Die Datenschutz-Grundverordnung 2016/679 vom 27.04.2016 ist bereits seit langem bekannt. Jetzt tritt sie am 25. Mai 2018 in sämtlichen Mitgliedstaaten der Europäischen Union in Kraft. Auch in Deutschland wird die DSGVO dann unmittelbar anwendbares Recht, ohne dass es einer gesetzestechnischen Umsetzung bedarf.
Ohne dem Anspruch auf Vollständigkeit insoweit gerecht werden zu können, lassen sich folgende wesentliche Änderungen gegenüber der bisherigen Rechtslage festhalten:
- Die für die Datenverwaltung Verantwortlichen müssen künftig nicht nur den Datenschutz (wie schon bisher) beachten, vielmehr muss die Beachtung des Datenschutzes gegenüber den Aufsichtsbehörden im Zweifel nachgewiesen werden, Art. 5 Abs. 2 DSGVO.
- Die Einwilligung der Betroffenen, dass ihre Daten verarbeitet werden dürfen, bedarf zwar in Zukunft nicht grundsätzlich der Schriftform. Den Datenverarbeitenden ist jedoch dringend zu raten, sich die unmissverständliche Einwilligung der Betroffenen jedenfalls in Textform geben zu lassen und sicherzustellen, dass die Einwilligung freiwillig mit der notwendigen Klarheit und dem Hinweis auf das jederzeitige Widerrufsrecht erfolgt ist, Art. 4 Nr. 11, 6 Abs. 1 sowie 7 und 8 DSGVO.
- Die Datenübermittlung in Länder außerhalb der Europäischen Union ist nur möglich, wenn in den jeweiligen Ländern ein angemessenes Schutzniveau besteht. Insoweit sind auch in Zukunft Angemessenheitsbeschlüsse der Europäischen Kommission zu beachten (Einzelheiten stehen in den Artikeln 45-49 DSGVO).
- Die Art. 35 und 36 der DSVGO verpflichten Unternehmen zur Datenschutz-Folgenabschätzung, soweit voraussichtlich hohe Risiken für die Rechte und Freiheiten von Personen zu erwarten sind.
- 82 DSGVO erweitert die Schadensersatzpflichten auf Schmerzensgeld der Betroffenen. Außerdem haftet nicht nur der für die Daten ursprünglich Verantwortliche, sondern mit ihm der Auftrags(daten)verarbeitende als Gesamtschuldner.
- Gemäß den Artikeln 42 und 43 DSGVO werden Zertifizierungsverfahren zum Nachweis der Einhaltung der Datenschutzvorschriften eingeführt. Die Verantwortlichen sind allerdings nicht zur Zertifizierung verpflichtet, haben den Nachweis dann aber auf andere Weise zu erbringen (siehe Ziff. 1).
- Die Verantwortlichen und die Auftrags(daten)verarbeitenden haben interne Richtlinien, sogenannte technisch-organisatorische Maßnahmen-Kataloge (TOM) aufzustellen.
- Der Beschäftigten-Datenschutz wird zwar in Art. 88 DSGVO geregelt, der deutsche Gesetzgeber hat ihn jedoch in § 26 BDSG neu gefasst. Insoweit geht die bundesdeutsche Regelung vor. Arbeitgeber haben wie alle übrigen Daten Verarbeiter auf die jederzeitige Widerruflichkeit der Einwilligung zur Datenverarbeitung hinzuweisen.
Dr. Walter Brunner
Rechtsanwalt