Header graphic for print

Datenschutz

News & Trends

Rubrik: Beschäftigtendatenschutz, DSGVO, EU-Datenschutz-Grundverordnung

EU-Datenschutz-Grundverordnung: Überblick über den neuen Gesetzentwurf zur DSGVO

Gesetzentwurf zum neuen Bundesdatenschutzgesetz (BDSG) abrufbar – Erster Überblick über geplante Regelungen

Ab Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Das Bundesministerium des Inneren (BMI) hatte bereits im August einen Referentenentwurf für ein Ausführungsgesetz vorgelegt. Das Gesetz soll „Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ (DSAnpUG-EU) heißen. Kernstück des ersten vorgelegten Entwurfs war ein „Allgemeines Bundesdatenschutzgesetz“ (ABDSG). Das ABDSG sollte eine Anpassung des deutschen Rechts an die Vorgaben der DSGVO sicherstellen. Zudem soll es die in der DSGVO vorgesehenen Öffnungsklauseln möglichst weitgehend nutzen. Dieser Entwurf war Gegenstand teilweise massiver Kritik, etwa durch die Bundesdatenschutzbeauftragte und das Bundesministerium für Justiz und Verbraucherschutz (BMJV). Nähere Einzelheiten hierzu sowie ausführliche Stellungnahmen finden Sie hier.

Ein entsprechendes Interview aus der Zeitschrift für Datenschutz (ZD) mit dem Berichterstatter der DSGVO im Europaparlament und Hogan Lovells-Partner Tim Wybitul können Sie hier mit freundlicher Genehmigung des Verlag C.H. Beck abrufen.HL Data Protection

Ein erster Überblick über den  neuen BDSG-Entwurf

Nun hat die Deutsche Vereinigung für Datenschutz e.V. (DVD) eine neue Entwurfsfassung vom 11.11.2016 geleakt. Die wichtigsten Änderungen sollen nun in einem neu gefassten Bundesdatenschutzgesetz geregelt werden. Dessen Entwurf können sie hier online abrufen. Bereits beim ersten Durchlesen fällt auf, dass der Entwurf viele Kritikpunkte nicht berücksichtigt. Nachstehend finden Sie einige für Unternehmen besonders relevante erste Eckdaten des Referentenentwurfs für ein BDSG:

