Recht und Steuern

Die europäische Datenschutzgrundverordnung

Am 25. Mai 2019 ist die Europäische Datenschutz-Grundverordnung (DS-GVO) ein Jahr in Kraft. Selten hat eine europäische Vereinheitlichung so viel Wirbel und Aufregung verursacht, wie diese Verordnung. Dabei brachten die in der ganzen EU unmittelbar verbindlichen Regelungen für die deutschen Unternehmen nur wenige Neuerungen – abgesehen von den Informationspflichten gegenüber den Betroffenen. Die bis auf die EG-Datenschutzrichtlinie 94/46/EG von 1995 zurückreichenden Anforderungen führten in der öffentlichen Wahrnehmung bislang eher ein Schattendasein. Der neue Bußgeldrahmen und eine interessierte Öffentlichkeit haben dies geändert.
Viele Unternehmen fühlten und fühlen sich bei der Umsetzung der datenschutzrechtlichen Anforderungen überfordert. Die DSGVO unterscheidet kaum zwischen großen und kleinen Unternehmen. Damit die DSGVO möglichst auch künftige technische Entwicklungen berücksichtigt, sind ihre Regelungen sehr allgemein und unter Verwendung vieler unbestimmter Rechtsbegriffe abgefasst. Konkrete Vorgaben und verbindliche Muster fehlen. Auch die deutschen Landesdatenschutzbeauftragten sind sich in der Regelauslegung nicht immer einig.
Unternehmen mussten nach der DSGVO, unabhängig von Ihrer Größe, alle ihre internen Datenverarbeitungsprozesse auf Anpassungsbedarf überprüfen. Außerdem soll schon bei Neuanschaffungen von Datensystemen darauf geachtet werden, dass diese, soweit zum jetzigen Zeitpunkt möglich, die neuen Datenschutzregelungen bereits berücksichtigen. Art. 5 DS-GVO beinhaltet die Grundsätze, die bei einer Verarbeitung personenbezogener Daten zu beachten sind. Die wichtigsten sind:
Verbot mit Erlaubnisvorbehalt
Da die Verarbeitung personenbezogener Daten in das verfassungsrechtlich geschützte Persönlichkeitsrecht eingreift, ist jede Datenverarbeitung in der Regel verboten. Es sei denn, sie ist gesetzlich erlaubt, zur Durchführung eines Vertrages mit dem Betroffenen erforderlich oder erfolgt mit Einwilligung der betroffenen Person.
Transparenz
Die betroffene Person muss wissen, wer welche Daten für welchen Zweck verarbeitet. Daher gibt es umfangreiche Betroffenenrechte (z.B. Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht).
Zweckbindung, Datensparsamkeit
Die Daten dürfen nur für die genannten Zwecke verarbeitet werden. Ausnahmen sind vorgesehen für sog. kompatible Zwecke, also Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen. Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind. Die Datensparsamkeit ist hierbei zu beachten, also die Frage, wann Daten nicht mehr benötigt und daher gelöscht werden können. Zudem sind alle Möglichkeiten zur Anonymisierung von Daten zu nutzen.
Integrität und Vertraulichkeit
Die DS-GVO verknüpft sehr stark den Datenschutz mit der Technik. Die IT-Verfahren müssen somit schon von Anfang an darauf ausgerichtet sein, möglichst wenig personenbezogene Daten verarbeiten zu können (privacy by design).
Rechenschaftspflicht
Das ist der wichtigste Aspekt der Grundsätze! Die verantwortliche Stelle, also das Unternehmen oder die Institution sind verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig – natürlich abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden und der Menge und der Qualität der Daten. Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können. Denn die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich: Bis zu 20 Mio. Euro oder 4 % des Umsatzes können von den Aufsichtsbehörden verhängt werden.