Am 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (DSGVO) in Kraft treten. Sie wird an diesem Tag die bisher geltende EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ersetzen. Im Unterschied zur bisherigen EU-Datenschutzrichtlinie gilt die DSGVO unmittelbar in der gesamten Europäischen Union. Mit der umfassenden Reform des Datenschutzrechts auf EU-Ebene hat auch der nationale Gesetzgeber das Datenschutzrecht auf nationaler Ebene reformiert und den Anforderungen der DSGVO angepasst. So wird ebenfalls am 25. Mai 2018 das neue Bundesschutzgesetz (BDSG-neu) in Kraft treten und das alte BDSG ablösen.
Datenschutzgrundverordnung – DSGVO
Ein wesentliches Ziel der DSGVO ist, das Datenschutzrecht innerhalb Europas zu vereinheitlichen. Mit dem Inkrafttreten der DSGVO am 25. Mai 2018 werden in allen Staaten der Europäischen Union grundsätzlich die gleichen Datenschutzstandards gelten. Neben der Vereinheitlichung des Datenschutzrechts auf europäischer Ebene stand auch die Modernisierung des Datenschutzrechts aufgrund der zunehmenden Digitalisierung und Globalisierung im Vordergrund. Diese Ziele sind weitgehend erreicht worden. Die neue DSGVO sorgt in Bezug auf den Datenschutz für gleiche Wettbewerbsbedingungen für Unternehmen, die auf dem europäischen Markt Waren und Dienstleistungen anbieten. Beibehalten wurde das Prinzip des grundrechtorientierten Datenschutzrechts. Mittelpunkt ist daher nach wie vor das informationelle Selbstbestimmungsrecht des Einzelnen im Hinblick auf die Verwendung personenbezogener Daten. Es bleibt bei dem bereits jetzt geltenden Verbotsprinzip, nach dem jede Datenverarbeitung, die nicht durch eine Einwilligung legitimiert ist, der ausdrücklichen gesetzlichen Erlaubnis bedarf. Neben diesem zentralen Grundsatz gelten auch die bisherigen Grundsätze der „Datenvermeidung und Datensparsamkeit“, der „Zweckbindung“ und der „Transparenz“ fort und werden in der neuen DSGVO weiterentwickelt. Weiterhin wurde die Gewährleistung von „Datensicherheit“ in die DSGVO aufgenommen.
Wesentliche Grundsätze der DSGVO:
„Verbot mit Erlaubnisvorbehalt“ – Artikel 6 DSGVO
Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn entweder die betroffene Person ausdrücklich ihre Einwilligung gegeben hat (Art. 6 Abs. 1 a) DSGVO) oder eine gesetzliche Erlaubnis gemäß Art. 6 Abs. 1 b) bis f) DSGVO vorliegt. Eine gesetzliche Erlaubnis gemäß Art. Abs. 1b) bis f) DSGVO liegt in den folgenden Fällen vor:
- „die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;“
- „die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;“
- „die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;“
- „die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;“
- „die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“
Liegt keine dieser Voraussetzungen bzw. keine Einwilligung des Betroffenen vor, ist die Verarbeitung personenbezogener Daten grundsätzlich verboten. Art. 6 DSGVO normiert in Bezug auf die Verarbeitung personenbezogener Daten ein so genanntes „Verbot mit Erlaubnisvorbehalt“.
„Datensparsamkeit“ – Artikel 5 Abs. 1c) DSGVO
Die Verarbeitung personenbezogener Daten muss gem. Art. 5 Abs. 1c) DSGVO „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“. Dieses Prinzip der Datenminimierung findet sich bereits in § 3a BDSG-alt und ist als zentraler Grundsatz des Datenschutzrechts in die DSGVO aufgenommen worden.
„Zweckbindung“ – Artikel 5 Abs. 1b) DSGVO
Gemäß Art. 5 Abs. 1b) DSGVO darf die Verarbeitung personenbezogener Daten nur für „festgelegte, eindeutige und legitime Zwecke“ erfolgen. Eine Änderung des Verarbeitungszwecks ist grundsätzlich nur dann erlaubt, wenn sie mit dem ursprünglichen Erhebungszweck vereinbar ist. Bei einer Änderung des Verarbeitungszweckes ist Art. 6 Abs. 4 DSGVO heranzuziehen, der Kriterien für die Beurteilung einer rechtmäßigen Datenverarbeitung bei Änderung des Verarbeitungszweckes aufstellt.