  • Struktur und Klarheit: Die vom BMI vorgeschlagenen Regelungen sind komplex, wenig übersichtlich und selbst für Experten schwer verständlich. Erwägungsgrund 8 der DSGVO stellt hierzu allerdings recht hohe Anforderungen auf: „Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.“ Insgesamt dürfte zweifelhaft sein, ob der BDSG-E die Kohärenz wahrt. Noch mehr Zweifel dürften bestehen, ob das geplante deutsche Gesetz „die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher“ macht.
  • Begriffsbestimmungen: In § 2 BDSG-E sind eine Reihe gesetzlicher Begriffsbestimmungen aus Art. 4 DSGVO wiedergegeben. Diese Regelung dürfte im Hinblick auf das vom EuGH aufgestellte Wiederholungsgebot problematisch sein.
  • Datenschutz am Arbeitsplatz: § 24 BDSG-E regelt den künftigen Beschäftigendatenschutz. Die Vorschrift entspricht weitgehend dem bisherigen § 32 BDSG. Hier stellt sich die Frage, ob diese Regelung den Anforderungen des Art. 88 Abs. 2 DSGVO entspricht. Einen ausgesprochen gelungenen Überblick zu dieser Frage gibt Kort, Die Zukunft des deutschen Beschäftigtendatenschutzes, ZD 2016, 555 ff. Zudem enthält § 24 Abs. 3 DSGVO eine gesetzliche Definition des Begriffs des Beschäftigten.
  • Sonderregelungen: Der Entwurf sieht Spezialregelungen für Datenverarbeitungen zu wissenschaftlichen oder historischen Forschungszwecken vor (§ 25 BDSG-E), für Geheimhaltungspflichten unterliegenden Daten (§ 26 BDSG-E), für Übermittlungen an Auskunfteien (§ 27 BDSG-E), für Scorings (§ 28 BDSG-E), für Verbraucherkredite (§ 29 BDSG-E)
  • Informationspflichten: § 30 und § 31 BDSG-E sollen die Informationsrechte nach Art. 13. und 14 DSGVO einschränken. Insbesondere sollen Untersichtungspflichten nach Art. 13 DSGVO entfallen, sofern dies „einen unverhältnismäßigen Aufwand erfordern würde“ oder „voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss„. Ausweislich der Entwurfsbegründung soll diese Ausnahme auf Art. 23 DSGVO gestützt werden. Es dürfte ausgesprochen interessant werden, ob Fachliteratur (und später ggf. einmal die Gerichte) dies als EU-rechtlich zulässig bewerten werden.
  • Einschränkung sonstiger Betroffenenrechte: Auch §§ 32 bis 35 BDSG-E schränken die Betroffenenrechte nach Art. 14 ff. DSGVO weiter ein.
  • Datenschutzbeauftragte: § 36 BDSG-E sieht vor, dass Unternehmen einen Datenschutzbeauftragten (DSB) benennen müssen, falls sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Unternehmen müssen auch dann einen DSB benennen, wenn sie (risikobehaftete) Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Die Bestellpflicht gilt auch, wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. Diese Regelung ist zweckmäßig und schafft Rechtssicherheit für DSB und Unternehmen mit Niederlassungen in Deutschland.
  • Bußgelder: § 40 BDSG-E  sieht eine Obergrenze von EUR 300.000 vor, wenn jemand „in Ausübung seiner Tätigkeit für den Verantwortlichen oder Auftragsverarbeiter“ einen der in Art. 83 Abs. 4, 5 oder Abs. 6 DSGVO genannten Verstöße begeht. Auch hier dürfte fraglich sein, ob diese Regelung mit der in Art. 83 Abs. 1 DSGVO angeordneten Vorgabe vereinbar ist, dass Bußgelder „wirksam und abschreckend“ sein müssen. Zudem hilft die Regelung Vorständen oder Geschäftsführern nur bedingt, wenn Datenschutzverstöße in ihren Verantwortungsbereich fallen. Denn dann sehen sie sich Regressansprüchen des Unternehmens ausgesetzt, für das ja die hohen, am Umsatz orientierten Bußgelder Anwendung finden können. Da es hier in der Regel um vorsätzliche Handlungen geht, treten D&O-Versicherungen normalerweise nicht ein, da diese Versicherungen vorsätzliche Taten zumeist nicht abdecken.
  • Datenschutz-Straftaten: § 41 BDSG-E regelt die Strafbarkeit von Datenschutzverstößen. Die Vorschrift entspricht im Wesentlichen dem bisherigen § 44 BDSG. Begeht jemand eine Handlung nach Art. 83 Abs. 5 DSGVO „vorsätzlich gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen„, so macht er sich strafbar. Verstöße gegen § 41 BDSG-E sollen mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe geahndet werden. Verstößt jemand in gleicher Weise „nur“ gegen die mit Bußgeldern von bis zu EUR 10 Millionen (bzw. Bis zu 2 Prozent des Umsatzes) bewehrten Vorgaben von Art. 83 Abs. 4 BDSG, so drohen keine Strafbarkeitsrisiken.
  • Sonstige Pflichten der Verantwortlichen und Auftragsverarbeiter: Die §§ 57 bis 72 BDSG-E regeln sonstige Pflichten für Unternehmen, die Daten in eigener Verantwortung oder im Auftrag verarbeiten. Sie regeln Themen von der Auftragsverarbeitung bis hin zur vertraulichen Meldung von Verstößen und enhalten teilweise für die Praxis durchaus relevante Abweichungen von den Vorgaben der DSGVO. Bereits bei einer ersten kursorischen Durchsicht stellt sich hier die Frage, wie eine Reihe der Vorschriften mit dem vom EuGH aufgestellten Wiederholungsverbot in Einklang zu bringen sein sollen.
  • Übermittlungen in Drittstaaten: §§ 73 bis 76 BDSG-E enthalten Sonderregeln für die Übermittlung personenbezogener Daten an Verantwortliche in Drittstaaten.

 

Fazit und Handlungsempfehlungen

Natürlich sollte man in einem ersten Überblick mit Bewertungen vorsichtig sein. Der erste Eindruck von dem geplanten BDSG-E verheißt allerdings aus Unternehmenssicht wenig Gutes. Zwar versucht das BMI erkennbar, der Wirtschaft Gutes zu tun. Der Referentenentwurf sieht viele Ausnahmen vor, die die Pflichten von Unternehmen bei der Datenverarbeitung einschränken sollen. Allerdings ist er so schwer verständlich, dass er für Laien kaum anwendbar sein dürfte – gerade im Zusammenspiel mit der auch nicht eben einfach strukturierten DSGVO. Für Datenschutzexperten sind Gesetze wie das geplante BDSG-E zwar eine stete Einnahmequelle – für Unternehmen und Bürger wären aber klare und verständliche Vorschriften nötig.

Vor allem aber sind viele Regelungen europarechtlich durchaus nicht unproblematisch. Auch einige wesentliche Kritikpunkte der Bundesdatenschutzbeuaftragten und des BMJV sind nicht ausgeräumt. Damit bleibt auch völlig offen, ob der Gesetzentwurf eine Mehrheit im Bundestag findet. Und gerade diese Unsicherheit stellt deutsche Unternehmen vor hohe Hürden. Denn sie müssen nun entscheiden, ob sie sich in laufenden Umsetzungsprojekten an den Vorgaben der DSGVO oder mehr an denen des BDSG-E orientieren. Bauen sie auf den Referentenentwurf des BMI, stehen sie vor großen Problemen, wenn der Entwurf den deutschen Bundestag nicht passiert oder bereits in der Ressortabstimung scheitert. Zudem erschwert das geplante BDSG-E es Unternehmen, EU-weite Konzepte zur Umsetzung der DSGVO zu entwickeln und umzusetzen. Daher werden gerade größere Unternehmen voraussichtlich zunächst eher an die Anforderungen der DSGVO als die des BDSG-E in ihre Planung bei DSGVO-Implementierungsprojekten einbeziehen.

