaaten, insbesondere den USA, ist auf diesen Weg nicht zu rechtfertigen.

Sofern im Konzern wirksame Maßnahmen zur Gewährleistung eines einheitlichen Datenschutzniveaus und zur IT-Sicherheit etabliert und verbindlich festgelegt sind, dürfte zukünftig ein Datentransfer im Konzern somit wesentlich einfacher werden. Wie die Rechtsprechung mit dem neuen Erwägungsgrund umgeht, bleibt abzuwarten.

 4. Zweckbindung

Eine hohe Hürde für Unternehmen stellt der Zweckbindungsgrundsatz im Datenschutzrecht dar. Demnach muss für jedes Datum der Verarbeitungszweck konkret festgelegt werden. Nur so lässt sich die Rechtmäßigkeit der Verarbeitung überhaupt überprüfen (mit anderen Worten: das Gegenteil von Big Data). Wird der Verarbeitungszweck geändert, sind die datenschutzrechtlichen Hürden identisch zur ursprünglichen Erhebung der Daten. Noch bis kurz vor Abschluss der Trilogverhandlungen zur DSGVO wurde von der Bundeskanzlerin Angela Merkel gefordert, Daten als wichtigsten Rohstoff des 21. Jahrhunderts zu verstehen, so dass Datenschutz „nicht die Oberhand“ gewinnen dürfe. Dies hätte vor allem den Grundsatz der Zweckbindung und Datensparsamkeit betroffen. Auch wenn der Teufel immer im Detail und der konkreten Normeninterpretation liegt, wird die Zweckbindung als Grundsatz weiterhin die datenschutzrechtliche Prüfung bestimmen, Art. 5 Abs. 1 DSGVO:

“Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ” […] (“Zweckbindung”)”.

 Eine „Zweckerweiterung“ ist nach Art. 6 Abs. 4 DSGVO nach einer Interessenabwägung aber möglich. Daten können somit auch auf diesem Weg das Öl des 21. Jahrhunderts werden, es wird nur mehr Aufwand und Kreativität bei der Rechtfertigung von Prozessen gefordert sein.

5. Datensparsamkeit

Eine Herausforderung für jedes Verfahren ist die Datensparsamkeit. Selbst wenn bei einer Datenverarbeitung eine Rechtsgrundlage gefunden wurde und diese auch einschlägig ist, müssen die Ziele der Datenvermeidung und Datensparsamkeit berücksichtigt werden, d.h.

  • so wenig Daten wie möglich sollen verarbeitet werden,
  • Daten sollen wo möglich pseudonymisiert und anonymisiert werden.

Hier die richtige Grenze zu finden und Systeme bzw. Verfahren entsprechend zu gestalten, stellt oft einen längeren Prozess dar. Auch in diesem Punkt werden Unternehmen nicht entlastet. Denn der allgemeine Auffangtatbestand der Datensparsamkeit bleibt ebenfalls erhalten, Art. 5 Abs. 1 DSGVO:

Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (“Datenminimierung”)”.

6. Datenrichtigkeit

Der Grundsatz der Datenrichtigkeit wurde im bisherigen Datenschutzrecht vor allem über Berichtigungs- und Löschungsansprüche von Betroffenen umgesetzt (§ 35 BDSG) und findet nun über Art. 5 Abs. 1d) DSGVO eine gesonderte Regelung:

„Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (“Richtigkeit”)”.

Bei genauerer Betrachtung geht das Recht auf Datenrichtigkeit sogar weiter als das bisherige BDSG. Denn die Daten sind auf dem korrekten Stand zu halten. Diese neue – ausdrücklich hervorgehobene – Pflicht, Daten auf einem korrekten Stand zu halten, könnte spiegelbildlich auch zu mehr Rechten bei Unternehmen führen. Auch hier wird gelten, im konkreten Verfahren das richtige Maß zu finden. Der Grundsatz war in dieser weiten Ausprägung bereits in Art. 6 Abs. 1 d) der EU-Datenschutz-Richtlinie (95/46/EG) enthalten, wurde aber vom deutschen Gesetzgeber im BDSG nie so umgesetzt.

7. Speicherungsfristen

Löschkonzepte müssen auch weiterhin im Unternehmen etabliert werden. Fristen haben sich unverändert an der Erforderlichkeit für den Verarbeitungszweck zu orientieren:

„Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; […] (“Speicherbegrenzung”)”. (Art. 5 Abs.1 e) DSGVO)”.

8. IT-Sicherheit

Personenbezogene Daten müssen auch weiterhin durch angemessene technische und organisatorische Maßnahmen geschützt werden, Art. 5 Abs. 1f) DSGVO:

„Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (“Integrität und Vertraulichkeit”)”.

