Sehr geehrte Damen und Herren,
ein halbes Jahr bleibt noch Zeit, um sich auf die ab dem 25.05.2018 europaweit geltende Datenschutz‑Grundverordnung (DS‑GVO) und das neue Bundesdatenschutzgesetz (BDSG‑neu) vorzubereiten. Der Handlungsbedarf für Unternehmen, Behörden und Institutionen ist groß. Wir stellen Ihnen neben den Neuerungen durch die DS‑GVO den auf europäischer Ebene hochaktuellen Bereich E‑Privacy, das neue nationale Anpassungsgesetz (BDSG‑neu) sowie den drastisch erhöhten Sanktionsrahmen vor.
Ihr Team Datenschutzrecht
Der europäische Gesetzgeber hat den Durchbruch geschafft: Ab dem 25.05.2018 wird es in allen EU‑Mitgliedsstaaten eine einheitliche datenschutzrechtliche Regulierung geben. Dabei handelt es sich um eine europäische Grundverordnung; zahlreiche Öffnungsklauseln geben den nationalen Gesetzgebern Anlass, weitere mitgliedstaatliche Regelungen zu erlassen. Der deutsche Bundesgesetzgeber ist mit dem Anpassungsgesetz (hierzu sogleich ausführlich) bereits tätig geworden; auf Länderebene besteht mit Blick auf die Landesdatenschutzgesetze noch dringender Handlungsbedarf.
Für die aufsichtsbehördliche Tätigkeit bleibt es dabei: 17 Aufsichtsbehörden auf Bundes- und Landesebene werden für die Anwendung der DS‑GVO und die Anpassungsgesetze zuständig sein. Der von uns schon seit einigen Jahren beobachtete restriktive Vollzug der datenschutzrechtlichen Regulierung wird sich fortsetzen. Für die Einheitlichkeit und Kohärenz der Anwendung der europäischen Regelungen wird der Europäische Datenschutzausschuss sorgen; auf eine richterliche Rechtsfortbildung des Europäischen Gerichtshofs ist zu hoffen.
Im Kern bleibt es auch mit der DS‑GVO bei der grundsätzlichen datenschutzrechtlichen Dogmatik: Im Rahmen eines Erlaubnisvorbehaltes bleibt jegliche Datenverarbeitung verboten, es sei denn, der Betroffene hat in die Verarbeitung freiwillig und konkret eingewilligt, oder ein (spezial‑)gesetzlicher Erlaubnistatbestand liegt vor. Auch in Zukunft führt das Datenschutzrecht also zu einer klassischen Verhältnismäßigkeitsprüfung, die die unterschiedlichen Interessen der verantwortlichen Stelle und der Betroffenen gegeneinander abwägt.
Von entscheidender Bedeutung ist Art. 5 Abs. 2 DS‑GVO: Die verantwortliche Stelle trifft eine strikte Rechenschaftspflicht. Konkret: Jeder für eine Datenverarbeitung Verantwortliche muss gegenüber Aufsichtsbehörden, Wettbewerbern, Betroffenen und ggf. auch Verbraucherschutzverbänden „sprechfähig“ sein. Sind alle Datenverarbeitungsvorgänge innerhalb des Unternehmens oder der Institution bekannt? Existiert ein ausführliches Verfahrensverzeichnis? Wie erfolgt die Aktualisierung dieses Verzeichnisses bei neuen Verarbeitungen, etwa von Kunden- oder Beschäftigtendaten? Welche Dienstleister werden mit Datenverarbeitungsvorgängen betraut? Diese und viele weitere Fragen müssen beantwortet werden.
Erheblich erweitert werden die Informationspflichten gegenüber den Betroffenen, deren Daten die verantwortliche Stelle verarbeitet (Art. 12‑14 DS‑GVO). Für eine Sicherstellung auch weiterer Betroffenenrechte (Art. 15‑22 DS‑GVO) bedarf es auch hier einer rechtzeitigen Bestandsaufnahme, um sich auf die ab Mai 2018 geltende Regulierung vorzubereiten. Neu sind mit Blick auf die fortschreitende Digitalisierung die Prinzipien Privacy by design und Privacy by default, beides gesetzliche Vorgaben, die bei datenschutzrechtlich relevanten Produkten oder Innovationen schon zu einem frühen Zeitpunkt datenschutzfreundliche und datensparsame Vorkehrungen unterstützen und fördern sollen. Gleiches gilt für die Selbstregulierung durch Zertifizierungen, Code of Conducts oder bei größeren Unternehmensgruppen geltenden internen Verhaltensregeln. Auch bei letzteren ist nach wie vor zu beachten, dass es im Datenschutzrecht auch zukünftig kein Konzernprivileg gibt und Datenübermittlungen von einer Gesellschaft an die andere – egal, ob es sich hierbei um eine verbundene Unternehmensgruppe handelt – eigens rechtfertigungsbedürftig sind.
