Die neue EU-Datenschutzgrundverordnung: Was wird gelten?
Am 24. Mai 2016 ist die Datenschutz-Grundverordnung („DSGVO“ – Verordnung EU 2016/679) in Kraft getreten. Nach einem mehr als 4-jährigen Prozess der Reform der alten, aus dem Jahr 1995 stammenden, europäischen Datenschutzvorschriften treten nun neue und umfassende Regeln zum Datenschutz auf europäischer Ebene in Kraft. In fast genau zwei Jahren, ab dem 25. Mai 2018, wird die die DSGVO in allen europäischen Mitgliedstaaten unmittelbar gelten. Das bedeutet, dass die deutschen Datenschutzgesetze, wie wir sie bisher kannten, und allen voran das Bundesdatenschutzgesetz (BDSG), dann größtenteils nicht mehr anwendbar sein werden. Sie werden ersetzt durch ein „europäisches Gesetz“ – die DSGVO.
Auch wenn die Ziele und Grundsätze der alten Datenschutz-Richtlinie aus 1995 im Grundsatz erhalten bleiben, werden die neuen Regeln in Unternehmen und Behörden Veränderungen im Bereich der internen Anforderungen an die gesetzliche Zulässigkeit („Compliance“) beim Umgang mit personenbezogenen Daten nötig machen. Betroffen von den neuen Vorschriften sind dem Grunde nach alle Stellen, Unternehmen wie Behörden, die personenbezogene Daten automatisiert oder in Teilen automatisiert verarbeiten. Entgegen anderslautenden Gerüchten handelt es sich bei der DSGVO nicht um ein spezielles Gesetz ausschließlich für Online-Angebote, auch wenn ein Motiv für die Neuordnung der Anspruch des europäischen Gesetzgebers war, Datenschutzrisiken im Zusammenhang mit der Nutzung des Internets zu verringern.
Personenbezogene Daten im Mittelpunkt der DSGVO
Wenn Sie also personenbezogene Daten – Daten von Kunden, Mitarbeitern, Antragstellern, Dienstleistern, Patienten … – mittels IT-Technik verarbeiten, werden die neuen Regelungen Änderungen Ihrer internen Prozesse erforderlich machen. Wie erwähnt, müssten alle notwendigen Anpassungen zum 25. Mai 2018 umgesetzt sein; eine weitere Übergangsfrist ist nicht vorgesehen.
Änderungen durch die DSGVO
Wir möchten Ihnen mit diesen Blog-Beiträgen in loser Folge einen Überblick über einige der wichtigsten Änderungen geben, die die DSGVO mit sich bringt. Auf diese Weise können Sie sich einen Eindruck verschaffen, was zukünftig anders sein wird und welche Ihrer internen Verfahren Sie voraussichtlich umstellen müssen. Aufgrund des sehr großen Umfangs der Änderungen kann die Darstellung hier allerdings nicht abschließend sein. Hinzu kommt, dass an zahlreichen Stellen noch völlig offen ist, wie die Umsetzung der Vorschriften in der Praxis aussehen wird. Wir werden Sie in den kommenden Monaten weiter zu diesem Thema auf dem Laufenden halten. Wenn Sie spezielle Fragen zur individuellen Situation in Ihrem Unternehmen (oder Behörde) haben, sprechen Sie uns gerne an.
Räumlicher Anwendungsbereich
Nach dieser kurzen Einleitung fragen wir im ersten Teil nach dem räumlichen Anwendungsbereich der DSGVO.
Der räumliche Anwendungsbereich des europäischen Datenschutzrechts wurde mit der DSGVO erweitert. Zum einen gilt europäisches Datenschutzrecht wie bisher für die Verarbeitung personenbezogener Daten, soweit diese „im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt“. Dabei spielt keine Rolle, ob die Verarbeitung der Daten in der EU stattfindet oder nicht (Art. 3 Abs. 1). Die Anwendbarkeit der neuen DSGVO ist mit anderen Worten nicht davon abhängig, wo die Daten physisch verarbeitet werden, ob die Server innerhalb oder außerhalb der EU stehen.
Zum anderen gilt die DSGVO darüber hinaus nun aber auch in folgenden Szenarien (Art. 3 Abs. 2):
Es werden Daten von Personen von Personen verarbeitet, die sich in der EU befinden – und diese Verarbeitung erfolgt durch eine nicht in der Union niedergelassene Stelle. Die Datenverarbeitung steht dabei entweder im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen (auch unentgeltlicher Art) oder das Verhalten der Personen wird beobachtet. Ob eine Beobachtung des Verhaltens von Personen vorliegt, soll gemäß den Ausführungen in Erwägungsgrund Nr. 24 daran festgemacht werden, ob die Internetaktivitäten von Personen nachvollzogen werden, durch die ein Profil der Person erstellt wird, das dann weiter verwendet wird, beispielsweise um „persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten“ zu „analysieren oder vorauszusagen“.
Auf diese Weise kann sich keine datenverarbeitende Stelle mehr mit dem Argument aus der Verantwortung ziehen, es habe keinen Unternehmenssitz in der EU, solange es personenbezogene Daten von EU-Bürgern verarbeitet.