- Rechte von Einzelpersonen
- Interne Verfahren
- Aufsichtsbehörden
- Anwendungsbereich, Rechenschaftspflicht und Sanktionen
Rechte von Einzelpersonen
Einwilligung
Wann immer eine betroffene Personen im Begriff ist, ihre personenbezogenen Daten anzugeben, müssen Verantwortliche (für gewöhnlich ein Unternehmen) sicherstellen, dass die betroffene Person zuvor ihre Einwilligung gegeben hat. Mit der DSGVO werden auch die Offenlegungsstandards bei der Einholung von Einwilligungen neu definiert. Diese müssen „freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich“ bekundet werden. Die Verantwortlichen müssen dabei in einer „klaren und einfachen“ Rechtssprache, die „von den anderen Sachverhalten klar zu unterscheiden ist“ die betroffenen Personen ansprechen. Verantwortliche müssen auch den Nachweis erbringen, dass ihre Prozesse regelkonform sind und immer befolgt werden. Unter der früheren EU-Datenschutzrichtlinie konnte auf die Einwilligung einer betroffenen Person geschlossen werden, wenn ihr Tun oder Unterlassen keinen Zweifel an ihrem Willen zur Einwilligung zuließ. Somit ließ die Richtlinie die Möglichkeit für „Opt-out“-Mechanismen zu. Dies wird sich mit der DSGVO ändern, denn nunmehr muss die betroffene Person ihre Zustimmung „in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“ geben.
Ihre Kunden dürfen also nicht zur Einwilligung gezwungen oder über ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten in Unkenntnis gelassen werden. Außerdem müssen Ihre Kunden genau wissen, wofür sie ihre Einwilligung geben und sie müssen im Voraus über ihr Recht zur Widerrufung ihrer Einwilligung informiert werden. Die Einholung einer Einwilligung setzt ein eindeutiges Zeichen der Zustimmung voraus – Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Personen stellen keine Einwilligung dar. In Zukunft ist es also wichtig, dass Sie Ihre Nutzer im Rahmen des Einwilligungsvorgangs ausreichend informieren.
Neue Rechte für Einzelpersonen
In der Verordnung sind außerdem zwei neue Rechte für betroffene Personen vorgesehen: Ein „Recht auf Vergessenwerden“, durch das Verantwortliche dazu verpflichtet sind, Empfänger über Anfragen auf Löschung zu unterrichten, und ein „Recht auf Datenübertragbarkeit“, durch das betroffene Personen eine Kopie ihrer Daten in einem gängigen Format beantragen können. Diese beiden Rechte machen es für Nutzer einfacher, die Löschung jeglicher über sie gespeicherter Informationen oder die Übermittlung jeglicher erfasster Informationen zu beantragen.
Antrag auf Auskunftserteilung
Betroffene Personen hatten auch bisher schon das Recht, Zugang zu ihren Daten zu beantragen. Mit der DSGVO werden diese Rechte erweitert. In den meisten Fällen werden Sie für einen Antrag auf Auskunftserteilung keine Gebühren verlangen können, außer Sie können beweisen, dass die dadurch entstehenden Kosten übermäßig hoch sind. Auch bei der Frist für die Bearbeitung eines Antrags auf Auskunftserteilung gibt es eine erhebliche Änderung. Die derzeit gültige Frist von 40 Tagen wird deutlich verkürzt. In bestimmten Fällen können Unternehmen die Bearbeitung eines Antrags auf Auskunftserteilung verweigern, etwa wenn der Antrag als offensichtlich unbegründet oder unangemessen erachtet wird. Um einen Antrag zulässig ablehnen zu können, brauchen Unternehmen jedoch klare Richtlinien und Verfahren, und sie müssen begründen können, warum ein bestimmter Antrag den festgelegten Kriterien entspricht.
Interne Verfahren
Datenschutz durch Technik und DSFA
Die DSGVO enthält einige neue Grundsätze für Rechtssubjekte, die personenbezogene Daten verarbeiten. Diese umfassen unter anderem die Anforderung, bei der Entwicklung neuer Systeme Datenschutz „durch Technik“ zu integrieren, sowie die Verpflichtung, bei der Datenverarbeitung mittels „neuer Technologien“ oder auf risikoreiche Weise eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Bei der Datenschutz-Folgenabschätzung geht es um die systematische Evaluierung möglicher Auswirkungen eines Projekts oder einer Initiative auf die Privatsphäre von Einzelpersonen, sodass potenzielle Datenschutzprobleme vor ihrem Entstehen identifiziert werden können. Dadurch haben Unternehmen ausreichend Zeit, um noch vor dem Projektanlauf entsprechende Maßnahmen zur Problembehebung zu ergreifen.
