Fachnews
Datenschutzgrundverordnung leichtgemacht

Ab morgen gilt die neue EU-Datenschutzgrundverordnung (DS-GVO) – Verordnung (EU) 2016/679 - und löst das BDSG von 1977 ab. Nachfolgend für alle Geschäftsführer und Behördenleiter, die noch keine Zeit gefunden haben, sich damit zu befassen, ein schneller Überblick über den Rechtsrahmen, Darstellung der Risiken bei Verstoß gegen diesen und eine Liste mit konkreten Handlungsempfehlungen.

24.05.2018
1. Der neue rechtliche Rahmen

Das neue, maßgebliche europäische, Datenschutzrecht findet grundsätzlich auf alle Verarbeitungen von personenbezogenen Daten durch Unternehmen und Behörden in der EU Anwendung. Es gibt, bis auf wenige Ausnahmen, keine Ausnahmen für kleine Unternehmen. Das Recht speist sich aus verschiedenen Quellen:

  • Die DS-GVO findet, vorbehaltlich der nachfolgenden Einschränkung, auf öffentlichen und nicht-öffentlichen Stellen Anwendung, die zu eigenen Zwecken (sog. Verantwortliche) oder im Auftrag von Anderen (sog. Auftragsverarbeiter) personenbezogenen Daten verarbeiten – also praktisch alle.
  • Ergänzend findet (aufgrund von Öffnungsklauseln) für öffentliche Stellen des Bundes und nicht-öffentliche Stellen das BDSG neue Fassung Anwendung, allerdings nur  die Teile 1 und 2 (§§ 1 – 44). Praktische synoptische Lesefassungen von DS-GVO mit den jeweils dazugehörigen Regelungen des BDSG n.F. und den Erwägungsgründen der DS-GVO findet sich hier: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_6.pdf, eine Online-Ausgabe hier: https://dsgvo-gesetz.de/.
  • Für öffentliche Stellen des Landes Sachsen gilt stattdessen ergänzend das neue Datenschutzdurchführungsgesetz (SächsDSDG) vom 26. April 2018, das demnächst verkündet wird.
  • Für öffentliche Stellen aus dem Bereich Polizei und Justiz sind die DS-GVO und die vorgenannten nationalen Regelungen nicht anwendbar. Hier gelten Teil 3 des BDSG n.F., das die (nicht unmittelbar geltende) Richtlinie (EU) 2016/680 umsetzt, bzw. weiterhin das SächsDSG.
  • Noch nicht finalisiert ist die E-Privacy-VO, die im Bereich elektronische Medien die DS-GVO verdrängen wird (erwartet für 2019).
2. Risiken von Non-Compliance

Risiken bei Nichtbefolgung drohen aus vier Richtungen:

  • Bußgelder Richtig ist, dass der Bußgeldrahmen deutlich gestiegenen ist (bis zu EUR 10 Mio oder 2 % des Jahresumsatzes bzw. EUR 20 Mio oder 4% des Jahresumsatzes, je nach Verstoß). Zum einen konnten nach altem Recht sehr hohe Geldbußen verhängt werden. Zum anderen wird auch zukünftig die Höhe der Geldbuße nach festgelegten Kriterien bemessen (u. a. Art, Schwere und Dauer des Verstoßes), was in der Regel zu Bußgeldern eher im vierstelligen Bereich führen könnte. In 2018 sind wohl keine Verfolgungen von leichten Verstößen durch Datenschutzaufsichtsbehörden zu erwarten.
  • Strafen Wie nach altem Recht ist ein besonders schwerer Verstoß gegen Datenschutzrecht strafbar (§ 42 BDSG n.F.). Allerdings zeigen die Statistiken, dass es in der Vergangenheit selten zu Verurteilungen kam. Ob sich dies jetzt ändern wird, ist fraglich.
  • Schadensersatz Wie nach altem Recht haben Betroffene bei schuldhaften Verstößen ggf. Anspruch auf Schadensersatz. Neu ist, dass auch immaterielle Schäden ersetzt werden können und Verantwortlicher und Auftragsverarbeiter als Gesamtschuldner haften. Experten rechnen hier mit höheren Schadensersatzsummen, als in der Vergangenheit.
  • Abmahnungen Hier liegt wohl kurzfristig das größte Risiko. Wettbewerber und Verbände können ggf. die Unterlassung von Verstößen gegen Datenschutzrecht und Schadensersatz sowie Ersatz von Rechtsanwaltskosten verlangen. Allerdings ist nicht jeder Verstoß abmahnfähig, sondern nur eine Verletzung von „Marktverhaltensregeln“ als „Vorsprung durch Rechtsbruch“. Die Pflicht zur Verlinkung auf eine Datenschutzerklärung auf der Website gehört zu diesen Regeln, die Pflicht, E-Mail-Werbung nur mit ausdrücklicher vorheriger Zustimmung des Adressaten zu versenden, ist sogar im UWG verankert.
3. Maßnahmen und Handlungsempfehlungen

Die neuen Pflichten aus der DS-GVO betreffen vor allem das Verfahren der Datenverarbeitung, weniger deren inhaltlichen Voraussetzungen. Treffen Sie zuerst diejenigen Maßnahmen, die bei überschaubarem Aufwand eine deutliche Risikoreduzierung bewirken. Greifen Sie dabei auf Muster zurück, die große Institutionen in diesem Bereich entwickelt haben, u.a. die Datenschutzkonferenzen der Datenschutzaufsichtsbehörden der Länder (DSK), die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD), der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bikom), das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) und die Artikel-29-Datenschutzgruppe, das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes. Im Einzelnen

Muster / Erläuterungen:

Wir beraten persönlich

Ihre Ansprechpartner
Claus Ludwig Meyer-Wyk
Claus Ludwig Meyer-Wyk

Partner, Rechtsanwalt, Fachanwalt für Medizinrecht

eureos Infoservice

Wir behalten den Überblick für Sie: Mit unserem multidisziplinären Newsletter informieren wir Sie einmal monatlich über aktuelle Fachthemen und senden Ihnen Einladungen zu unseren Fach- und Netzwerkveranstaltungen.

Jetzt anmelden