EU DSGVO 2018 – Diese zehn Fragen stellt sich Deutschland

Die DSGVO gilt ab Mai 2018 verpflichtend. Auch für Sie. Da nicht viel Zeit zu verlieren ist und Sie sicher auf die zehn häufigsten Fragen zum Thema brennen, steigen wir direkt ein in unsere FAQ mit Christian Völkel, Rechtsanwalt und Partner bei LOGIN Partners Rechtsanwälte.

Die zehn häufigsten Einstiegsfragen zur DSGVO 2018:

1. Wofür steht DSGVO überhaupt?

DSGVO ist die Abkürzung für „Datenschutz-Grundverordnung“ der Europäischen Union. Im englischsprachigen Raum wird die Verordnung auch als General Data Protection Regulation (GDPR) bezeichnet. Als europarechtliche Verordnung gilt sie unmittelbar in allen Mitgliedstaaten der EU und bedarf keines Umsetzungsgesetzes wie dies bei Richtlinien der Fall ist.

Die sogenannte Datenschutz-Richtlinie (Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) hingegen bedurfte eines Umsetzungsgesetzes, da sie nicht unmittelbar in den Mitgliedstaaten der EU Anwendung fand. In Deutschland wurde die Datenschutz-Richtlinie im Bundesdatenschutzgesetz (BDSG) und weiteren Spezialgesetzen, wie bspw. dem SGB X für den GKV-Markt umgesetzt.

Die DSGVO löst die bisherige Datenschutzrichtlinie zum 25.05.2018 ab und auch die nationalen Umsetzungsgesetze (z.B. in Deutschland das BDSG) müssen bis dahin durch neue Gesetze ersetzt werden, die die DSGVO nicht umsetzen, sondern nunmehr lediglich dort ergänzen, wo die DSGVO dies in sogenannten Öffnungsklauseln ausdrücklich erlaubt. In Deutschland wird die DSGVO 2018 durch das Datenschutz- Anpassungs- und Umsetzungsgesetz-EU (DsAnpUG-EU) ergänzt, welches unter anderem das neue im April 2017 verabschiedete BDSG (BDSG-neu) enthält. Darüber hinaus wurden im Juni 2017 die Regelungen im Bereich des Sozialdatenschutzrechtes durch eine Neufassung des SGB X umfänglich an die DSGVO angepasst.

2. Worum geht es bei der DSGVO?

Die DSGVO stellt Regelungen zum Umgang mit personenbezogenen Daten auf. Personenbezogene Daten sind Informationen über identifizierte oder identifizierbare natürliche Personen, wie beispielsweise Name, Anschrift, Bankdaten, das Kfz-Kennzeichen oder auch in vielen Fällen die IP-Adresse. Diese Personen werden als betroffene Personen bezeichnet. Informationen über juristische Personen, d.h. Unternehmen oder Behörden fallen demnach nicht unter den Regelungsgehalt der DSGVO. Sehr wohl aber die für diese Organisation tätigen Beschäftigten, Lieferanten etc.

3. Was ist das Ziel der DSGVO?

Ziel der Verordnung ist zum einen die Harmonisierung des Datenschutzrechts in Europa, d.h. die Schaffung einer einheitlichen Rechtsordnung im Datenschutz statt der vielen nationalen Gesetze und der Vielzahl an europäischen Richtlinien und Verordnungen. Zudem verfolgt sie das Ziel des umfassenden Schutzes der betroffenen Personen. Hintergrund hierfür ist auch das in Deutschland verfassungsrechtlich garantierte Recht auf informationelle Selbstbestimmung. Dieses Grundrecht ist Teil des Allgemeinen Persönlichkeitsrechts, das in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG verankert ist. Das Recht auf informationelle Selbstbestimmung beinhaltet das Recht einer jeden natürlichen Person, grundsätzlich selbst über die Preisgabe, den Umfang und die Verwendung der sie betreffenden Daten zu bestimmen.