Selbst wenn die DS‑GVO – bis auf die erheblichen Sanktionen (dazu sogleich) – keine Revolution darstellt, ist bereits jetzt eines sicher: Der Vollzug durch die zuständigen Landesdatenschutzbehörden wird ebenso zunehmen wie wettbewerbsrechtliche Verfahren und die Verfolgung von Verstößen seitens der Verbände. Gewappnet hierfür sind allein die verantwortlichen Stellen, die bereits führzeitig ihre datenschutzrechtlich relevanten Geschäftsprozesse ausreichend dokumentiert und angepasst haben.
Dr. Cornelius Böllhoff
Partner
Rechtsanwalt
(boellhoff@redeker.de)
Die Datenschutz‑Grundverordnung (DS‑GVO) und die ergänzenden Regelungen des neuen Bundesdatenschutzgesetzes (BDSG) ersetzen ab dem 25. Mai 2018 die EG‑Datenschutzrichtlinie und das BDSG heutiger Fassung, also die „allgemeinen Datenschutzgesetze“. Aber was gilt für den Datenschutz bei elektronischer Kommunikation?
Der Datenschutz für elektronische Kommunikation wird heute noch durch die E‑Privacy‑Richtlinie geregelt. Die E‑Privacy‑Richtlinie wird in Deutschland insbesondere durch Vorschriften im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG) umgesetzt. Sie wird bis auf weiteres auch ab dem 25. Mai 2018 weitergelten.
Die branchenübergreifend praxisrelevanten Vorschriften des TMG setzen neben der E‑Privacy‑Richtlinie auch die (allgemeine) EG‑Datenschutzrichtlinie um. Weil diese Richtlinie ab dem 25. Mai 2018 durch die unmittelbar geltende DS‑GVO ersetzt wird, ist insoweit ein deutsches Umsetzgesetz nicht nötig – mehr noch: Ein solches Gesetz ist wegen der unmittelbaren Wirkung von EU‑Verordnungen unionsrechtswidrig und unanwendbar. Das gilt nach der Rechtsprechung des EuGH aus Gründen der Rechtssicherheit sogar dann, wenn das Umsetzungsgesetz den Wortlaut der EU‑Verordnung lediglich wiederholt.
Diese Rechtsprechung wirkt sich unmittelbar auf das deutsche TMG aus: Es ist ab dem 25. Mai 2018 insoweit unionsrechtswidrig, als es solche Bereiche regelt, die auch unter die DS‑GVO fallen. Insoweit wird das TMG zumindest partiell unanwendbar sein. Ein dringend notwendiges Bereinigungsgesetz des Bundes ist nicht in Sicht – erst recht nicht, wenn es noch eine Bundestagsneuwahl geben soll. Anstelle des TMG werden daher Unternehmen und Behörden dann die DS‑GVO beachten müssen. Relevant ist dies z. B. für die – nach Art. 34 DS‑GVO sehr viel strengeren – Vorgaben im Fall von unrechtmäßiger Kenntniserlangung von personenbezogenen Daten („data breach“) und den diesbezüglichen Pflichten von verantwortlichen Stellen, die Datenschutzaufsicht, Betroffene oder ggf. die Öffentlichkeit zu informieren.
Weil eine „E‑Privacy‑Verordnung“ notwendiges Gegenstück zur neuen DS‑GVO ist, hätte sie der Unionsgesetzgeber eigentlich schon erlassen und die alte E‑Privacy‑Richtlinie aufheben müssen. Hierzu gibt es zwar mittlerweile ein EU‑Gesetzgebungsverfahren. Das ist aber noch lange nicht abgeschlossen, zumal die derzeitigen Entwürfe von EU‑Kommission und Europäischen Parlament noch massiv überarbeitungsbedürftig sind. Dass die E‑Privacy‑Verordnung gleichzeitig mit der DS‑GVO zu gelten beginnt, ist praktisch ausgeschlossen.
Beim Datenschutz für die elektronische Kommunikation werden daher Behörden und Unternehmen ab 25. Mai 2018 die DS‑GVO einhalten und das TMG ignorieren müssen, um dann – geraume Zeit später – wieder neue Vorgaben, die E‑Privacy‑Verordnung, zu beachten. Gute Gesetzgebung sieht anders aus.