Zudem empfiehlt es sich für in Deutschland tätige Unternehmen, die weitere Entwicklung in Bezug auf den geplanten BDSG-E genau zu beobachten. Hierzu können Sie auch unseren rechts auf dieser Seite angebrachten Newsfeed nutzen. Gerne halten wir Sie zur DSGVO, zum BDSG-E und zu weiteren wirtschaftsrechtlichen Fragen auf dem Laufenden.

Rubrik: Datenschutz Allgemein, Datenschutz im Internet, Datenschutz International, EU-Standardvertragsklauseln

500 Unternehmen betroffen: Datenschutzbehörden überprüfen internationale Datentransfers

Internationaler DatentransferIn den bevorstehenden Wochen werden zehn der deutschen Datenschutzbehörden in einer gemeinsam koordinierten Prüfaktion rund 500 verschiedene Unternehmen auffordern, Auskunft zu den von ihnen veranlassten internationalen Datentransfers zu erteilen. Den betroffenen Unternehmen werden dabei Fragebögen zugesendet, in denen detaillierte Angaben zu Übermittlungen von personenbezogenen Daten in Nicht-EU/EWR-Staaten abgefragt werden. Die Behörden gehen davon aus, dass vielen Unternehmen gar nicht bewusst ist, in welchem Umfang sie personenbezogene Daten in das Ausland übermitteln und ob dies rechtmäßig erfolgt. Lesen Sie mehr »

Rubrik: Compliance, Datenschutz Allgemein, Datenschutz im Internet

EuGH entscheidet: Speicherung dynamischer IP-Adressen durch Webseitenbetreiber kann zulässig sein

Mit seiner Entscheidung vom 19. Oktober 2016 (C-582/14) hat der Europäische Gerichtshof (EuGH) entschieden, dass dynamische IP-Adressen als personenbezogene Daten zu qualifizieren sein können, auch wenn die Identität des betreffenden Internetnutzers nur mit Hilfe Dritter (z.B. Access-Provider oder Ermittlungsbehörde) möglich ist. Zugleich hat das Gericht entschieden, dass eine enge Auslegung von § 15 Telemediengesetz (TMG) mit Art. 7 lit. f) der Datenschutzrichtlinie 95/46/EG nicht vereinbar ist und dass Webseitenbetreiber ein berechtigtes Interesse haben können, dynamische IP-Adressen (und andere Protokolldaten) zu speichern, um die Integrität des Systems sicherzustellen oder um eine Ermittlung von Cyberangriffen zu ermöglichen.

Worum geht es in der Entscheidung?

Der Entscheidung des EuGH liegt die Klage eines deutschen Internetznutzers zugrunde, der sich gegen die Speicherung der seinem Internetanschluss zugewiesenen IP-Adresse durch einen Webseitenbetreiber gewendet hat. Dieser betreibt unterschiedliche öffentlich zugängliche Webseiten mit Informationsangeboten.

Dynamische IP-Adressen = personenbezogene Daten?

Rechtlich geht es um die Frage, ob dynamische IP-Adressen als „personenbezogene Daten“ zu verstehen sind, mit der Folge, dass ihre Erhebung und Speicherung nur dann zulässig ist, wenn die betroffene Person (der Internetnutzer) in die Erhebung und Verarbeitung dieser Daten eingewilligt hat oder eine gesetzliche Vorschrift diese Datenverarbeitung anordnet oder erlaubt (§ 12 Abs. 1 TMG).

Einer Einordnung als personenbezogenes Datum hatte die Betreiberin der Webseiten mit der Begründung widersprochen, dass sie keine Kenntnis von der Identität des Inhabers der jeweiligen dynamischen IP-Adresse habe, sondern dass lediglich der Access-Provider über derartige Zusatzinformationen verfüge. Damit ging es in dem vorliegenden Rechtsstreit auch um eine Entscheidung über die sogenannte (überwiegend in Deutschland vertretene) Theorie der Relativität des personenbezogenen Datums.

Speicherung zu Sicherungszwecken zulässig?

Außerdem hatte der Kläger in den Verfahren vor den deutschen Gerichten eingewandt, dass gem. § 15 Abs. 1 TMG die Erhebung und Verarbeitung personenbezogener Daten nur zulässig sei, soweit dies erforderlich ist, um den Zugang zu den Telemedien (Internetseiten) oder die Abrechnung der Internetnutzung zu ermöglichen. Den vom Webseitenbetreiber angegebenen Zweck, wonach die Speicherung der IP-Adresse erfolgt, um eine strafrechtliche Verfolgung von Cyberangriffen zu ermöglichen, war nach Ansicht des Klägers nicht von § 15 Abs. 1 TMG gedeckt. Somit ging es in dem Verfahren vor dem EuGH auch um die Frage, ob ein enges Verständnis von § 15 TMG mit der zugrundeliegenden Datenschutzrichtlinie (insbesondere Art. 7) vereinbar ist.

