BTK Rechtsanwälte

Datenschutz-Grundverordnung (DSGVO)

Wir unterstützen Sie bei der Umsetzung der neuen Datenschutz-Grundverordnung (DSGVO) und beraten Ihr Unternehmen bei Fragen zu nationalen, europäischen und internationalen Datenschutzbestimmungen.

(0681) 93 88 68 20 Anfrage schicken

Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft

Im Rahmen der Datenschutz-Grundverordnung der EU treten in den Mitgliedsstaaten am 25. Mai 2018 gesetzliche Änderungen in Kraft. Das bisher geltende Bundesdatenschutzgesetz (BDSG) wird durch die EU-DSGVO ersetzt. Unternehmen, die personenbezogene Daten verarbeiten oder speichern, müssen sich auf neue Herausforderungen bei IT-Projekten einstellen – prozessual, personell und technologisch. Wird den Pflichten nicht nachkommen, drohen hohe Bußgelder.

Die Frist naht in schnellen Schritten und die weitreichenden Vorschriften der DSGVO entfalten unmittelbar ihre Wirkung.

Welche Verträge sind durch die Datenschutz-Grundverordnung (DSGVO) betroffen?

Die EU-DSGVO wird die konforme Ausgestaltung vieler Verträge in Zukunft wesentlich komplexer machen – vor allem im Hinblick auf alle Verträge, bei denen die Daten Dritter betroffen sind oder betroffen sein könnten. Besonders betroffen von den Neuerungen in der DSGVO sind hier ADV-Verträge, Fernwartungsverträge, SaaS-Verträge sowie Datenschutzvereinbarungen auf Webseiten oder in Apps.

AV-Verträge

Unter die sog. Auftragsverarbeitung (vormals Auftragsdatenvereinbarung – ADV-Verträge) fallen alle Dienstleister, die personenbezogene Daten im Auftrag des Verantwortlichen erheben, verarbeiten oder nutzen. Dies können natürliche und juristische Personen, Behörden, Einrichtungen oder auch andere Stellen, wie z.B. Cloud-Anbieter, sein.Gerade im Rahmen der Auftragsverarbeitung bringt die EU-Datenschutzgrundverordnung umfangreiche und komplexe Neuerungen, die eine massive Ausweitung der Haftungsbeschränkung erwarten lassen. So müssen Anbieter berücksichtigen, dass eine Haftung nunmehr nicht nur gegenüber dem Auftraggeber selbst, sondern auch gegenüber den Personen entsteht, deren Daten im Rahmen der Auftragsverarbeitung gespeichert werden.

Fernwartungsverträge

Massive Probleme dürften auch bei den schwer umstrittenen Fernwartungsverträgen auftreten. Unter Fernwartung versteht man den Zugriff auf IT-Systeme über eine räumliche Distanz (sog. Remote-Administration). Die Probleme ergeben sich konkret aus einer zweifelhaften Auslegung des Art. 28 DSGVO, der offen lässt, ob man in der Fernwartung schon einen Fall der Auftragsverarbeitung sieht oder nicht. Da die verwaltungsrechtliche Praxis im Umgang mit der DSVGO noch in der Zukunft liegt, sind Rechtsstreitigkeiten schon vorprogrammiert.Daher empfehlen wir Ihnen dringend, sich hierzu bei uns beraten zu lassen.

SaaS-Verträge

„Software as a Service“-Verträge, kurz SaaS-Verträge sind ein Teil des Cloud-Computings und werden überall dort relevant, wo extern Daten verarbeitet werden um als Dienstleistung angeboten zu werden. Auch hier ist enormer Beratungsbedarf gegeben, da solche extern verarbeiteten Datensätze häufig auch nach einer Kündigung des Dienstes nicht oder sicher gelöscht werden. Allein der notwendige finanzielle Aufwand solche Software umzurüsten wird ab dem 25.05.2018 zu enormen Lücken im Datenschutzrecht führen.

Das in Art. 17 DSGVO normierte „Recht auf Vergessenwerden“ verschärft diese Situation zusätzlich. Eine einfache Löschung genügt im Übrigen nicht, vielmehr müssen Löschprotokolle erstellt werden, welche die Löschung auch beweisbar machen.

Datenschutzerklärungen auf Webseiten und in Apps

Auch einfache Apps und Webseiten fallen ab dem 25.05.2018 unter den Schutzschirm der EU-DSGVO. Selbst ein einfacher Lesezugriff auf eine Webseite und die damit verbundene Weiterleitung einer dynamischen IP-Adresse kann diesbezüglich bei mangelnden Datenschutzerklärungen zu gravierenden Problemen führen.

Das gleiche gilt für sog. Cookies, die von fast allen Webseiten zur Werbeoptimierung gespeichert werden. Weil eine Identifizierung der betroffenen Personen hierdurch möglich ist, wird auch eine detailliertere Datenschutzerklärung notwendig werden.

