Die EU Datenschutzgrundverordnung (zu Deutsch DSGVO; auf Englisch GDPR) findet ab Mai 2018 Anwendung, trat allerdings bereits im Mai 2016 in Kraft. Sie ersetzt die nationalen Umsetzungen der Datenschutzrichtlinie von 1995 und ist grundsätzlich in allen EU-Mitgliedstaaten gleichwertig anwendbar. Die DSGVO beabsichtigt die Schaffung höherer Transparenz und Selbstbestimmung bezüglich persönlicher Daten. Zusätzlich intendiert die Verordnung Verbrauchervertrauen in digitale Vorgänge zu schaffen und zur Harmonisierung der vormalig nationalen Datenschutzgesetze beizutragen.
Warum die Datenschutzgrundverordnung DSGVO Unternehmen in Zugzwang setzt
Die Datenschutzgrundverordnung (DSGVO) ersetzt die nationalen Umsetzungen der Datenschutzrichtlinie. Erstere findet Anwendung für sämtliche Unternehmen welche persönliche Daten von EU-Bürgern verarbeiten. Die Definition der Datenverarbeitung blieb im Zuge der Reform unverändert. Dementsprechend sind sogar Lieferdienste welche Kundendaten verarbeiten von den neuen Pflichten betroffen. Beispielsweise gelten strengere Voraussetzungen zu Einwilligung zur Datenverarbeitung, Dokumentationspflichten und Informationspflichten. Zudem wurden die Nutzerrrechte gestärkt und beispielweise ein Recht auf „Datenübertragbarkeit“ eingeführt. Auch Auftragsverarbeiter werden von neuen Pflichten erfasst. All dies erfordert, dass entsprechende Vorkehrungen getroffen werden, um den Anforderungen der DSGVO zu entsprechen. Seitens der Aufsichtsbehörden ist eine Prüfwelle ab Mai 2018 zu erwarten.
Prüfungen haben besonderes Gewicht, da die DSGVO Geldbußen von bis zu 20.000.000 EUR bzw. 4% des gesamten weltweit erzielten Jahresumsatzes einführt. Die Verhängung ist weitestgehend harmonisiert, sodass Unternehmen unabhängig von der zuständigen Behörde in vollem Umfang bedroht sind.
Handlungsempfehlungen
Da Unternehmen vielerlei Umwälzungen begegnen müssen, ist es unabdinglich die Schwerpunkte für entsprechende Maßnahmen richtig zu setzen. Folgende Handlungen sollten im Fokus stehen:
- Verzeichnisse zu Verarbeitungstätigkeiten erstellen (Art. 30 DSGVO)
- Technische und organisatorische Maßnahmen zur Sicherung der Datenverarbeitung treffen (Art. 32 DSGVO)
- DSGVO-konforme vertragliche Bindung und Kooperation mit auftragsverarbeitenden Dienstleistern (Art. 28 DSGVO)
Abschließend muss darauf hingewiesen werden, dass viele weitere Handlungsschritte, beispielsweise bezüglich Simulierung von Nutzerrrechtsgebrauch und Datenschutzverletzungsfällen, erforderlich sind.
Nationale Abweichungen der Datenschutzgrundverordnung in Spanien
Trotz des Ziels das europäische Datenschutzrecht zu harmonisieren, beherbergt die DSGVO Öffnungsklauseln, welche EU Mitgliedstaaten Abweichungen in ihrer individuellen Datenschutzgesetzgebung erlauben. Daher erinnert sie in Teilen eher an eine Richtlinie als an eine Verordnung. Nationale Abweichungen sollten von international tätigen Unternehmen dringend berücksichtigt werden.
Die folgende Auswahl von Öffnungsklauseln betrifft entscheidende Themen wie:
- Rechtmäßigkeit der Datenverarbeitung (Rechtfertigungstatbestände zur Datenverarbeitung in Art. 6 DSGVO)
- Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten (Art. 9 DSGVO)
- Personenbezogene Beschäftigtendaten (Art. 88 DSGVO)
Die spanische Regierung hat einen entsprechenden Gesetzesentwurf verabschiedet, der Hinweise auf die zukünftigen nationalen Regelungen gibt. Daraus können sich für Unternehmen einschlägige Ausnahmen oder Verschärfungen im Datenschutz ergeben, die es zu prüfen gilt.
Aaron Nourbakhsh & Karl H. Lincke
Wenn Sie weitere Informationen benötigen,