Datenschutzbeauftragte
Die DSGVO wird viele Unternehmen zur Ernennung eines Datenschutzbeauftragten (DSB) verpflichten, der alle Compliance-Anstrengungen des Unternehmens überwacht. Die Benennung eines DSB ist auf jeden Fall erforderlich für Behörden und öffentliche Stellen, für Unternehmen, deren Kerntätigkeit die umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen umfasst, oder Unternehmen, deren Kerntätigkeit die umfangreiche Verarbeitung sogenannter sensibler personenbezogener Daten umfasst. Während die im Rahmen der EU-Datenschutzrichtlinie anerkannten Methoden zur Gewährleistung der „Angemessenheit“ bei der Übermittlung personenbezogener Daten in Drittländer (darunter auch der Privacy Shield und die Standardvertragsklauseln) unter der DSGVO zurzeit beibehalten werden, werden DSB auch die Aufgabe erfüllen, das Verhältnis zwischen Auftraggebern und Anbietern, die personenbezogene Daten verarbeiten und speichern, zu beaufsichtigen. So können sie etwa die Sicherheitsvorkehrungen von Anbietern überprüfen und diese über Anfragen betroffener Personen informieren.
Verträge & Datenschutzdokumentation
Da Transparenz und Fairness die Eckpfeiler der DSGVO sind, müssen Verantwortliche und Auftragsverarbeiter ihre Datenschutzerklärungen, Datenschutzbestimmungen und jegliche interne Datenrichtlinien überprüfen und gegebenenfalls überarbeiten, damit sie den Anforderungen der DSGVO entsprechen. Wenn Verantwortliche Drittanbieter mit der Verarbeitung personenbezogener Daten, die unter ihrer Kontrolle stehen, beauftragen, müssen sie sicherstellen, dass ihre Verträge mit diesen Auftragsverarbeitern aktuell sind und die in Artikel 28 der Verordnung festgelegten, zwingenden Bestimmungen für Auftragsverarbeiter beinhalten. Ebenso sollten Auftragsverarbeiter etwaige Änderungen an ihren Kundenverträgen vornehmen, damit diese ab Mai 2018 der DSGVO entsprechen.
Aufsichtsbehörden
Verfahren der Zusammenarbeit und Kohärenz
Insbesondere ein Aspekt der DSGVO sollte DSB ihre Arbeit wesentlich erleichtern: Infolge der Einführung des sogenannten „Verfahrens der Zusammenarbeit und Kohärenz“ werden Unternehmen mit Niederlassungen in mehreren EU-Ländern über eine „federführende Aufsichtsbehörde“ verfügen, die die grenzüberschreitende Datenverarbeitung handhabt. So soll verhindert werden, dass durch unterschiedliche Anweisungen verschiedener Aufsichtsbehörden Probleme entstehen.
Meldung von Datenschutzverletzungen
Die DSGVO enthält eine neue Bestimmung, wonach Verantwortliche ihre nationale Aufsichtsbehörde über eine Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden, nachdem ihnen die Verletzung bekannt wurde, benachrichtigen müssen, es sei denn, die Daten waren anonymisiert oder verschlüsselt. Das bedeutet in der Praxis, dass die meisten Datenschutzverletzungen der jeweils zuständigen Aufsichtsbehörde gemeldet werden müssen. Verletzungen des Schutzes personenbezogener Daten, die Einzelpersonen voraussichtlich einen Schaden zufügen – etwa Identitätsdiebstahl oder Verlust der Vertraulichkeit – müssen auch den betroffenen Einzelpersonen gemeldet werden.
Anwendungsbereich, Rechenschaftspflicht und Sanktionen
Anwendungsbereich
Während sich die derzeitige Vorschrift, die EU-Datenschutzrichtlinie von 1995, nur auf Unternehmen und öffentliche Stellen innerhalb der EU erstreckt, ist der räumliche Geltungsbereich der DSGVO deutlich weiter gefasst. Die neue Verordnung gilt auch für Unternehmen außerhalb der EU, die ihre Produkte an Verbraucher in der EU vertreiben oder das Verhalten von Menschen in der EU überwachen. Selbst wenn Ihr Unternehmen also außerhalb der EU ansässig ist, Sie jedoch Daten von Bürgerinnen und Bürgern der EU überwachen und verarbeiten, fallen Sie in den Geltungsbereich der DSGVO.
Rechenschaftspflicht
Dieses neue Konzept verpflichtet Verantwortliche und Auftragsverarbeiter dazu, ihrer lokalen Aufsichtsbehörde gegenüber die Einhaltung der DSGVO nachzuweisen. Alle Prozesse müssen aufgezeichnet, implementiert und regelmäßig überprüft werden. Mitarbeiter sollten entsprechend geschult und angemessene technische und organisatorische Maßnahmen sollten ergriffen werden, um Compliance zu gewährleisten und nachzuweisen zu können.
Schwere Sanktionen
Die Bedeutung dieser neuen Bestimmungen der DSGVO wird durch die Tatsache unterstrichen, dass eine Nichteinhaltung erhebliche Strafen zur Folge hat. Je nach Art der vorliegenden Verletzung müssen Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten nicht ordnungsgemäß verwalten oder die Rechte von betroffenen Personen anderweitig verletzen, mit Strafen in Höhe von bis zu 20 Millionen Euro bzw. 4 % ihres globalen Jahresumsatzes rechnen (je nachdem, welche Summe höher ist).