Welche Informationspflichten und Datenschutzhinweise müssen erfüllt werden?

Früher ergab sich das Bedürfnis einer Datenschutzerklärung aus § 13 TMG. Ab dem 25. Mai 2018 ergibt sich diese Pflicht aus Art. 13 und 14 DSGVO.

Nun müssen Unternehmer bei der Erhebung von personenbezogenen Daten immer den jeweils betroffenen Personen zum Zeitpunkt der Erhebung der Datensätze mitteilen, für wen diese Daten erhoben werden, wie man diese Person erreicht und zu welchen Zwecken die Daten erhoben werden, auf welche rechtliche Grundlage sie sich dabei stützen sowie die Dauer der Speicherung und die Kontaktdaten eines Datenschutzbeauftragten. Außerdem sind die betroffenen Personen gem. Art. 13 DSGVO über ihr Auskunftsrecht aufzuklären.

All dies gilt unabhängig davon, bei wem diese Daten unmittelbar erhoben werden. Wichtig ist lediglich die Betroffenheit der jeweiligen Person. Die den Unternehmer treffenden Pflichten werden je nach dem Grad der Schutzwürdigkeit der betroffenen Personen enger gefasst. Grundsätzlich muss der Unternehmer diese Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln. Dies gilt nach Art. 12 Datenschutz-Grundverordnung insbesondere für Informationen, die sich speziell an Kinder richten. Soweit eine Einwilligung zur Speicherung der Daten verpflichtend ist, muss bei Kindern unter 16 Jahren beachtet werden, dass sie nur von deren gesetzlich vertretungsberechtigten Erziehungsberechtigten erlangt werden kann.
Die Liste der Pflichtenkataloge ist lang, die drohenden Repressalien bei einer Verletzung drakonisch.

Was sind die häufigsten Gefahrenquellen für Abmahnungen?

Zunächst drohen durch die mannigfaltigen Neuerungen in der EU-DSGVO wettbewerbsrechtliche Abmahnverfahren nach dem UWG. Betroffen sind vor allem Unternehmen, die Apps und Webseiten betreiben, da Verstöße gegen die EU-DSGVO dort sehr einfach zu erkennen sind.

Die Reichweite der EU-DSGVO erstreckt sich jedoch nicht ausschließlich auf Gewerbebetreibende, selbst vermeintlich harmlose Blogs von Privatpersonen oder die Internetpräsenzen von kleinen Vereinen sehen sich ab dem 25. Mai mit der Gefahr konfrontiert, abgemahnt oder mit Bußgeldern belegt zu werden.

Dies erklärt sich mit der weitreichenden Definition der „personenbezogenen Daten“, die grundsätzlich alles erfasst, was erlaubt eine Person zu identifizieren. Eine Personenidentifizierung ist aber schon über die Verfolgung über die IP-Adresse möglich, welche automatisch an den Webseitenbetreiber weitergeleitet wird, sobald ein einfacher Lesezugriff auf die Webseite erfolgt.

Was sollten Unternehmer jetzt beachten?

Verarbeitungsverzeichnis und Vorlagepflicht

Art. 30 EU-DSGVO verpflichtet Unternehmer weiterhin dazu, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Das Verzeichnis läuft dabei weitestgehend parallel zu den Informationspflichten gegenüber den betroffenen Personen, was auf den Transparenzgedanken des europäischen Gesetzgebers zurückzuführen sein dürfte.
Das Verzeichnis dient zum Nachweis der Einhaltung der DSGVO. Die Verantwortlichen und jeder Auftragsverarbeiter ist verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können. Diese Regelung gilt zwar grundsätzlich nur für Unternehmer mit weniger als 250 Mitarbeitern, die Ausnahmen hierzu sind jedoch so umfassend ausgestaltet, dass sich das Regel-Ausnahme-Verhältnis als Farce entpuppt. In vielen Fällen wird deshalb selbst ein Einzelunternehmer dazu gezwungen sein, ein solches Verzeichnis anzulegen.

Data-Breach-Notification (Meldepflicht)

Im Falle einer Verletzung des Schutzes personenbezogener Daten (sog. Data-Breach-Notification) müssen Unternehmer nach Art. 34 Abs. 1 DSGVO binnen 72 Stunden die betroffenen Personen, nach Art. 33 Abs. 1 DSGVO die zuständige Aufsichtsbehörde informieren, was häufig auch das im vorherigen Abschnitt beschriebene Verzeichnis umfasst.