Entscheidung des EuGH

Mit seinem Urteil vom 19. Oktober 2016 (Patrick Breyer ./. Bundesrepublik Deutschland) hat der EuGH nun entschieden, dass dynamische IP-Adressen für den Betreiber einer Webseite auch dann ein personenbezogenes Datum im Sinne des Art. 2 der Datenschutzrichtlinie sein können, wenn er selbst nicht über die notwendigen Informationen verfügt, um die Identität des Anschlussinhabers festzustellen, solange er über rechtliche Mittel verfügt, die es ihm (dem Webseitenbetreiber) erlauben, die betreffende Person anhand von Zusatzinformationen, über die ein Dritter verfügt, bestimmen zu lassen.

Hierbei kann es sich nach Ansicht des EuGH um den Internetzugangsanbieter (Access-Provider) oder (Ermittlungs-)Behörden handeln (Rn. 48 der Entscheidung). Insoweit stellt das Gericht fest, dass es ausreichen würde, wenn der Webseitenbetreiber nach nationalen Vorschriften rechtliche Möglichkeiten hat, die es ihm erlauben, sich an die zuständige Behörde (z.B. im Fall von Cyberangriffen) zu wenden, um die fraglichen Informationen über die Identität des Inhabers der dynamischen IP-Adresse vom Access-Provider zu erlangen.

Nach dieser Feststellung war anschließend zu klären, ob die Speicherung dynamischer IP-Adressen durch Webseitenbetreiber mit der Begründung und dem Hinweis zulässig ist, dass dies aus Gründen der Systemsicherheit und zur Ermöglichung einer Strafverfolgung im Fall von Cyberangriffen erfolge.

Dies bejaht der EuGH in seiner Entscheidung vom 19. Oktober 2016 und stellt fest, dass gemäß Art. 7 lit. f) der Europäischen Datenschutzrichtlinie die Verarbeitung personenbezogener Daten auch zur Verwirklichung eines berechtigten Interesses des für die Verarbeitung Verantwortlichen (Webseitenbetreiber) zulässig sein kann, sofern die Datenverarbeitung erforderlich ist und keine überwiegenden Interessen des Betroffenen (Internetnutzer) entgegenstehen.

In der engen Auslegung von § 15 TMG des Klägers sieht das Gericht hingegen einen Verstoß gegen die europarechtlichen Vorlagen, da sie den Weg für die vom europäischen Richtliniengeber geforderte Interessenabwägung versperrt. Mit anderen Worten verlangt der EuGH eine richtlinienkonforme Auslegung von Art. 7 lit. f) der Datenschutzrichtlinie und gelangt zum Ergebnis, dass eine Speicherung personenbezogener Daten aus Gründen der Systemsicherheit von Webseiten und zur Ermittlung von Cyberangriffen oder sonstigen Störungen der Integrität der angebotenen Telemedien zulässig sein kann.

Zu dem Vorabentscheidungsersuchen des Bundesgerichtshofs (Entscheidung vom 28. Oktober 2014) siehe unseren vorherigen Blog-Beitrag.

Praxistipps

Betreiber von Webseiten sollten spätestens nach der aktuellen Entscheidung des EuGH prüfen, in welchem Umfang sie sogenannte Protokolldateien (hierunter auch dynamische IP-Adressen) speichern und ob sie Internetnutzer über den Umstand und den Zweck der Speicherung hinreichend informieren. Mit anderen Worten sollten die Betreiber von Webseiten ihre Datenschutzhinweise umgehend auf eine Vereinbarkeit mit der Entscheidung des EuGH prüfen, auch wenn eine finale Entscheidung des vorliegenden Rechtsstreits nach der Zurückverweisung an die deutschen Gerichte noch aussteht. Eine regelmäßige Überprüfung der rechtlichen Texte zur Erhebung und Verarbeitung personenbezogener Daten („Datenschutzhinweise“, „Datenschutzerklärung“, „Privacy Policy“) ist ohnehin unter dem Gesichtspunkt der Website Compliance in regelmäßigen Abständen zu empfehlen, um sicherzustellen, dass die rechtlichen Informationen und Rahmenbedingungen mit den technischen Entwicklungen und Funktionalitäten der Webseite Schritt halten.

Rubrik: Datensicherheit

Praxisleitfaden zur EU-Datenschutzgrundverordnung erschienen

Worauf Manager und Datenschützer im Unternehmen achten müssen

Die neue EU-Datenschutz-Grundverordnung (DSGVO) wird den Schutz personenbezogener Daten europaweit vereinheitlichen. Europäische Datenschutzbehörden dürfen Verstöße künftig mit Millionen-Bußgeldern sanktionieren: Vorstände, Geschäftsführer, betriebliche Datenschutzbeauftragte und andere Entscheidungsträger haften ab Mai 2018 bei Datenschutzverstößen, außerdem können Verbraucher und Mitarbeiter vor Gericht Schadensersatz fordern.