Dr. Gero Ziegenhorn
Partner
Rechtsanwalt
(ziegenhorn@redeker.de)
Parallel zur Datenschutz‑Grundverordnung (DS‑GVO) tritt am 25.05.2018 ein neues Bundesdatenschutzgesetz (BDSG) in Kraft. Es wurde am 300.6.2017 im Bundesgesetzblatt verkündet. Das neue BDSG ist im Gegensatz zum BDSG heutiger Fassung keine Vollregelung. Es enthält lediglich einige ausführende, ergänzende und vereinzelt abweichende Vorschriften zur DS‑GVO.
Aus Sicht von Unternehmen und Behörden sind insbesondere die neuen Regelungen zur Verarbeitung von „besonderen Kategorien personenbezogener Daten“ (sensible Daten), von Beschäftigtendaten sowie zur Videoüberwachung von öffentlich zugänglichen Räumen relevant. Außerdem enthält das neue BDSG Ausnahmen zu Gunsten von Unternehmen hinsichtlich der Rechte der Betroffenen auf Information, Auskunft und Löschung ihrer Daten. Hinzu kommen Vorschriften für Verarbeitungen, die zu einem Zweck erfolgen, der von dem bei der ersten Verarbeitung festgelegten Zweck abweicht.
Anders als von vielen Unternehmen erhofft, sind branchenübergreifende Abmilderungen der DS‑GVO durch das neue BDSG nur spärlich erfolgt. Es bleibt bei den strengen Vorgaben der DS‑GVO. Für die Rechtmäßigkeit unternehmerischer und behördlicher Aktivitäten ab 25.05.2018 ist daher mehr denn je eine umfassende Analyse und Modifikation der datenschutzrechtlich relevanten Prozesse und Systeme erforderlich.
Dr. Roya Sangi, Máster en Filosofía Política
Counsel
Rechtsanwältin
(sangi@redeker.de)
Mit Inkrafttreten der DS‑GVO greift ein neues, verschärftes Sanktionsregime für Verstöße gegen das Datenschutzrecht. Während aktuell noch die Bußgeldrahmen abgestuft bei maximal 300.000 Euro liegen, ermöglicht die DS‑GVO bei schwerwiegenden Datenschutzverstößen Bußgelder von bis zu 20 Mio. Euro bzw. 4 % des weltweiten Unternehmensjahresumsatzes.
Des Weiteren sieht das neue BDSG eigenständige nationale Bußgeldtatbestände (§ 43) und Straftatbestände (§ 42) vor. Das gewerbsmäßige unberechtigte Übermitteln bzw. Zugänglichmachen personenbezogener Daten kann zu einer Geld- oder Freiheitsstrafe von bis zu 3 Jahren führen. Mit Geld- oder Freiheitsstrafe von bis 2 Jahren wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, ohne Berechtigung verarbeitet oder durch unrichtige Angaben erschleicht und dabei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.
Die DS‑GVO benennt für die dort geregelten Ordnungswidrigkeiten ausdrückliche Zumessungskriterien. Im Wesentlichen entspricht dies der allgemeinen Zumessungsdogmatik im deutschen Straf- bzw. Ordnungswidrigkeitenrecht. Erwähnenswert ist, dass dort die Kooperation mit Aufsichtsbehörden als ausdrückliches sanktionsmilderndes Kriterium benannt ist. Wenn die Einleitung eines Ermittlungsverfahrens droht, ist daher umso mehr der Umfang einer Kooperation mit den Behörden sorgsam abzuwägen. Es empfiehlt sich mithin von Anfang an die Hinzuziehung einer professionellen Verteidigung, um mit Blick auf das „Ob“ und „Wie“ einer Sanktionierung zu Verfahrensbeginn keine irreparablen Fehler zu machen. Zudem stehen auch deshalb komplexere Verfahren bevor, weil über Bußgelder von mehr als 100.000 EUR nicht mehr vor dem Bußgeldrichter beim Amtsgericht, sondern vor der Strafkammer des Landgerichts verhandelt werden soll.
Dr. Daniel Neuhöfer, LL.M.
Partner
Rechtsanwalt
(neuhoefer@redeker.de)
Der Newsletter stellt keine individuelle Rechtsberatung dar und verfolgt ausschließlich den Zweck, über ausgewählte Themen zu informieren. Bei Fragen zum Newsletter wenden Sie sich bitte an einen genannten Ansprechpartner.