Die Aufsichtsbehörden haben nach Art. 30 Abs. 4 DSGVO das Recht, zur Aufklärung einer Datenschutzverletzung das gesamte Verzeichnis zu verlangen. Wichtig ist, dass die 72-Stunden-Frist auch an Feiertagen und Wochenenden läuft. Außerdem ist diese Benachrichtigung auch vom Transparenzgebot des Art. 12 Abs. 1 DSGVO erfasst, was bedeutet, dass die Mitteilung in klarer, einfacher und verständlicher Sprache erfolgen muss.

Die Meldepflichten sollen der Entstehung von Schäden vorbeugen. Zu nennen wären:

  • Verlust der Kontrolle über personenbezogenen Daten oder Einschränkung ihrer Rechte,
  • Diskriminierung,
  • Identitätsdiebstahl oder -betrug,
  • finanzielle Verluste,
  • unbefugte Aufhebung der Pseudonymisierung,
  • Rufschädigung.

Nur wenn geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, die sicherstellen, dass kein hohes Risiko für den Betroffenen besteht, kann im Einzelfall auf eine Benachrichtigung verzichtet werden, wenn etwa die Gefahr eines Identitätsbetrugs ausgeschlossen werden kann. Auch hier weisen wir jedoch ausdrücklich darauf hin, dass es noch keine Erfahrung zur Verwaltungspraxis gibt womit noch nicht absehbar ist, wo die Aufsichtsbehörden diese Grenze ziehen werden.

Bußgelder

Die EU-DSGVO verpflichtet alle EU-Mitgliedstaaten dazu, eigene Aufsichtsbehörden einzurichten. Diesen steht das bei weitem schärfste Schwert zur Verfügung. Sie können wahlweise Bußgelder von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes verhängen.

Hierbei muss davon ausgegangen werden, dass die im individuellen Einzelfall maximal mögliche Bußgeldhöhe von den Behörden ausgereizt wird um einige Exempel zu statuieren. Insofern verlangt Artikel 83 der EU-DSGVO nämlich Bußgelder, die „wirksam (…) und abschreckend“ sind.

Besonderes Augenmerk sollten Unternehmer daher auf Art. 83 Abs. 2, Buchstabe f und h DSGVO werfen. Allein eine aus Sicht der Aufsichtsbehörde nicht ausreichende Zusammenarbeit legitimiert das Verhängen von höheren Bußgeldern. Dazu gehört es auch, das Verfahrensverzeichnis nicht oder verspätet vorzulegen.

Persönliche Haftung natürlicher Personen

Wie eingangs erwähnt wurde, hat die DSGVO in Deutschland unmittelbare Wirkung, ohne dass es eines nationalstaatlichen Umsetzungsaktes bedürfte. Allerdings hat die DSGVO auch einige Öffnungsklauseln geschaffen, die es erlauben, gewisse Teilbereiche nationalstaatlich zu regeln.

Deutschland hat diese Möglichkeit genutzt das BDSG vollkommen zu überarbeiten. §§ 41-43 BDSG erlauben nun auch neben den Strafen für Unternehmen auch die Belegung natürliche Personen mit empfindlichen Bußgeldern und sogar die Verhängung von Freiheitsstrafen bis zu drei Jahren und repräsentiert so den allgegenwärtigen Abschreckungsgedanken der DSGVO auch im deutschen Recht.

Damit stehen unvorbereitete Geschäftsführer und selbst einfache Mitarbeiter mit dem 25. Mai mit einem Fuß in der Haftungsfalle. Das BDSG wurde häufig als „zahnloser Tiger“ oder auch als „Soft Law“ verspottet. Diesen Vorwurf kann man der DSGVO nicht mehr machen.

Das Verhältnis der DSGVO zur E-Privacy-Verordnung

Neben der DSGVO wird es in Zukunft eine weitere Verordnung, die sog. E-Privacy-Verordnung geben.

Zwar hat schon die DSGVO das Ziel, eine Vollharmonisierung im europäischen Datenschutzrecht zu erreichen, allerdings lässt sich eher als allgemeines Regelwerk begreifen, das zwar den größten Teil aller Problembereiche abdeckt, aufgrund seiner Konzipierung aber der besonderen Schutzwürdigkeit mancher Themenbereiche nicht gerecht wird.

Betroffen sind unter anderem Kommunikationsbereiche, in denen Daten anhaltend und in Echtzeit übertragen werden (sog. Data Stream). Ein Beispiel: Wer mit einem Navigationsgerät unterwegs ist, muss zu dessen Nutzung eine konstante Verbindung zum jeweiligen Satellit aufrechterhalten und diesem seinen Standort mitteilen.

Ähnliches gilt beim üblichen Surfen im Internet für Cookies, aber auch Dienste wie Skype, WhatsApp, usw. könnten mit der E-Privacy-Verordnung eine eigene Regelung erfahren, da sich solche speziellen Themenbereiche mit der DSGVO noch nicht adäquat rechtlich regeln lassen.

