EU-DSGVO 

Ab dem 25. Mai 2018 wird die EU-DSGVO angewandt: Die Datenschutz-Grundverordnung gilt direkt für alle EU-Mitgliedstaaten. Worauf müssen Unternehmen achten?

Was ist die EU Datenschutz-Grundverordnung (EU-DSGVO)? 

Die EU-Datenschutz-Grundverordnung ist eine Verordnung zur Vereinheitlichung des Datenschutzrechts in allen EU-Mitgliedstaaten. Sie regelt den Umgang mit personenbezogenen Daten durch datenverarbeitende Unternehmen, Behörden und Organisationen. Betroffen sind nach dem Marktortprinzip:

a) Unternehmen in der Europäischen Union

b) außereuropäische Unternehmen, die Waren und Dienstleitung am europäischen Markt anbieten oder Daten von EU-Bürgern verarbeiten

Im Frühjahr 2016 ist die EU-DSGVO in Kraft getreten. In der Übergangsfrist bis zum 25. Mai 2018 haben Datenverarbeiter Zeit, sich auf die Datenschutzvorschriften vorzubereiten. Die bisher geltende EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) aus dem Jahr 1995 wird durch die DSGVO abgelöst. Die in der Richtlinie beschriebenen Mindeststandards mussten von den EU-Mitgliedstaaten durch nationale Gesetze umgesetzt werden. Mit der EU-DSGVO soll die EU-weit abweichende Umsetzung des Datenschutzrechts vereinheitlicht werden: Die Grundverordnung gilt für alle EU-Mitgliedstaaten direkt. Geringe länderspezifische Abweichungen sind durch Öffnungsklauseln möglich, die nationale Regelungen erlauben. In Deutschland wurde das Bundesdatenschutzgesetz (BDSG) überarbeitet. Mit Anwendbarkeit der EU-DSGVO löst das neue BDSG (BGSD (neu)) das alte Gesetz (BDSG (alt)) ab. 

Was sind die Ziele der EU-DSGVO? 

Die Datenschutz-Grundverordnung dient dem Schutz von Personen bei der Verarbeitung personenbezogener Daten (Art. 1 Abs. 1 DSGVO). Personenbezogene Daten (Art. 4 Abs. 1 DSGVO) sind solche, die Personen bestimmbar machen und Rückschlüsse auf deren persönlichen oder sachlichen Verhältnisse zulassen (z. B. Name, Telefonnummer, IP-Adresse). Verarbeitung umfasst laut Art. 4 Abs. 2 DSGVO mehrere Bereiche, z. B. das Erheben, Erfassen, Speichern, Abfragen, Auslesen, Übermitteln oder Löschen von Daten. Die Rechte betroffener Personen werden durch die DSGVO gestärkt und Unternehmen müssen entsprechende Verpflichtungen eingehen. 

Welche datenschutzrechtlichen Grundprinzipien gelten?

Generell gilt für die Verarbeitung personenbezogener Daten ein Verbot mit Erlaubnisvorbehalt: Die Datenverarbeitung ist verboten, es sei denn sie wird durch ein Gesetz oder die Einwilligung der betroffenen Person ausdrücklich erlaubt.

Art. 5 DSGVO sieht 6 Grundsätze für die Verarbeitung personenbezogener Daten vor:

1. Rechtmäßigkeit der Datenverarbeitung: Die Daten müssen rechtmäßig (unter Einwilligung der Person) und für Betroffene transparent verarbeitet werden.

2. Zweckbindung der Daten: Die verarbeiteten Daten müssen zweckgebunden sein und dürfen nicht zu beliebigen anderen Zwecken verarbeitet werden – bspw. Bewerberdaten für Recruiting-Zwecke. Daten, die zu verschiedenen Zwecken erhoben werden, dürfen nicht einfach zusammengeführt werden (z. B. Personal- und Bankdaten eines Bankmitarbeiters).

3. Datenminimierung: Das Maß der Datenverarbeitung ist ebenfalls zweckgebunden: Daten dürfen nicht auf Vorrat oder Verdacht gespeichert werden. Unternehmen sollten sich fragen, ob sie die Daten tatsächlich benötigen (z. B. 3 verschiedene Telefonnummern einer Person). Nicht mehr benötigte Daten sollten gelöscht werden.