„Datensicherheit“ – Artikel 5 Abs. 1f), Artikel 32 DSGVO
Die Gewährleistung der Datensicherheit ist ebenfalls in die DSGVO aufgenommen worden. Regelungen hierzu finden sich in Art. 5 Abs. 1f) und in Art. 32 DSGVO. Art. 32 DSGVO regelt die Pflicht des Verantwortlichen, Sicherheitsmaßnahmen im Zusammenhang mit der Verarbeitung personenbezogener Daten zu ergreifen. Dabei sind u.a. die Art, Umstände und der Zweck der Datenverarbeitung zu berücksichtigen, ebenso die Eintrittswahrscheinlichkeit und die Schwere des Risikos im Hinblick auf die Persönlichkeitsrechte des Betroffenen. Art. 32 Abs. 1 DSGVO nennt einzelne Maßnahmen, wie z.B. die Pseudonymisierung und die Verschlüsselung personenbezogener Daten.
„Marktortprinzip“ – Art. 3 Abs. 2 DSGVO
Eine wesentliche Neuerung ist das sog. „Marktortprinzip“ gem. Art. 3 Abs. 2 DSGVO. Hiernach gilt das EU-Datenschutzrecht der DSGVO nicht nur für die in der EU niedergelassenen Unternehmen, sondern auch für Wirtschaftsunternehmen außerhalb der Europäischen Union, die auf dem europäischen Markt tätig sind. Entscheidend ist, dass das Unternehmen auf dem europäischen Markt Waren oder Dienstleistungen anbietet oder die Datenverarbeitung im Zusammenhang mit der Beobachtung des Verhaltens von Personen in der EU steht, Art. 3 Abs. 2 DSGVO. Das „Marktortprinzip“ führt im Hinblick auf die Datenschutzvorschriften zu gleichen Wettbewerbsbedingungen unter den auf dem europäischen Markt tätigen Unternehmen, unabhängig davon, ob das Unternehmen in der EU niedergelassen ist.
„Datenschutzbeauftragter“ – Art. 37 Abs. 1 DSGVO
Die Pflicht zur Bestellung eines Datenschutzbeauftragten ist in Art. 37 Abs. 1 DSGVO geregelt. Art. 37 Abs. 1 DSGVO sieht drei Fallgruppen für die Bestellung eines Datenschutzbeauftragten vor und enthält in Art. 37 Abs. 4 DSGVO eine Öffnungsklausel für die einzelnen Mitgliedstaaten der Europäischen Union. Diese können im nationalen Recht für weitere Fallgruppen die Bestellung eines Datenschutzbeauftragten vorsehen. Von dieser Möglichkeit hat der deutsche Gesetzgeber Gebrauch gemacht und in § 38 BDSG-neu weitere Fallgruppen für die Pflicht zur Bestellung eines Datenschutzbeauftragten aufgestellt. So bleibt die Pflicht zur Bestellung eines Datenschutzbeauftragten für nicht-öffentliche Stellen bestehen, in denen mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Grundsätzlich gilt die DSGVO ab dem 25. Mai 2018 im öffentlich und im nicht-öffentlichen Bereich. Für die Verarbeitung zu persönlichen und familiären Zwecken gilt sie jedoch nicht, Art. 2 Abs. 2c) DSGVO.
Die DSGVO enthält diverse Öffnungsklauseln, die auf nationaler Ebene Regelungsräume schafft und dem nationalen Gesetzgeber konkretere Regelungen im Datenschutzrecht erlaubt. Der deutsche Gesetzgeber hat von dieser Möglichkeit Gebrauch gemacht und das deutsche Datenschutzrecht überarbeitet. So wird ebenfalls am 25. Mai 2018 das neue Datenschutzrecht in Kraft treten, das Bundesdatenschutzgesetz-neu. Dieses wird das bisher geltende BDSG ersetzen.
Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU)2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU-DSAnpUG-EU) vom 30.06.2017, BGBl. I, S. 2097
Bundesdatenschutzgesetz – BDSG 2018