Haben Sie sich den 25. Mai nächsten Jahres schon im Kalender angestrichen? Nein? Dann sollten Sie dies zügig nachholen. Weshalb? Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Das Gesetz regelt erstmals übergreifend den Datenschutz in allen Mitgliedsländern der EU und ersetzt damit die bis dato geltenden nationalen Regelungen: In Deutschland unter anderem das Bundesdatenschutzgesetz (BDSG).
Im Mittelpunkt der EU-DSGVO stehen die sogenannten „personenbezogenen Daten“ (z.B. Name, Adresse, Körpermerkmale, E-Mail-Adresse), die einen besonderen Schutz genießen. Dies gilt insbesondere für die Speicherung und Verarbeitung dieser Daten. Wenn diese Speicherung und Verarbeitung im Rahmen der Auftragsdatenverarbeitung durch einen Dritten geschieht, müssen ab Mai 2018 neue Regelungen beachtet werden, die wir Ihnen im Folgenden kurz erläutern möchten.
EU-Datenschutz-Grundverordnung (EU-DSGVO): EU-weite Regelungen zum Datenschutz
Bereits vor mehr als einem Jahr, am 14. April 2016, wurde die EU-Datenschutz-Grundverordnung (EU-DSGVO) vom EU-Parlament verabschiedet. Sie ist Teil der bereits 2012 von der Europäischen Kommission angekündigten EU-Datenschutzreform und gilt als Grundlage für einen einheitlichen Datenschutz in allen 28 EU-Staaten. Die EU-DSGVO ersetzt die bereits aus dem Jahr 1995 stammende Datenschutzrichtlinie 95/46/EG. Im Gegensatz zu ihrer Vorgängerversion, die von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste, gilt die EU-DSGVO ohne so genannten „Umsetzungsakt“ unmittelbar in allen EU-Mitgliedstaaten. Damit soll vermieden werden, dass die in der Verordnung festgelegten Regeln durch nationale Regelungen abgeschwächt oder aber auch verstärkt werden. Nationale Regelungen, wie etwa das Bundesdatenschutzgesetz (BDSG) oder das Telemediengesetz (TMG), werden deshalb grundsätzlich nicht mehr anwendbar sein – außer dort, wo die EU-DSGVO über Öffnungsklauseln weiterhin nationale Regelungen zulässt. Derzeit gibt es in ungefähr 50 Stellen der Neuregelung solche Klauseln. Unabhängig davon müssen sich Unternehmen ab Mai 2018 an die EU-DSGVO halten.
Im Mittelpunkt der neuen Verordnung stehen insbesondere Regelungen, die den Umgang mit personenbezogenen Daten von EU-Bürgern festlegen. Dabei sollen die Rechte der Betroffenen grundsätzlich gestärkt und im Vergleich zur aktuellen Rechtslage sogar ausgeweitet werden.
EU-Datenschutz-Grundverordnung (EU-DSGVO): „Damoklesschwert“ für Unternehmen
Der Grund, weshalb in der Presse häufig vom „Damoklesschwert EU-DSGVO“ die Rede ist, liegt im oben angesprochenen Fehlen eines „Umsetzungsaktes“. Dies bedeutet nämlich, dass es – anders als bei vielen anderen EU-Vorschriften – bei der EU-DSGVO keine Übergangsfristen gibt. Die neuen Regelungen gelten damit ab dem 25.5.2018, 0:00 Uhr! Und zwar mit allen Konsequenzen!
Die drastischsten und für Unternehmen unter Umständen schlimmsten Folgen der EU-DSGVO liegen im neuen Bußgeldkatalog der Verordnung. Unternehmen, die gegen die neuen Vorgaben verstoßen, müssen in Zukunft mit empfindlichen Geldbußen rechnen. Artikel 83 der EU-DSGVO regelt die „Allgemeinen Bedingungen für die Verhängung von Geldbußen“. Bei Verstößen gegen die Bestimmungen der EU-DSGVO werden Geldbußen von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
Fällig wird diese horrende Summe beispielsweise, wenn:
- Eine Datenverarbeitung ohne Erlaubnis/Einwilligung erfolgt
- Gegen das Informations-, Berichtigungs- oder Löschungsrecht verstoßen wird
- Eine unberechtigte Übermittlung von Daten ins Ausland erfolgt
- Anordnungen der Aufsichtsbehörden nicht befolgt werden
Ein Bußgeld in Höhe von zehn Millionen Euro oder 2 Prozent des weltweit erzielten Jahresumsatzes wird fällig beispielsweise, wenn
- Keine Verfahrensverzeichnisse vorliegen oder diese unvollständig sind
- Gegen Meldepflichten verstoßen wird
- Keine oder eine nur unvollständige Datenschutz-Folgeabschätzung durchgeführt wurde
- Kein Datenschutzbeauftragter benannt wurde
Webseite, Online-Shop, SaaS-Lösung: Anwendungsbeispiele für Auftragsdatenverarbeitung
Wie eingangs erwähnt erfährt auch die bisher in § 11 Bundesdatenschutzgesetz geregelte Auftragsdatenverarbeitung eine Neuordnung durch die EU-DSGVO. Diese Geschäftsbeziehung tritt immer dann auf, wenn ein Dritter im Rahmen einer vertraglichen Vereinbarung für Sie personenbezogene Daten verarbeitet (z.B. auf seinen IT-Systemen speichert). Dies geschieht beispielsweise dann, wenn Sie Webseiten, auf denen sich Besucher in Online-Formulare eintragen können, oder Online-Shops, über die Kunden Käufe tätigen können, von einem Hoster oder Provider betreiben lassen. Denn in der Regel landen die eingetragenen personenbezogenen Daten der Webseitenbesucher oder Online Shop-Käufer dann ebenfalls bei diesem Dienstleister.