DSGVO-Bild„So gut wie jedes Unternehmen verarbeitet große Mengen von Daten. Dies betrifft Kunden, Mitarbeiter oder andere Personen. Die DSGVO stellt die Wirtschaft daher vor große Herausforderungen“, sagt Tim Wybitul, Partner bei Hogan Lovells in Frankfurt und Herausgeber der Zeitschrift für Datenschutz. „Unternehmen müssen in kurzer Zeit interne Prozesse, Strukturen und Datenschutz-Funktionen an das neue Recht anpassen. Dafür haben wir einen Praxisleitfaden zur DSGVO entwickelt. Geschäftsführer und betriebliche Datenschutzbeauftragte können sich mit dieser ‚Gebrauchsanleitung‘ Schritt für Schritt auf das neue Recht vorbereiten.“ Der Praxisleitfaden „EU-Datenschutz-Grundverordnung im Unternehmen“ erscheint in der Reihe „Kommunikation & Recht“ der dfv Mediengruppe, die auch den bekannte Kommentar Taeger/Gabel umfasst. Mit einem Vorworten Jan Philipp Albrecht, MdEP.

Ein eigenes Kapitel beschreibt die Arbeit- und Planungsschritte vom Umsetzungsprojekten zur Einführung der DSGVO im Unternehmen.

Weitere Informationen zum Praxisleitfaden finden Sie hier.

Rubrik: Datenschutz Allgemein, EU-Datenschutz-Grundverordnung

Projektplanung und Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) im Unternehmen

Mit Checkliste zu den Arbeitsschritten der Einführung der DSGVO

HL Data ProtectionUnternehmen müssen die EU-Datenschutz-Grundverordnung spätestens ab dem 25.05.2018 umgesetzt haben. Andernfalls drohen Bußgelder, Schadensersatzforderungen, Rufschäden und sonstige Nachteile. Die DSGVO stellt erhebliche Anforderungen an Prozesse und Strukturen zur Gewährleistung des gesetzlich vorgeschriebenen Datenschutzes.

Der Datenschutzbeauftragte der Allianz Deutschland, Dr. Oliver Draf, LL.M. und Tim Wybitul, Hogan Lovells geben einen im aktuellen Betriebs-Berater, Heft 35 (BB 2016, 2101 ff.) einen Überblick über die Projektplanung zur Umsetzung der Anforderungen der DSGVO. Wir veröffentlichen den Beitrag mit freundlicher Genehmigung der dfv Verlagsgruppe. Sie können den Überblick hier online abrufen. Eine erweiterte Fassung des Betrags finden Sie in dem in Bälde erscheinenden Praxisleitfaden „EU-Datenschutz-Grundverordnung im Unternehmen“.

 

 

Rubrik: Beschäftigtendatenschutz, Datenschutz Allgemein, EU-Datenschutz-Grundverordnung

DSGVO: Deutsches Ausführungsgesetz zur EU-Datenschutz-Grundverordnung – Erste Eckdaten bekannt geworden

BMI legt ersten Referentenentwurf für ein deutsches Gesetz zur Ausführung der EU-Datenschutz-Grundverordnung vor

Ab dem 25.05.2018 gilt die EU-Datenschutz-Grundverordnung (“DSGVO“). Das Bundesministerium des Inneren (“BMI“) hatte bereits seit geraumer Zeit angekündigt, einen Gesetzentwurf zur Ausführung der DSGVO in Deutschland vorzulegen. Zwar wirkt die DSGVO als EU-Verordnung nach Art. 288 AEUV direkt und unmittelbar in allen Mitgliedsstaaten. Allerdings sind flankierende Regelungen wie etwa zur Zuständigkeit nationaler Behörden, durchaus erlaubt. Zudem sieht die DSGVO an einer Reihe von Stellen die Möglichkeit vor, einzelne Punkte im Recht der Mitgliedsstaaaten spezifischer zu regeln. Mittlerweise sind erste Eckdaten des Referentenentwurfs des BMI zur Anpassung des deutschen Datenschutzrechts an die Vorgaben der DSGVO bekannt geworden. Kernstück der Neuregelung soll der Entwurf für ein Allgemeines Bundesdatenschutzgesetz (“ABDSG-E“) werden.

Nachstehend sind einige erste Eckpunkte des Entwurfs des BMI zusammengefasst, die für Unternehmen besonders maßgeblich sind:

  • Hintergrund der Neuregelung: Der ABDSG-E soll das derzeit geltende BDSG zum 25.05.2018 ersetzen. Er soll ein reibungsloses Zusammenspiel der DSGVO und der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr “mit dem stark differenzierten deutschen Datenschutzrecht” sicherstellen. Der Referentenentwurf zielt deutlich darauf ab, den von Brüssel vorgegebenen Spielraum für nationale Regelungen möglichst weitgehend auszunutzen.

 

  • Umfang und Struktur des Entwurfs: Der ABDSG-E soll künftig das deutsche Datenschutzrecht in 60 Paragrafen an die Regelungen der DSGVO anpassen. Teilweise gibt der ABDSG-E die Regelungen der DSGVO wieder, etwa bei den Definitionen. Zudem regelt der Entwurf etliche Fragen, in denen die DSGVO den einzelnen Mitgliedsstaaten einen gewissen Spielraum einräumt. Dies betrfft etwa die Pflicht zur Bestellung eines Datenschutzbeauftragten, denBeschäftigtendatenschutz bei den Zuständigkeiten der Aufsichtsbehörden oder die Verhängung von Bußgeldern. Zudem sollen die Betroffenenrechte (Art. 12 ff. DSGVO) “unter Berücksichtigung” von Art. 23 DSGVO beschränkt werden. Diese Beschränkungen orientieren sich laut dem Referentenentwurf “sehr weitgehend an den bestehenden Regelungen des Bundesdatenschutzgesetzes“.