9. Transparenz/ Treu und Glauben

Nach Art. 5 Abs.  1a) DSGVO müssen personenbezogene Daten transparent und nach Treu und Glauben verarbeitet werden. Das Transparenzgebot stellt keinen neuen Grundsatz zum jetzigen Recht dar und findet vor allem Niederschlag in der nach Art. 12 ff. DSGVO vorgeschriebenen Information des Betroffenen. Neu ist hingegen die Aufnahme des aus dem Zivilrecht hinlänglich bekannten Auffangtatbestandes von Treu und Glauben, vgl. § 242 BGB. Unter diesen werden eine Vielzahl von Fallgruppen gefasst (z.B. Rechtsmissbrauch, widersprüchliches Verhalten). Nunmehr wird diese allgemeine Lauterkeitsnorm ausdrücklich ins Datenschutzrecht überführt. Der Grundsatz von Treu und Glauben war bereits in Art. 6 Abs. 1 a) der EU-Datenschutz-Richtlinie (95/46/EG) enthalten, wurde aber vom deutschen Gesetzgeber im BDSG nie so umgesetzt. Das praktische Potential dieses bis ins römische Recht zurückführenden und auch in anderen Nationen etablierten Rechtsbegriffs ist nicht zu unterschätzen. Dies gilt vor allem unter dem Gesichtspunkt, dass die DSGVO teilweise sehr allgemeine oder gar keine Festlegungen trifft (z.B. Scoring, Videoüberwachung). An diesen Stellen können Behörden und Gerichte zukünftig auf den Grundsatz von Treu und Glauben zurückgreifen.

10. Verantwortlichkeit/ Dokumentation

Nach Art. 5 Abs. 2 DSGVO trägt der  Verantwortliche dafür Sorge, dass die datenschutzrechtlichen Grundsätze eingehalten werden. Wichtig ist hier, dass diese Pflicht nur den „Verantwortlichen“ (Art. 4 Nr. 7) und nicht den „Auftragsverarbeiter“  trifft. Dies gilt auch schon nach jetzigem Recht. Ganz ohne Pflichten bleibt der Auftragsverarbeiter aber nicht. Vielmehr werden die Pflichten an anderen Stellen der DSGVO im Verhältnis zur jetzigen Rechtslage umfassend erweitert und mit den Pflichten des Auftraggebers gleichgezogen (z.B. Art. 30 Abs. 2 DSGVO Dokumentationspflichten, Schadenersatz des Betroffenen nach Art. 82 DSGVO). Einen weiteren Beitrag hierzu finden Sie in unserem Blog.

Neu ist die – ausdrückliche – Regelung, dass über die Einhaltung der datenschutzrechtlichen Grundsätze Rechenschaft abzulegen ist („Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (“Rechenschaftspflicht”) . Unternehmen sollten – wie auch schon nach jetziger Rechtslage – in ein dokumentiertes Datenschutzkonzept investieren, um Haftungsrisiken auszuschließen.

11. Direkterhebung – keine Pflicht mehr

Der Grundsatz der Direkterhebung hat keine ausdrückliche Regelung in der DSGVO erhalten. Nach derzeitiger Rechtslage sind Daten grundsätzlich beim Betroffenen zu erheben. Von dieser Pflicht sind Unternehmen nunmehr befreit, sofern die genau für diesen Fall vorgesehenen Informationspflichten des Art. 14 DSGVO eingehalten werden.

12. Gemeinsam für die Verarbeitung Verantwortliche – joint controllers

Neu ist die Regelung der joint controllers, Art. 26 DSGVO. Die Rechtsfigur des „joint controller“ wurde von der Artikel 29 Gruppe bereits seit Jahren verwendet. Sofern das BDSG von zwei verantwortlichen Stellen bei derselben Datenverarbeitung ausgeht, knüpften sich hieran bisher keine besonderen datenschutzrechtlichen Pflichten. Nunmehr müssen Unternehmen auch in diesem besonderen Fall eine „kleine Vereinbarung zur Auftragsverarbeitung“ schließen. Diese muss folgende „transparente“ Regelungen enthalten:

  • Aufgabenverteilung gemäß der Pflichten nach der DSGVO,
  • wie werden Betroffenenrechte gewahrt,
  • wer erfüllt die Informationspflichten nach Art. 13 f. DSGVO,
  • Festlegung einer Kontaktstelle für den Betroffenen,
  • Beschreibung der Funktion und Beziehung zum Betroffenen; einschließlich Mitteilung dieser Punkte an den Betroffenen.

13. Fazit

Die Grundsätze des Datenschutzrechtes sind erhalten geblieben, auch wenn es im Detail erhebliche Änderungen gegeben hat (s.o. Wegfall der Direkterhebung, ein kleines Konzernprivileg, Vereinbarung der joint controllers, Treu und Glaube, Datenrichtigkeit). Die allgemeinen Leitplanken des Datenschutzrechts sind jedoch auch nach der DSGVO im Wesentlichen gleich geblieben.

Weitere Beiträge zur DSGVO in unserem Blog.

Update 11.4.2016: Der Artikel wurde an die konsolidierte Fassung der DSGVO vom 6.4.2016 angepasst.