2. Grundsätze
Die Grundsätze einer Datenverarbeitung, insbesondere der Grundsatz des Verbots mit Erlaubnisvorbehalt, bleiben weitestgehend unberührt. Personenbezogene Daten sind auch nach der EU-DSGVO alle Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen. Die Identifizierung kann durch eine „Kennung“ (Name, Standortdaten, Cookies) oder besondere Merkmale (physische, physiologische, kulturelle oder soziale Identität) erfolgen. Weiter gefasst als zuvor wird das Erfordernis der Zweckbindung. Diese erfolgt auf Basis „vernünftiger“ Erwartungen des Betroffenen, wobei der Verantwortliche jedoch einer Rechenschaftspflicht bezüglich der Einhaltung der Grundsätze unterliegt.
3. Einwilligung
Wie bisher, wird auch zukünftig die Einwilligung als Legitimation der Datenverarbeitung eine wichtige Rolle einnehmen. Die Anforderungen an eine wirksame Einwilligung sind jedoch deutlich strenger als nach heutiger Rechtslage. Eine Einwilligung gemäß Art. 7 EU-DSGVO bedarf allerdings nicht zwingend der Schriftform. Diese muss lediglich durch eine unmissverständliche Handlung erfolgen, worunter auch das Anklicken einer Klickbox oder eine E-Mail fällt. Stillschweigen oder bereits angekreuzte Kästchen hingegen reichen nicht aus. Zwingende Voraussetzung ist, dass der Betroffene vollständig informiert ist. Ihm ist unter anderem die Identität des Verantwortlichen sowie jeder einzelne Zweck der Verarbeitung mitzuteilen. Soll der Betroffene mittels Allgemeiner Geschäftsbedingungen seine Einwilligung erklären, ist dies deutlich hervorzuheben. Nicht zulässig ist die Einarbeitung der Einwilligung in den Kontext anderer Klauseln. Als Ausprägung der Informiertheit ist der Einwilligungstext zudem in Alltagssprache zu fassen. Art. 7 Abs. 4 EU-DSGVO normiert ein deutliches Kopplungsverbot. Vertragliche Einwilligungsklauseln sind demnach nur dann wirksam, wenn sie sich ausschließlich auf Daten beziehen, die zur Erfüllung des Vertrages erforderlich sind. Besonderheiten ergeben sich im Bereich der Einwilligung eines Kindes bei einem Angebot von Diensten der Informationsgesellschaft, z. B. bei E-Commerce-Plattformen. Vor Vollendung des 16. Lebensjahres ist eine Einwilligung nur durch den gesetzlichen Vertreter möglich. Unternehmen dürfen dabei nicht auf die erteilte Genehmigung vertrauen sondern sind verpflichtet, angemessene Anstrengungen zu unternehmen, um sich zu vergewissern, dass die Einwilligung durch den Erziehungsberechtigten erfolgt ist. Den Mitgliedstaaten ist es aber möglich, die Altersgrenze auf bis zu 13 Jahre herabzusenken.
4. Berechtigtes Interesse als Erlaubnis
Nach Art. 6 EU-DSGVO legitimiert nicht nur die Erfüllung eines Vertrages zur Datenverarbeitung sondern auch die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten. Hierbei hat eine Abwägung mit den Interessen oder Grundfreiheiten der betroffenen Person stattzufinden. Als Maßstab gelten dabei „vernünftige Erwartungen“ des Betroffenen.
5. Betroffenenrechte
Die EU-DSGVO räumt den Betroffenen eine Reihe von Rechten ein. So hat der Betroffene das Recht, unverzüglich die Löschung seiner Daten zu verlangen, wenn seine personenbezogenen Daten nicht mehr notwendig sind, sie unrechtmäßig verarbeitet wurden oder er von seinem Recht auf Widerruf der Einwilligung Gebrauch gemacht hat. Aus einer Löschpflicht des Verantwortlichen aus § 35 Abs. 2 S. 2 und 3 BDSG, wird ein Betroffenenrecht auf unverzügliches „Vergessenwerden“. Nach Art. 20 EU-DSGVO steht Betroffenen außerdem das Recht zu, die zur Verfügung gestellten Daten vom Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese gegebenenfalls einem anderen Verantwortlichen zu übermitteln.
6. Pflichten für Unternehmen
Die EU-DSGVO statuiert eine Reihe von Pflichten, welche die Unternehmen zwingend beachten müssen.