 

  • Datenverarbeitung im Beschäftigungskontext: Der Beschäftigtendatenschutz ist in § 33 ABDSG-E geregelt. Art. 88 DSGVO erlaubt nationale Regelungen zur Datenverarbeitung Beschäftigungskontext. § 33 ABDSG-E schreibt das bisherige deutsche Recht fort und entspricht weitgehend den bisherigen §§ 32 und 3 Abs. 11 BDSG. Wird der Entwurf in dieser Form umgesetzt, werden deutsche Arbeitsrichter weiterhin die vom BAG entwickelten strengen Maßstäbe anlegen und die Zulässigkeit der Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage einer Verhältnismäßigkeitsprüfung bewerten. Auch die nichtautomatisierte Verarbeitung personenbezogener Daten im Beschäftigungskontext soll nach § 33 Abs. 2 ABDSG-E den Anforderungen des Datenschutzes unterliegen. Im Ergebnis läuft der Vorschlag des BMI darauf hinaus, dass der derzeit geltende § 32 BDSG auch noch nach dem 25.05.2018 in Deutschland weiter gelten soll. § 32 wurde bereits 2009 eigentlich nur als Übergangslösung eingeführt. Folgt der Deutsche Bundestag dem Vorschlag des BMI, so wird dies einer provisorischen Regelung eine erstaunliche lange Lebensdauer bescheren.

 

  • Bestellung von Datenschutzbeauftragten (DSB): Grundsätzlich sieht die DSGVO eine Pflicht zur Bestellung eines DSB nur unter recht engen Voraussetzungen vor. Falls aber eine Bestellung nach dem Recht der Mitgliedsstaaten vorgesehen ist, müssen Unternehmen dennoch einen DSB bestellen, Art. 37 Abs. 4 DSGVO. Der ABDSG-E macht von dieser Möglichkeit Gebrauch. Gemäß § 14 Abs. 1 Satz 2 ABDSG-E müssen Verantwortliche und Auftragsverarbeiter auch dann einen DSB bestellen, wenn sie “in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen.” Die bislang in Deutschland geltende Bestellpflicht würde damit weitgehend beibehalten. Das Unternehmen veröffentlicht zudem Angaben zur Erreichbarkeit des DSB und teilt diese der Bundesbeauftragten für den Datenschutz mit. Ebenso muss die Bundesbeauftragte von Neubestellungen von DSB unterrichtet werden. Für als Arbeitnehmer beschäftigte DSB ist eine Kündigung des Arbeitsverhältnisses nur aus wichtigem Grund zulässig. Zudem wirkt der Sonderkündigungsschutz des DSB auch nach einer Abberufung für ein Jahr nach.

 

  • Einschränkung von Betroffenenrechten: Die Art. 12 bis 22 DSGVO sehen umfangreiche Betroffenenrechte vor. So müssen Verantwortliche betroffene Personen bei der Erhebung ihrer personenbezogenen Daten umfassend informieren, Art. 13 und 14 DSGVO. Betroffene haben das Recht, Auskunft über ihre von einem Verantwortlichen verarbeiteten Daten sowie eine Kopie dieser Daten zu verlangen, Art. 15 DSGVO. Hinzu kommen unter anderem Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen Datenverarbeitung und enge Vorgaben zum Profiling. Der ABDSG-E soll diese Betroffenenrechte einschränken. Beispielsweise soll eine Informationspflicht bei Datenerhebung entfallen, soweit diese einen unverhältnismäßigen Aufwand erfordern würde, § 7 Abs. 2 und § 8 Abs. 2 lit. d ABDSG-E. Auch die sonstigen Betroffenenrechte sollen eingeschränkt werden. Viele der vorgeschlagenen Regelungen entsprechen denen des bisherigen BDSG.

 

  • Bußgelder: Grundsätzlich richten sich die Bußgelder nach Art. 83 gegen Verantwortliche und Autragsverarbeiter, die die Vorgaben der DSGVO nicht einhalten. Die Bußgelder können bis zu 20 Millionen Euro betragen – oder sogar bis zu vier Prozent des globalen Umsatzes, je nachdem, welcher Betrag letztlich höher ist. Im deutschen Ordnungswidrigkeitenrecht gilt der sogenannte Einheitstäterbegriff des § 14 OWiG. Beteiligt sich eine natürliche Person an einem vom Unternehmen begangenen Datenschutzverstoß, so drohen ihr grundsätzlich ähnlich hohe Bußgelder wie dem Unternehmen selbst, vgl. § 14 Abs. 1 Satz 2 OWiG. Hier legt das BMI mit § 43 BDSG-E Hand an. Das Bußgeld für beteiligte Vorstände, Geschäftsführer oder sonstige Manager und Arbeitnehmer soll auf bis zu 300.000 Euro beschränkt werden. Diese Regelung würde das Risiko für an Verstößen beteiligte Personen im Unternehmen erheblich einschränken. Allerdings könnten Unternehmen, gegen die Bußgelder verhängt warden, durchaus gehalten sein, die dafür letztlich verantwortlichen Mitarbeiter in Regress zu nehmen.