4. Richtigkeit: Die Daten müssen sachlich richtig und aktuell sein. Fehlerhafte Daten müssen korrigiert oder gelöscht werden.

5. Speicherbegrenzung: Daten müssen so gespeichert werden, dass eine Identifizierung der Person nur so lange möglich ist, wie es für den Verarbeitungszweck erforderlich ist.

6. Integrität und Vertraulichkeit: Die Datenverarbeitung muss die Sicherheit der personenbezogenen Daten gewährleisten: Die Daten sind vor unbefugten Zugriffen, unbeabsichtigten Verlusten oder Zerstörung zu schützen. Mögliche Schutzmaßnahmen bestehen in der Nutzung verschlüsselter Festplatten und Dateisysteme, Transportverschlüsselungen für den E-Mail-Verkehr (TSL/SSL) und der Pseudonymisierung von Office-Dokumenten. 

Welche Rechte haben betroffene Personen? 

Im Zuge der EU-DSGVO wurden die Rechte von Personen bzgl. der Verarbeitung ihrer personenbezogenen Daten gestärkt. Betroffene haben ein Informationsrecht bei Erhebung ihrer Daten (Art. 13 DSGVO). Sie haben das Recht, Auskunft darüber zu verlangen, ob Unternehmen ihre personenbezogenen Daten verarbeiten. Liegt eine Verarbeitung vor, kann die Person nach Art. 15 Abs. 1 DSGVO folgende Informationen zur Datenverarbeitung verlangen:

  • Verarbeitungszwecke
  • Datenkategorien
  • Datenempfänger oder Kategorien von Empfängern
  • Dauer der Datenspeicherung oder Kriterien der Dauer (z. B. im Falle von Bewerberdaten bis eine Stellenbesetzung erfolgt ist)
  • Herkunft der Daten, die nicht bei Betroffenen erhoben wurden
  • bestehende automatisierte Entscheidungsfindung
  • Profiling (Erstellen von Nutzerprofilen, um z. B. die Arbeitsleistung oder persönlichen Vorlieben einer Person zu bewerten)

Außerdem sind die Betroffenen über ihre Rechte zu informieren. Folgende Rechte sind in der Datenschutz-Grundverordnung verankert:

  • Recht auf Berichtigung (Art. 16 DSGVO): Personen können die Korrektur unrichtiger Daten und die Vervollständigung unvollständiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Unter bestimmten Umständen kann die Person eine Löschung ihrer Daten verlangen, z. B. wenn die Daten für die ursprünglichen Erhebungszwecke nicht mehr notwendig sind, unrechtmäßig verarbeitet werden oder die Person ihre Einwilligung widerruft.
  • Recht auf eine Einschränkung der Verarbeitung (Art. 18 DSGVO): Betroffene können eine Einschränkung der Datenverarbeitung verlangen, wenn z. B. die Verarbeitung unrechtmäßig und die Richtigkeit der Daten bestreitbar ist.  
  • Widerspruchsrecht (Art. 21 DSGVO): Die Person kann gegen die Verarbeitung ihrer Daten Widerspruch einlegen.
  • Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO): Personen haben ein Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn sie die Verarbeitung ihrer personenbezogenen Daten als rechtswidrig erachten.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Nutzer können ihre Daten bspw. bei einem Anbieterwechsel oder Wechsel des sozialen Netzwerks mitnehmen (Datenportabilität). Anbieter müssen die Daten als Kopie in einem maschinenlesbaren Format zur Verfügung stellen. 

Welche Pflichten haben Datenverarbeiter? 