6.1 Informationspflichten
Sehr umfassend geregelt sind die Informationspflichten gegenüber dem Betroffenen. Dieser muss im Moment der Datenerhebung durch
klare und einfache Sprache präzise, transparent, verständlich und leicht zugänglich über die Erhebung seiner Daten informiert werden (Art. 13, 14). Er ist insbesondere zu informieren über: Zweck der Verarbeitung, einen beabsichtigten Transfer in ein Drittland, Betroffenenrechte, Widerrufsmöglichkeit, Beschwerderechte, die Quelle der Datenerhebung, sofern sie nicht beim Betroffenen selbst erhoben werden.
6.2 Meldepflicht
Die größte Veränderung wird die Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde nach Art. 33 EU-DSGVO darstellen. Wird eine solche Verletzung erkannt, muss diese unverzüglich – möglichst binnen 72 Stunden nach Bekanntwerden der Störung – der zuständigen Aufsichtsbehörde mitgeteilt werden. Eine Meldung ist nur dann nicht erforderlich, wenn ein Risiko für die Rechte und Freiheiten von natürlichen Personen unwahrscheinlich ist. Wann ein solches Risiko nicht besteht, ist dabei durch das jeweilige Unternehmen selbst zu ergründen. Der Prüfung eines „voraussichtlichen“ Risikos für die Rechte der Betroffenen wird somit entscheidende Bedeutung zukommen, die den Spagat zwischen Schutz der Reputation und Vermeidung horrender Bußgelder zu bewerkstelligen haben wird. Neben der Meldung an die zuständige Datenschutzbehörde ist der Betroffene selbst durch das Unternehmen zu informieren, falls die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte zur Folge hat.
6.3 Datenschutz-Folgenabschätzung
Zukünftig haben Unternehmen im Vorfeld einer, insbesondere durch neue Technologien durchgeführten, Verarbeitung eine Datenschutz-Folgenabschätzung vorzunehmen (Art 35 EU-DSGVO). Hierbei ermittelt der Verantwortliche mögliche Auswirkungen der
Verarbeitung auf den Schutz der personenbezogenen Daten. Eine solche ist immer dann erforderlich, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen besteht, was insbesondere bei der Verarbeitung sensibler Daten in großem Umfang oder aufgrund eines systematischen und umfassenden Profilings erforderlich sein wird. Erleichtert wird die Aufgabe der Unternehmen durch eine von der Aufsichtsbehörde erstellte Liste von Verarbeitungsvorgängen, für die eine solche Abschätzung durchgeführt werden muss.
6.4 Privacy by Design/Privacy by Default
Gänzlich neu sind die Regelungen zu Privacy by Design und Privacy by Default. Art. 25 Abs. 1 EU-DSGVO verpflichtet den Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass die Datenschutzgrundsätze, z. B. Datenminimierung eingehalten werden („Privacy by Design“). Dabei hat er insbesondere den Stand der Technik, Implementierungskosten oder die Wahrscheinlichkeit des Eintritts von Risiken zu berücksichtigen. Erreicht werden soll, dass der Schutz der Privatsphäre in allen Stufen der Produktentwicklung bedacht wird. Nach Art 25 Abs. 2 EU-DSGVO sind zudem Voreinstellungen so zu treffen, dass lediglich erforderliche Daten erhoben werden („Privacy by Default“).
7. Bußgelder
Die bislang nach dem BDSG gültigen, eher moderaten Bußgelder werden durch einen erheblich erweiterten Bußgeldrahmen ersetzt. So drohen – in Abhängigkeit davon, gegen welche Bestimmung der EU-DSGVO verstoßen wurde – Bußgelder in Höhe von EUR 10 Mio. oder 2 % des weltweit erzielten Jahresumsatzes (je nachdem, welcher Betrag höher ist) oder sogar EUR 20 Mio. oder 4 % des weltweit erzielten Jahresumsatzes.
8. Fazit und Ausblick
Die zweijährige Umsetzungsfrist erscheint als langer und ausreichender Zeitraum. Vergegenwärtigt man sich aber die neu eingeführten Betroffenenrechte, technischen Vorkehrungen und die notwendige Überprüfung bestehender Verträge, wird schnell deutlich, dass eine Umsetzung innerhalb des Unternehmens keinerlei Aufschub duldet. Verstärkt wird diese Notwendigkeit durch die Androhung horrender Bußgelder, welche unmittelbar mit Verstreichen der Frist anwendbar sind.
Detlef Klett,
Rechtsanwalt, Fachanwalt für Informationstechnologierecht,
Taylor Wessing
