EU-DSGVO verabschiedet

Die neue Verordnung zum Datenschutz wird in 2 Jahren Gültigkeit erlangen

16.04.2016

Es ist soweit. Am 14.04.2016 hat das Europaparlament die neue Datenschutzgrundverordnung (EU-DSGVO) endgültig verabschiedet. Nach deren Veröffentlichung im EU-Amtsblatt tritt sie 20 Tage später in Kraft und wird nach einer Übergangsfrist von 2 Jahren angewandt werden. Die amtliche deutsche Übersetzung des Beschlusses inkl. der weit über 100 Erwägungsgründe findet sich hier (und hier die englische Version).

Zukünftig einheitlich

Wir wissen also, dass wir ab Anfang Mai 2018 ein EU-weit einheitliches Datenschutzrecht haben. Anders als die durch den Beschluss aufgehobene EU-Richtlinie 95/46/EG, welche die Grundlage für das derzeit noch geltende Bundesdatenschutzgesetz (BDSG) bildet, wird die EU-DSGVO als Verordnung in allen Mitgliedsstaaten der EU direkt und einheitlich gelten. Die Tage der unterschiedlichen Datenschutz-Gesetzgebung in den einzelnen EU-Mitgliedsstaaten sind also gezählt.

Dass die Bußgelder mit der EU-DSGVO gegenüber dem BDSG mehr als verdreißigfacht wurden, dürfte mittlerweile allgemein bekannt sein. Von der enormen Höhe der Beträge abgesehen, dürfte für Unternehmer vor allem interessant sein, dass mit der EU-DSGVO auch ein neues Modell der risikobasierten Gefährdungsbeurteilung eingeführt werden wird.

Datenschutz-Folgenabschätzung

Für Verarbeitungen, die „insbesondere bei Verwendung neuer Technologien aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben, ist eine sog. Datenschutz-Folgenabschätzung durchzuführen. Die Festlegung, welche Verarbeitungen hiervon betroffen sind, werden gem. Art. 35 Abs. 4 durch die Aufsichtsbehörden getroffen. Somit sind diese Verarbeitungen zum jetzigen Zeitpunkt noch nicht festgelegt. Ebenso sollen die Aufsichtsbehörden eine Negativliste erstellen, also eine Liste, auf denen Verarbeitungen gelistet sind, für die keine Datenschutz-Folgenabschätzung durchzuführen ist.

Unternehmen, die einen Datenschutzbeauftragten bestellt haben, haben diesen an der Durchführung der Datenschutz-Folgenabschätzung zu beteiligen (Art. 35 Abs. 2). Dieser kleine Satz, der eigentlich eine Selbstverständlichkeit beschreibt, wird voraussichtlich zukünftig dafür sorgen, dass die Datenschutzbeauftragten der Unternehmen stärker und vor allem auch früher in die Einführung oder Änderung von Verfahren einbezogen werden. Bislang passiert das in vielen Unternehmen eher zufällig.

Öffnungsklauseln

Die EU-DSGVO enthält zahlreiche Öffnungsklauseln um durch nationale Gesetzgebung in gewissem Rahmen schärfere Regelungen zu erlassen. Diese Öffnungsklauseln sind in der Regel so formuliert, dass hierzu neue Gesetze geschaffen werden, aber teilweise auch bestehende Gesetze weiter gelten können. Die Bundesregierung hat angekündigt, bis Jahresende diese Öffnungsklauseln „mit Leben zu füllen“. Warten wir ab, ob es wirklich so schnell geht. Solange die entsprechenden Gesetze und Verordnungen nicht existieren, steht der volle Umfang der neuen Datenschutz-Regelungen jedenfalls noch nicht fest.

Der Datenschutzbeauftragte

Eine dieser Öffnungsklauseln betrifft die Pflicht zur Bestellung des Datenschutzbeauftragten. Der Bundesjustizminister hat bereits angekündigt, die deutlich lascheren Regelungen der EU-DSGVO durch Nutzung der Öffnungsklausel an die derzeitigen Regelungen des BDSG anzugleichen. Nach derzeitigem Stand wird es also bei der Pflicht zur Bestellung eines Datenschutzbeauftragten bleiben sofern mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Datenverarbeitung im Auftrag

War die Regelung zur Datenverarbeitung im Auftrag gemäß § 11 BDSG noch recht kurz gehalten, so wird die EU-DSGVO diesem Thema und seiner Bedeutung deutlich gerechter. Erstmals wird auch die Rolle des Auftragsverarbeiters eingeführt und stärker zwischen dem Verantwortlichen (im BDSG: verantwortliche Stelle) und dem Auftragsverarbeiter (im BDSG: nicht klar definiert, irgend etwas zwischen „Dritter“ und „Teil der verantwortlichen Stelle“) unterschieden.

Verfahrensverzeichnis

In diesem Zusammenhang wird auch die Pflicht zur Führung der Verarbeitungsübersicht neu geregelt. Hier gibt es eine erfreuliche Erleichterung, denn diese ist zukünftig nur noch zu führen, wenn das entsprechende Unternehmen mind. 250 Mitarbeiter beschäftigt. Auch die Herausgabe an Jedermann (Stichwort „öffentliches Verfahrensverzeichnis“) entfällt zukünftig. Die Verarbeitungsübersicht ist nur noch für die Vorlage bei den Aufsichtsbehörden gedacht.

Die Uhr tickt…

Wie schon geschrieben läuft nun eine zweijährige Übergangsfrist. 2 Jahre erscheinen zunächst nach einem sehr langen Zeitraum. Betrachtet man aber die neuen Anforderungen, die durch die EU-DSGVO gestellt werden, sollte der zur Umsetzung der neuen Regelung benötigte organisatorische und zeitliche Aufwand nicht unterschätzt werden.

Benötigen Sie Unterstützung beim Übergang von BDSG auf die EU-DSGVO? Sprechen Sie mich an. Gerne unterstütze ich Sie bei der Umsetzung.