Das bedeutet nicht, dass die DSGVO in Zukunft durch die E-Privacy-Verordnung abgelöst wird. Vielmehr ist sie ein spezielleres Regelwerk, das punktuell Vorrang vor einigen Regeln in der DSGVO hat.

Wie schon die DSGVO, wird auch die E-Privacy-Verordnung in Deutschland unmittelbar geltendes Recht, ohne dass es einer Umsetzung in nationalstaatliche Gesetze bedürfte. Es wird erwartet, dass vor allem im Bereich der durch Werbung finanzierten kostenlosen Internetinhalte, wie etwa Online-Zeitungen, zu drastischen Einschnitten kommen wird. Der Bundesverband Digitale Wirtschaft warnt diesbezüglich vor: „einer fundamentalen Gefährdung der heutigen Informationsgesellschaft“.

Das Verhältnis von DSGVO und IT-Sicherheitsgesetz (IT-SiG)

Der Bundestag hat am 15.07.2015 das IT-Sicherheitsgesetz (IT-SiG) beschlossen. Ziel des IT-Sicherheitsgesetzes ist insbesondere auch die Verbesserung der IT-Sicherheit bei Unternehmen. Um diese Ziele zu erreichen, wurden u. a. die Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ausgeweitet. Sinn und Zweck des Gesetzes ist es, einen Mindeststandard für die Sicherheit in der Informationstechnik zu erarbeiten, um kritische Infrastrukturen vor Hackerangriffen schützen zu können. Es verpflichtet Betreiber „organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit (…)“ zu treffen. Die zuständige Aufsichtsbehörde ist in diesen Fällen die Bundesnetzagentur

Zu den kritischen Infrastrukturen zählen Einrichtungen, Anlagen oder Teile, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, sowie Finanz- und Versicherungswesen angehören. Aber auch Betreiber von größeren Online-Shops können theoretisch unter den Begriff der kritischen Infrastruktur gefasst werden.

Die Parallele zur DSGVO findet sich in Art. 32 Abs. 1 DSGVO, wo zum Schutz der Daten von Personen geeignete technische und organisatorische Maßnahmen unter Berücksichtigung vom jeweiligen „Stand der Technik“ verlangt werden. Denn ohne eine sichere Infrastruktur ist kein Datenschutz möglich.

Leider ist noch vollkommen unklar, was denn der „Stand der Technik“ genau ist. Eine präzisere Terminologie hat man absichtlich abgelehnt, da man damit die eigenen Schwachstellen in der IT-Infrastruktur quasi per Gesetz öffentlich machen würde. In jedem Fall wird die Rechtsprechung zum „Stand der Technik“ i.S.d. IT-Sicherheitsgesetzes Anforderungen definieren, die auch denen der DSGVO entsprechen oder diesen übertreffen werden.

Fazit

Die DSGVO naht in schnellen Schritten. Wir raten Unternehmen daher schon jetzt, spätestens aber ab dem 25.05.2018, sich im Datenschutzrecht rechtskonform aufzustellen, um unmittelbar auf Anfragen von Kunden, Datenschutzbehörden und sonstigen Dritten reagieren zu können.

Eine frühzeitige Beratung spart Kosten und im Zweifelsfall sind 72 Stunden wenig Zeit, um eine adäquate rechtliche und technische Lösungen zu erarbeiten. Profitieren Sie von unseren Erfahrungswerten und der Strategie der Problemvermeidung im Vorfeld.

Wir begleiten Ihr IT-Projekt von Anfang an und unterstützen Sie bei der datenschutzrechtlichen Absicherung Ihres Unternehmens.

Haben Sie Fragen?

Rechtsanwalt und Fachanwalt Dr. Tobias Beltle hilft Ihnen gerne weiter und berät Sie bei Ihrem Anliegen.

Rechtsanwalt Dr. Tobias Beltle

Haben Sie Fragen?

Jetzt Kontakt aufnehmen.

Anschrift:

BTK Rechtsanwälte
Dr. Tobias Beltle
Schützenstr. 3-5
66123 Saarbrücken

Telefon:

(0681) 93 88 68 20

Bürozeiten:

Montag - Freitag
8.00 - 17.00 Uhr


Kanzlei BTK Rechtsanwälte in Saarbrücken

BTK Rechtsanwälte ist eine bundesweit tätige Rechtsanwaltskanzlei mit Sitz in Saarbrücken. Unsere Spezialisierung liegt in den Bereichen Medienrecht, Markenrecht, Internetrecht, Wettbewerbsrecht, Urheberrecht, Vertragsrecht und Datenschutzrecht, in denen wir auf eine langjährige Erfahrung zurück blicken.

Kontaktformular

* = verpflichtende Angaben. Hinweis: Ihre Daten erheben und verwenden wir gemäß unserer Datenschutzerklärung. Alle Daten werden mittels SSL-Verschlüsselung übertragen.