 

Fazit: Die vom BMI aktuell vorgeschlagenen Regelungen sind komplex. Durch die vielen Verweisungen auf die DSGVO und im ABDSG-E selbst ist der Entwurf sogar für Datenschutzexperten nur schwer verständlich. Für eine abschließende Bewertung ist es in der jetzigen Phase des Gesetzgebungsverfahrens noch viel zu früh. Dennoch kann man bereits jetzt einige Eindrücke zusammenfassen: Das Ministerium versucht erkennbar, die vielen Ausnahmeregelungen in der DSGVO weitgehend auszunutzen, die den Mitgliedsstaaten nationale Sonderregelungen erlauben. Viele der vorgeschlagenen Regelungen des geplanten neuen deutschen Datenschutzrechts entsprechen denen des bislang geltenden BDSG. Man fragt sich an vielen Stellen, ob das ABDSG-E den Vorgaben der DSGVO, aber auch allgemeinen europarechtlichen Anforderungen zu derartigen Ausführungsgesetzen entspricht. Es wird daher spannend werden, ob das deutsche Parlament diesen Versuch mitgehen wird, beim Datenschutz “das Rad zurückzudrehen”. In jedem Falle dürfen sich Politik und Datenschützer auf ein interessantes und kontroverses weiteres Gesetzgebungsverfahren zum Datenschutz einstellen.

Gerne beraten wir Ihr Unternehmen bei der Umsetzung der Vorgaben der DSGVO. Umfassende weitere Informationen hierzu uns zu anderen Fragen des Datenschutzes finden Sie hier oder auf unserem HL-Datenschutz-Blog. Wir stehen Ihnen auch für Gespräche darüber zur VErfügung, ob und in welcher Weise man diese Pläne des Gesetzgebers bereits zeitnah bei der Implementierung der DSGVO berücksichtigen sollte.

Rubrik: Datenschutz im Internet, EU-Datenschutz-Grundverordnung

Erste Ergebnisse der Konsultation zur E-Privacy-Richtlinie

15940725_Newsletter_Quarter_SmallIm Rahmen ihrer Strategie für einen Digitalen Binnenmarkt hat sich die Europäische Kommission beginnend mit deren Veröffentlichung im Mai 2015 das große Ziel gesetzt, den europäischen Binnenmarkt auch im Internet zu verwirklichen. Die Strategie umfasst vielfältige Reformvorschläge, unter anderem im Verbraucherschutzrecht, Urheberrecht, Telekommunikationsrecht – und natürlich auch im Datenschutz. Angesichts der neuen Datenschutzgrundverordnung soll insbesondere auch die E-Privacy-Richtlinie 2002/58/EG genauer in Augenschein genommen und gegebenenfalls an die neuen Regelungen angepasst werden. Nachdem die Kommission der Öffentlichkeit jüngst im Rahmen einer Konsultation die Möglichkeit zur Stellungnahme gegeben hat, wurden nun die ersten Ergebnisse der Konsultation veröffentlicht. Lesen Sie mehr »

Rubrik: Compliance, Datenübermittlungen, Datenschutz Allgemein, Datenschutz International, EU-Standardvertragsklauseln

Genehmigungserfordernis für Datentransfers auf Grundlage von Binding Corporate Rules?

Internationaler DatentransferBinding Corporate Rules („BCR“) und EU-Standardvertragsklauseln („SCCs“) sind gegenwärtig die praktisch wichtigsten Instrumente, um internationale Datentransfers insbesondere in die USA zu rechtfertigen. Doch welche Anforderungen stellen die einzelnen deutschen Datenschutzbehörden an die Verwendung von BCR und SCCs? Insbesondere, wenn Datentransfers auf BCR gestützt werden sollen, gehen die Auffassungen der Behörden auseinander, ob die einzelnen Transfers der zuständigen Behörde angezeigt werden müssen oder sogar einer Genehmigung bedürfen. Dieser Beitrag enthält eine Übersicht über die Auffassungen aller Datenschutzbehörden zu Anzeige-, Vorlage- und/oder Genehmigungspflichten beim Einsatz von BCR und SCCs, und fasst zudem die aktuellen Bestrebungen der Behörden zusammen, künftig auf das Genehmigungserfordernis für Datentransfers auf Grundlage von BCR zu verzichten.

Lesen Sie mehr »

Rubrik: Datenübermittlungen, Datenschutz Allgemein, EU-Datenschutz-Grundverordnung

Checklisten zur EU-Datenschutz-Grundverordnung – Teil 3: Auftragsverarbeitungsvertrag

Checkliste 3: Vertrag zur Auftragsverarbeitung Die nachstehende Checkliste fasst die nach Art. 28 DSGVO zwingend vorgeschriebenen wesentlichen Vertragsinhalte eines Auftragsverarbeitungsvertrags zusammen. Dies sind natürlich nur Mindestinhalte, die um weitere Regelungen ergänzt werden sollten, etwa zu wirtschaftlichen Punkten. Zudem kann es sich nach wie vor empfehlen, spezifisch datenschutzrechtliche Vorgaben in einer gesonderten Anlage zu einem Hauptvertrag zu regeln.