4. Tritt die DSGVO 2018 in Kraft?

Nein. Die DSGVO ist bereits am 24.05.2016 in Kraft getreten. Sie wird allerdings erst zum 25.05.2018 wirksam. Es gibt zwar keine Umsetzungsfrist, d.h. es ist von einem Tag (24.05.2018) auf den anderen Tag (25.05.2018) umzustellen. Allerdings empfiehlt es sich für Unternehmen und Organisationen – und so sieht es auch die DSGVO in den zur Auslegung heranzuziehenden Erwägungsgründen vor – schon jetzt die Umsetzung der Änderungen voranzutreiben. Dies insbesondere, um gegen die deutlich höheren Bußgelder gewappnet zu sein.

5. Wer hat die Datenschutz-Grundverordnung verabschiedet?

Die DSGVO wurde vom Europäischen Parlament per Beschluss im April 2016 verabschiedet. Sie basiert auf dem Entwurf des Trilogs (paritätisch zusammengesetztes Dreiertreffen des Europäischen Rates, der Europäischen Kommission und des Europäischen Parlaments), dem Vorschläge der einzelnen Institutionen vorausgegangen waren.

6. Gilt die Verordnung auch für mich?

Adressat der DSGVO sind Verantwortliche und Auftragsverarbeiter, die ganz oder teilweise automatisiert personenbezogene Daten verarbeiten bzw. nichtautomatisiert personenbezogene Daten verarbeiten, wenn diese Verarbeitung dann in einem Dateisystem – wie bspw. einem ERP-, CRM- oder ECM-System – gespeichert ist oder werden soll. Verantwortliche im Sinne der DSGVO sind natürliche oder juristische Personen, Behörden, Einrichtungen und andere Stellen, die über Zwecke (Verarbeitungsziel) und Mittel (genutzte technische Vorrichtung zur Verarbeitung der personenbezogenen Daten) entscheiden. Angesprochen fühlen müssen sich dabei fast alle Nutzer derartiger Software-Lösungen und insbesondere Unternehmen, die personenbezogene Daten verarbeiten, weswegen in der Beantwortung der weiteren Fragen der Begriff „Unternehmen“ verwendet wird. Erfolgt die Verarbeitung durch einen Dritten im Auftrag eines Unternehmens, geschieht dies gemäß den Weisungen des Verantwortlichen – also durch Sie als Kunden – so greifen an vielen Stellen Sonderregelungen in der DSGVO.

7. Gilt die DSGVO nur für Unternehmen in der EU?

Die DSGVO gilt für Unternehmen, die personenbezogene Daten im Rahmen der Tätigkeit einer Niederlassung innerhalb der EU verarbeiten, wie dies bereits nach dem noch geltenden BDSG der Fall ist (sogenanntes Niederlassungsprinzip). Darüber hinaus gilt die DSGVO allerdings – im Unterschied zur Datenschutz-Richtlinie und dem BDSG – auch für Unternehmen, die Waren und Dienstleistungen in der EU anbieten oder die das Verhalten betroffener Personen (beispielsweise mit Hilfe von Cookies) beobachten (sogenanntes Marktortprinzip). Der Anwendungsbereich ist damit deutlich erweitert worden.

8. Gibt es jetzt also ein einheitliches europäisches Datenschutzrecht?

Nicht ganz. Nicht zuletzt wegen der verhältnismäßig kurzen Zeit, innerhalb derer die DSGVO 2018 von den 28 Mitgliedstaaten der EU verabschiedet worden ist, war es an vielen Stellen schwierig, Regelungen zu treffen, mit denen alle Mitgliedstaaten einverstanden waren. Wie so oft, musste man politisch annehmbare Mittelwege beschreiten. Das hat dazu geführt, dass an vielen Stellen Kompromisslösungen im Sinne von sogenannten Öffnungsklauseln in der DSGVO enthalten sind.