  • Technische und organisatorische Maßnahmen: Datenverarbeiter müssen nach Art. 25 Abs. 1 DSGVO technische und organisatorische Maßnahmen ergreifen, um Datenschutzgrundsätze umzusetzen – z. B. indem die Daten schnellstmöglich pseudonymisiert werden und die Datenverarbeitung reduziert wird. Die Grundsätze Privacy by Design und Privacy by Default besagen, dass Datenschutz durch frühzeitige Maßnahmen im (Produkt-)Entwicklungsstadium und durch datenschutzfreundliche Voreinstellungen umgesetzt wird. Die Voreinstellungen stellen bspw. sicher, dass Daten nur so lange und in dem Umfang gespeichert und verarbeitet werden, wie es für die Zwecke erforderlich ist.
  • Auftragsdatenverarbeitung: Bei der Auftragsdatenverarbeitung (Art. 28 DSGVO) muss bei der Wahl des Auftragsverarbeiters Rücksicht auf die technischen und organisatorischen Maßnahmen genommen werden.  Der Verarbeite darf die Daten nach Art. 29 DSGVO nur nach Weisung und nicht für eigene Zwecke verarbeiten. In Artikel 28 Abs. 3 sind die Aspekte aufgeführt, die bei der Vertragsaufsetzung mit einem Auftragsverarbeiter zu berücksichtigen sind.
  • Meldung von Datenschutzverletzungen: Datenschutzverletzungen müssen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden (Art. 33 DSGVO), wenn ein Risiko für die Rechte und Freiheiten der Person besteht. Ist das Risiko hoch, muss auch die betroffene Person benachrichtigt werden (Art. 34 Abs. 1 DSGVO).
  • Dokumentationspflicht (Art. 30 DSGVO): Datenverarbeiter müssen ein Verzeichnis ihrer Verarbeitungstätigkeiten führen. Darin enthalten sein sollten:

- Name und Kontaktdaten der Datenverarbeiter, ggf. deren Vertreter

- Verarbeitungszwecke

- Datenkategorien

- Kategorien von Datenempfängern

- ggf. Übermittlung der Daten an Drittländer

- Fristen für die Löschung

- Beschreibung der technischen und organisatorischen Datenschutzmaßnahmen

  • Informationspflicht: Datenverarbeiter müssen betroffene Personen bei der Erhebung ihrer personenbezogenen Daten über die in Art. 13 DSGVO aufgeführten Punkte informieren. Wurden die Daten nicht bei der betroffenen Person erhoben, gelten die Aufführungen in Art. 14 DSGVO.
  • Datenschutz-Folgenabschätzung: Bei einem hohen Risiko der Datenverarbeitung muss eine Datenschutz-Folgenabschätzung vorgenommen werden (Art. 35 DSGVO), bei der z. B. die Risiken für die betroffene Person bewertet und die geplanten Verarbeitungsvorgänge beschrieben werden.
  • Datenschutzbeauftragter: Unternehmen mit Kerntätigkeit in der Datenverarbeitung müssen einen Datenschutzbeauftragten bestellen (Art. 37 Abs. 1 DSGVO). 

Sanktionen bei Rechtsverstößen 

In der DSGVO sind bei bestimmten Rechtsverstößen Geldbußen bis zu 20 Millionen Euro oder 4 % des weltweit erwirtschafteten Jahresumsatzes möglich – es gilt der höhere Wert. Bisher lag die im BDSG verankerte Haftungshöchstgrenze bei maximal 30.000 Euro. Die Geldstrafen wurden erhöht, um eine abschreckende Wirkung zu entfalten. Darüber hinaus sieht das BDSG (neu) neben Geldstrafen auch Freiheitsstrafen vor –  nach Art. 84 Abs. 1 DSGVO können EU-Mitgliedstaaten eigene Sanktionen bei Verstößen verhängen. 

Fazit

Die EU-DSGVO wird ab dem 25. Mai 2018 angewandt: Sie stärkt die Rechte betroffener Personen bzgl. der Verarbeitung personenbezogener Daten und vereinheitlicht das Datenschutzrecht für alle EU-Mitgliedstaaten. Mit Anwendbarkeit der DSGVO gilt auch das neue Bundesdatenschutzgesetz (BDSG (neu)), das bestimmte Vorschriften der Grundverordnung konkretisiert oder ergänzt. 

Newsletter abonnieren

Stets die aktuellsten Themen im Bereich HR, Recruiting und Bewerbermanagement im Blick haben.