  • Vertragsgegenstand: Gegenstand der Auftragsverarbeitung
  • Zweckbestimmung: Zwecke der Auftragsverarbeitung
  • Festlegung der Daten: Art der personenbezogenen Daten, die verarbeitet werden
  • Zeitbestimmung: Dauer der Auftragsverarbeitung
  • Betroffene Personen: Kategorien von betroffenen Personen, deren Daten Gegenstand der Auftragsverarbeitung sind
  • Weisungsgebundenheit: Der Auftragsverarbeiter darf nur auf dokumentierte Weisung des Verantwortlichen verarbeiten
  • Informationspflicht: Auftragsverarbeiter muss Verantwortlichen bei Ausnahmen von der Weisungspflicht aufgrund von Rechtsvorschriften unterrichten (wenn nicht die einschlägige Rechtsvorschrift eine solche Mitteilung verbietet)
  • Vertraulichkeit: Gewährleistung des Auftragsverarbeiters, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
  • Datensicherheit: Der Auftragsverarbeiter muss alle nach Art. 32 DSGVO vorgeschriebenen Maßnahmen ergreifen
  • Unterauftragsverarbeiter: Auftragsverarbeiter darf keine weiteren Unterauftragsverarbeiter ohne vorherige gesonderte oder allgemeine Zustimmung des Verantwortlichen einsetzen; bei allgemeiner Zustimmung Informationspflicht des Auftragsverarbeiters über vorgesehene Änderung im Einzelfall und Einspruchsrecht des Verantwortlichen
  • Unterstützung bei Transparenzpflichten: Regelungen dazu, wie der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung seiner Pflichten in Bezug auf Betroffenenrechte nach Art. 12 bis Art. 22 DSGVO unterstützt
  • Rückgabe oder Löschung: Auftragsverarbeiter muss alle personenbezogenen Daten nach Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen löschen oder zurückgeben, sofern keine Rechtspflichten entgegenstehen
  • Nachweispflichten: Der Auftragsverarbeiter unterstützt den Verantwortlichen beim Nachweis der Einhaltung der Vorschriften zur Auftragsverarbeitung und stellt dem Verantwortlichen hierfür erforderliche Informationen zur Verfügung
  • Kontrollen: Der Auftragsverarbeiter ermöglicht und unterstützt Überprüfungen und Inspektionen bezüglich der Einhaltung der Vorgaben der DSGVO oder sonstiger Datenschutzbestimmungen der EU oder ihrer MitgliedsstaatenUnterrichtung bei Verstößen: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder sonstige Datenschutzbestimmungen der EU oder ihrer Mitgliedsstaaten verstößt

Die DSGVO gilt ab dem 25. Mai 2018. Zu diesem Zeitpunkt müssen Unternehmen die Vorgaben des neuen Datenschutzrechts EU-weit ummgesetzt haben. Die Schaffung eines datenschutzkonformen Vertragsmmanagement ist dabei eines der Teilprojekte der Implementierung  der DSGVO. Da Auftragsverarbeitungsverträge nicht  einseitig  geändert werden können, sollten  Unternehmen zeitnah ihre Dienstleister wegen erforderlichen Vetragsänderungen kontaktieren. Weitere Checklisten und Arbeitshilfen  zur Umsetzung der DSGVO können Sie hier abrufen.

Rubrik: EU-Datenschutz-Grundverordnung

Checklisten zur EU-Datenschutz-Grundverordnung, Teil 2: Datenschutz-Folgenabschätzung

Praxis-Checklisten zur Datenschutz-Folgenabschätzung

Unternehmen und andere für Datenverarbeitungen Verantwortliche müssen künftig eine Datenschutz-Folgenabschätzung durchführen, bevor sie Verarbeitungen vornehmen, die hohe Risiken für die Rechte und Freiheiten natürlicher Personen zur Folge haben können. Das Konzept der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO weicht erheblich von dem der Vorabkontrolle nach § 4d Abs. 5 BDSG ab. Bei einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO sollen insbesondere Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos bewertet werden. Das Unternehmen muss auch Art, Umfang, Umstände, verfolgte Zwecke sowie Ursachen möglicher Risiken bewerten. Dabei soll es auch Maßnahmen, Garantien und Verfahren prüfen, mit denen Unternehmen bestehende Risiken eindämmen und die sonstigen Vorgaben der Verordnung einhalten können.

Führen Verantwortliche Verfahren ein, die wahrscheinlich ein hohes Risiko für persönliche Rechte und Freiheiten betroffener Personen mit sich bringen, müssen sie zuvor eine Datenschutz-Folgenabschätzung durchführen und gegebenenfalls die zuständige Aufsichtsbehörde konsultieren. Unterlässt ein Verantwortlicher eine vorgeschriebene Datenschutz-Folgenabschätzung oder führt diese nicht korrekt durch, kann dies mit Bußgeldern von bis zu 2 Prozent des Umsatzes geahndet werden.

Lesen Sie mehr »