Öffnungsklauseln sind Einfallstore für eigene nationale Regelungen der Mitgliedstaaten. Die DSGVO erlaubt an diesen Stellen, dass die Mitgliedstaaten im Rahmen der Vorgaben der DSGVO eigene Regelungen treffen, welche die DSGVO quasi ergänzen. Das hat allerdings zur Folge, dass es eben doch kein einheitliches Datenschutzrecht in Europa geben wird, sondern eine Vielzahl nationaler Regelungen, die je nach Ortsbezug der Verarbeitung ebenfalls beachtet werden müssen. Es gilt dann jeweils vorrangig immer die DSGVO, die dort, wo sie es erlaubt, durch nationale Gesetze ergänzt wird.

9. Ist die DSGVO eine komplett neue Verordnung?

Die DSGVO ersetzt die bis dahin geltende Datenschutz-Richtlinie, die in den einzelnen Mitgliedstaaten durch nationale Gesetze – mangels eigener unmittelbarer Wirkung einer Richtlinie – umgesetzt worden ist. Viele Regelungen der Datenschutz-Richtlinie werden durch die DSGVO unverändert übernommen oder nur wenig geändert. Es gibt jedoch auch einige Regelungsbereiche, die durch die DSGVO grundlegend geändert oder neu hinzugefügt worden sind.

10. Welche Strafen drohen mir bei Nichteinhaltung der DSGVO?

Die DSGVO enthält zwei Bußgeldkategorien. In einigen Fällen, die nicht mit der direkten Verletzung von Rechten und Freiheiten betroffener Personen einhergehen, drohen Bußgelder von bis zu 10 Millionen Euro bzw. bis zu 2 % des weltweiten, konzernweiten Vorjahresumsatzes, soweit dieser Betrag höher ist. Dies gilt beispielsweise bei der Missachtung der Vorschriften zu Data Protection by Design/Default, zur Datenschutz-Folgenabschätzung oder zur Pflicht der Benennung eines Datenschutzbeauftragten. Werden die Rechte und Freiheiten der betroffenen Personen direkt verletzt, beispielsweise, weil ihren Betroffenenrechten (z.B. Auskunfts-, Löschungs-, Berichtigungsanspruch) nicht nachgekommen wird, drohen sogar Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten, konzernweiten Vorjahresumsatzes. Auch in dieser „teuren“ Kategorie ist jeweils der höhere Betrag zur Festsetzung des Bußgeldes durch die Aufsichtsbehörde maßgeblich. Zum Vergleich: Die derzeitige Rechtslage in Deutschland ermöglicht lediglich Sanktionen bis zu 50.000 bzw. 300.000 Euro. Lassen Sie es nicht soweit kommen und begeben Sie sich jetzt an die Umsetzung der DSGVO 2018.

Übrigens…

d.velop hat die Umsetzung der EU DSGVO in Kooperation mit der auf IT- und Datenschutzrecht spezialisierten Kanzlei LOGIN Partners schon lange eingeleitet und wird bis Mai 2018 auch im Interesse ihrer Kunden alles dafür tun, die Anforderungen der DSGVO umgesetzt zu haben.

Erfahren Sie in unserem Experten-Webinar mit Rechtsanwalt Christian Völkel am 28.08.2017 aus erster Hand, wie Sie die Datenschutz-Grundverordnung bis Mai 2018 gezielt umsetzen und Umsatzeinbußen vermeiden.

Webinar DSGVO 2018

Christian Völkel

Rechtsanwalt und Partner, LOGIN Partners Rechtsanwälte Christian Völkel ist ein auf IT- und Datenschutzrecht spezialisierter Rechtsanwalt und Partner in der auf IT/IP- und Datenschutzrecht spezialisierten Kanzlei LOGIN Partners mit Standorten im Münsterland und Rheinland. Er versteht es, eine Produktidee bis hin zu seiner Marktreife auch mit dem notwendigen technischen Sachverstand zu begleiten. Als Dozent u.a. für GDD, DataKontext, DSRI, OSV, Deutsche Anwalt Akademie und die TÜV Rheinland Akademie bildet Christian Völkel Juristen, Datenschutzbeauftragte, IT-Sicherheitsbeauftragte sowie Führungskräfte aus und weiter. Zurzeit betreut er bei marktführenden gesetzlich regulierten Unternehmen und Organisationen Umsetzungsprojekte zur DSGVO.