Verstöße gegen Datenschutz kein Kavaliersdelikt
Im Mai ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Sie vereinheitlicht den Datenschutz in der Europäischen Union (EU). Ab 2018 können Geschäftsführer und betriebliche Datenschutzbeauftragte in Deutschland für Verstöße mit Bußgeldern von 20 Mio. Euro zur Kasse gebeten werden. Strafzahlungen in dreistelliger Millionenhöhe drohen global ausgerichteten Unternehmen, die mit einem Bußgeld von bis zu vier Prozent der Konzernumsätze, unabhängig vom Hauptsitz des Unternehmens, belegt werden können. Tim Wybitul von Hogan Lovells erläutert im Folgenden die wichtigsten Eckpunkte der DSGVO.
„
Das EU-Parlament hat den Bußgeldrahmen drastisch verschärft. Bislang sah das Bundesdatenschutzgesetz ein maximales Bußgeld von 300 000 Euro vor. Künftig müssen die nationalen Aufsichtsbehörden und der neu einzurichtende Europäische Datenschutzausschuss sicherstellen, dass die Geldbußen wirksam, verhältnismäßig und abschreckend sind. Auch im Zivilrecht ändert sich einiges: Künftig müssen materielle und immaterielle Schäden erstattet werden. Wenn es um Schadenersatz für Geschädigte ging, waren deutsche Gerichte bislang zurückhaltend. Unternehmen sollten sich darauf einstellen, dass der Europäische Gerichtshof (EuGH) in seinen Urteilen neue Maßstäbe setzen wird.
Für Datenschutzbeauftragte wirkt die neue Verordnung wie ein zweischneidiges Schwert: Einerseits wird ihre Stellung im Unternehmen aufgewertet. Andererseits haften sie bei Verstößen künftig persönlich. Ob und wie Behörden und Gerichte die Datenschutzbeauftragten als „Überwachergaranten““ einstufen werden, bleibt abzuwarten. Um eine Haftung auszuschließen, muss der Datenschutzbeauftragte nachweisen, dass er seine Aufgaben pflichtgemäß erfüllt hat. Birgt die Datenverarbeitung hohe Risiken für die Rechte der betroffenen Personen, muss das Unternehmen künftig eine Datenschutz-Folgenabschätzung vornehmen. Die Datenschutz-Folgenabschätzung ist ein Mittel, um die Dokumentationspflichten zu erfüllen. Dabei werden die Eintrittswahrscheinlichkeit und die Schwere des Risikos bewertet, aber auch Art, Umfang, Umstände, Garantien und Verfahren geprüft, mit denen Risiken eingedämmt werden sollen. Unternehmen sollten zeitnah Strukturen und Prozesse schaffen, um diese Anforderungen zu erfüllen.
Die neue Verordnung erweitert den räumlichen Geltungsbereich des EU-Datenschutzes. Entscheidend ist der Ort der Niederlassung, nicht der Ort der Datenvereinbarung. Betreibt ein Unternehmen eine Niederlassung in der Europäischen Union (EU), und verarbeitet es personenbezogene Daten mit Hilfe eines Cloud-Anbieters, gilt künftig die Datenschutz-Grundverordnung – auch, wenn der Server außerhalb der EU steht. Zudem gilt die Verordnung auch für Unternehmen im Ausland, wenn sie Personen in der EU beobachten oder ihnen Waren oder Dienstleistungen anbieten. Diese exterritoriale Wirkung ist besonders für multinationale Konzerne wichtig: Sie werden die Verordnung nicht nur in der EU, sondern auch in Drittstaaten umsetzen müssen.
Die Datenschutz-Grundverordnung wirkt unmittelbar und direkt, sie verdrängt nationale Vorschriften zur Datenverarbeitung. Künftig müssen Unternehmen betroffene Personen umfassender als bisher und nachvollziehbar darüber informieren, welche Daten sie verarbeiten. Dieser Transparenzgrundsatz zählt zu den wesentlichen Prinzipien der Verordnung. Verstoßen Unternehmen dagegen, können sie ebenfalls mit vier Prozent des Umsatzes bestraft werden. Betroffene müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache unterrichten. Sie haben außerdem Anspruch auf eine Kopie mit ihren personenbezogenen Daten. Unter anderem müssen Unternehmen folgende Eckdaten mitteilen: Kontaktdaten, Zweck der Datenverarbeitung, Empfänger der Daten, Übermittlung in ein Drittland, Speicherdauer, Recht auf Auskunft, Löschung, Berichtigung, Einschränkung und Widerspruch sowie Beschwerderechte bei Auskunftsbehörden.
Verstoßen Unternehmen künftig gegen die Datensicherheit, können die Aufsichtsbehörden Verstöße mit bis zu zwei Prozent des Umsatzes bestrafen. Da die Verordnung in diesem Punkt recht vage ist, sind Unternehmen gut beraten, wenn sie sich an den entsprechenden Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientieren.
Darüber hinaus gilt das Gebot der Datenminimierung. Unternehmen sollen nur so viele Daten erheben, wie zur Erfüllung des Zwecks erforderlich sind. IT-Systeme müssen entsprechend eingestellt sein. Bereits bei der Entwicklung von IT-Produkten und IT-Anwendungen soll das Recht auf Datenschutz berücksichtigt werden. Verstöße können ebenfalls mit zwei Prozent des Umsatzes sanktioniert werden. Diese Strafe droht auch, wenn Unternehmen künftig Datenschutzverletzungen nicht unverzüglich, spätestens innerhalb von 72 Stunden an die Aufsichtsbehörden melden. Auch die Löschpflichten wurden im Vergleich zum Bundesdatenschutzgesetz verschärft. Künftig müssen personenbezogene Daten ohne unangemessene Verzögerung gelöscht werden – z. B., wenn eine Person der Verarbeitung widerspricht. Will ein Unternehmen die gesammelten personenbezogenen Daten künftig für andere Zwecke verwenden, dann müssen die Betroffenen zuvor ausdrücklich einwilligen.
Zu guter Letzt droht künftig ein Koppelungsverbot von „Dienstleistung gegen Daten““. Unternehmen sollen die Erfüllung eines Vertrags nicht mehr davon abhängig machen, ob die betroffene Person in die Datenverarbeitung einwilligt, die für die Erfüllung des Vertrags nicht erforderlich sind.
„