Ein weiterer Anwendungsbereich in der Praxis ist die Nutzung von Software-Anwendungen, die im Cloud Computing-Modell betrieben werden. Nutzen Sie beispielsweise eine CRM-Lösung, eine Softwarelösung zum Erstellen von Rechnungen (Faktura) oder eine Personalverwaltungssoftware aus der Wolke, dann liegen in der Regel auch die mit diesen Anwendungen verarbeiteten Daten (Kunden, Geschäftspartner, Mitarbeiter) beim Cloud Service Provider. Dieser übernimmt dann rein rechtlich die Aufgabe des Auftragsdatenverarbeiters nach BDSG.
Aus „Auftragsdaten“-Verarbeitung wird „Auftrags“-Verarbeitung
Dass die EU-DSGVO im Gegensatz zum bisher für diesen Bereich geltenden Bundesdatenschutzgesetz nur noch von „Auftragsverarbeitung“ anstatt von „Auftragsdatenverarbeitung“ spricht, ist sicher die am wenigsten zu beachtende, weil rein sprachliche Änderung.
Wichtiger ist dagegen die Tatsache, dass es zwar wie bisher einer vertraglichen Regelung zwischen Auftragsverarbeiter und dem für die Verarbeitung Verantwortlichen bedarf, diese aber nicht mehr ausschließlich schriftlich vorliegen muss, sondern auch in einem elektronischen Format abgeschlossen werden kann. Wenn Sie also in Zukunft eine Cloud Computing-Lösung buchen, mit der personenbezogene Daten verarbeitet werden sollen (CRM, Faktura, Finanzbuchhaltung, etc.) und diese online über ein Bestellformular des Cloud Service Providers auf dessen Webseite tun, ist keine zusätzliche schriftlich vorliegende Vereinbarung zur Auftrags (daten) Verarbeitung mehr erforderlich.
Ebenfalls neu ist, dass die Regelungen der EU-EUSGVO auch für Datenverarbeitungen im Auftrag außerhalb der EU gelten. Nach Artikel 3 EU-DSGVO findet sie nämlich „Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“
Für die Auftragsverarbeiter gelten wiederum strengere Haftungsregelungen. In Art 82 EU-DSGVO heißt es: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder moralischer Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“ Die Haftung des Auftragsverarbeiters beschränkt sich allerdings auf Verstöße gegen speziell den Auftragsverarbeitern auferlegten Pflichten. Erbringt er den Nachweis, dass kein Verstoß vorliegt, entfällt auch die Haftung.
Ansonsten entsprechen die Regelungen weitgehend den bestehenden Vorschriften aus dem Bundesdatenschutzgesetz (§ 11 BDSG). Dies gilt beispielsweise für die Sorgfaltspflicht des für die Verarbeitung Verantwortlichen bei der Auswahl des Auftragsverarbeiters. Auch die inhaltlichen Anforderungen an einen Vertrag zur Datenverarbeitung im Auftrag orientieren sich sehr stark an den in Deutschland bereits bekannten Punkten. Und auch die Pflichten des für die Verarbeitung Verantwortlichen wurden nahezu vollständig aus dem BDSG übernommen.
Änderungen beim Vertrag zur Auftrags (daten) verarbeitung
Zur Anpassung der Datenschutzorganisation an die neuen Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) sind Unternehmen unter anderem verpflichtet, bestehende Vertragsverhältnisse zu überprüfen sowie die vorliegenden Vertragsmuster für zukünftige Outsourcing-Dienstleistungen anzupassen. Da wie bereits oben erwähnt die inhaltlichen Anforderungen an den Vertrag zur Auftragsverarbeitung sich sehr stark an den im BDSG schon jetzt formulierten Anforderungen orientieren, sind nur wenige Änderungen erforderlich. Die Gesellschaft für Datenschutz und Datensicherheit e.V. hat in einer GDD-Praxishilfe (Stand April 2017) die wichtigsten Änderungen gegenübergestellt. Außerdem bietet sie auf ihrer Webseite Vertragsmuster zur Auftragsverarbeitung in Deutsch und Englisch an
Fazit: EU-DSGVO und Auftragsdatenverarbeitung – Vieles bleibt gleich, einiges ändert sich, bei Verstößen drohen saftige Bußgelder. Grund genug, sich bereits jetzt intensiv mit den neuen Vorschriften zu beschäftigen. Die Uhr tickt, der 25. Mai 2018 kommt immer näher!
Falls Sie Fragen zur EU-DSGVO im allgemeinen oder zu den Auswirkungen der Vorschrift für Sie als Kunde der netzhaus AG haben, stehen Ihnen unsere Datenschutzexperten jederzeit gerne zur Verfügung.
Datenschutzbeauftragter: Javor Gantchev (dsb@netzhaus.ag)
Bildquellenangabe: I-vista / pixelio.de