DSGVO, BDSG-neu & ePrivacy-VO

Sind Sie fit für das Datenschutzrecht ab 2018?

18.12.2017
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Christian Kuß ist Fachanwalt für Informationstechnologie, Urheber- und Datenschutzrecht. Ein Schwerpunkt seiner Tätigkeit liegt auf der Erstellung und Verhandlung von IT-Verträgen, einschließlich Lizenz-, IT-Outsourcing- und IT-Projektverträgen sowie Service-Level-Agreements.
Ab 2018 werden die sogenannten "Betroffenenrechte" gestärkt. Was das für Sie und Ihr Unternehmen bedeutet, erfahren Sie hier.

Der Begriff bezeichnet die Rechte des einzelnen - von der Erhebung personenbezogener Daten - Betroffenen. Dieser hat gegenüber dem "Verantwortlichen", also dem Unternehmen, welches ebendiese Daten verarbeitet, umfassende Auskunfts-, Berichtigungs- und Löschungsrechte. Diese Rechte führen naturgemäß zu entsprechenden Verpflichtungen der Verantwortlichen, auf die sie sich angesichts drohender Abmahnwellen und einschneidender Sanktionen rechtzeitig vorbereiten sollten.

Abmahnwellen und Sanktionen vermeiden: Wir machen Sie fit für das europäische Datenschutzrecht ab 2018.
Abmahnwellen und Sanktionen vermeiden: Wir machen Sie fit für das europäische Datenschutzrecht ab 2018.
Foto: Ivan Marc - shutterstock.com

Das regeln DSGVO, BDSG-neu & ePrivacy-VO

Die EU-Datenschutzgrundverordnung (DSGVO, GDPR) tritt ab dem 25. Mai 2018 in der gesamten EU in Kraft. Auch das bisherige Bundesdatenschutzgesetz (BDSG-alt) wird ab diesem Zeitpunkt aktualisiert (BDSG-neu). Das BDSG-neu wird die GDPR ergänzen und den von ihr vorgesehenen Gestaltungsspielraum ausschöpfen. Ebenfalls den Datenschutz betrifft die ePrivacy-Verordnung der EU, die sich derzeit noch in Brüssel im Entwurfsstadium befindet, deren Inkrafttreten aber ebenfalls zum 25. Mai 2018 geplant ist.

Die ePrivacy-Verordnung betrifft den Datenschutz im speziellen Bereich der elektronischen Kommunikation. Soweit sich die Regelungsbereiche von ePrivacy-VO und DSGVO überschneiden, genießt erstere als speziellere Regelung Vorrang. Die neue ePrivacy-Verordnung soll zwei ältere EU-Richtlinien ersetzen, nämlich die ePrivacy-Richtlinie sowie die "Cookie"-Richtlinie, deren Regelungen in Deutschland aktuell noch im Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) umgesetzt sind.

Betroffenenrechte ab 2018: Das ist neu

Das wichtigste Betroffenenrecht ist das in Artikel 15 DSGVO geregelte Auskunftsrecht, denn die damit eingeholten Informationen schaffen oft erst die Grundlage für die Ausübung weiterer Betroffenenrechte. Das Auskunftsrecht besteht dabei zwar schon nach der jetzigen Rechtslage im BDSG(-alt), wird aber ab nächstem Jahr durch die GDPR weiter gestärkt. Zunächst kann der Betroffene Auskunft darüber verlangen, ob und welche Daten vom Verantwortlichen erhoben wurden. Neben Informationen zu Verarbeitungszweck und Empfänger der Übermittlung hat der Betroffene auch Anspruch auf Auskunft über die geplante Speicherdauer.

Die Auskunft muss spätestens innerhalb eines Monats erfolgen und dem Betroffenen muss auf Verlangen eine Kopie der Daten ausgehändigt werden. Die Auskunft ist zudem - mit Ausnahme missbräuchlicher Auskunftsverlangen oder Verlangen mehrfacher Kopien - kostenlos zu erteilen. Demgegenüber steht das Recht des Verantwortlichen, nähere Informationen über die Identität des Antragsstellers zu verlangen, wenn zweifelhaft ist, ob dieser auch der Betroffene ist.

Wenn Verantwortliche große Mengen an Daten verarbeiten (zum Beispiel bei Banken und Versicherungen), kann der Verantwortliche vom Betroffenen außerdem verlangen, dass er sein Auskunftsverlangen präzisiert. Daneben hat der Betroffene gemäß Art. 16 DSGVO das Recht auf Berichtigung und Vervollständigung der ihn betreffenden Daten.

Das Recht auf Vergessenwerden

Ergibt die eingeholte Auskunft des Betroffenen, dass über ihn Daten erhoben werden, hat er unter bestimmten Umständen das Recht, ihre Löschung zu verlangen (Art. 17 DSGVO: "Recht auf Vergessenwerden"). Die Vorschrift listet zahlreiche Fälle auf, in denen der Betroffene so ein Recht genießt, beispielsweise wenn die weitere Verarbeitung zur Erreichung des ursprünglichen Zwecks der Datenerhebung nicht mehr nötig ist (zum Beispiel weil der Vertrag abschließend abgewickelt wurde).

Da die Unternehmen regelmäßig ein nachvollziehbares Interesse daran haben dürften, die einmal gesammelten Kundendaten so lange wie möglich und rechtlich zulässig zu nutzen, sollte stets geprüft werden, ob nicht einer der zahlreichen gesetzlichen Ausnahmetatbestände greift, der sie im Einzelfall doch von der Löschpflicht entbindet.

Das BDSG-neu enthält mehrere ergänzende Vorschriften zur Löschung der Betroffenendaten. Beachtenswert ist zum Beispiel die Pflicht, durch Videoüberwachung an öffentlichen Plätzen entstandene Daten unverzüglich zu löschen, wenn sie nicht mehr zur Zweckerreichung erforderlich sind oder Interessen des Betroffenen überwiegen (§ 4 Abs. 5 BDSG-neu).

Nach Art. 18 DSGVO hat der Betroffene unter den dort genannten Umständen das Recht, eine Einschränkung der Datenverarbeitung zu verlangen. Beispielsweise, wenn die Datenerhebung unrechtmäßig war, der Betroffene aber zur späteren gerichtlichen Durchsetzung von Schadensersatzansprüchen gegen den Verantwortlichen noch keine Löschung durchsetzen will.

Im Falle einer Verarbeitungseinschränkung dürfen die Daten dann nur noch weiter gespeichert, nicht aber verarbeitet werden. Erfolgt eine Berichtigung (Art. 16 DSGVO) oder Löschung (Art. 17 DSGVO) von Daten des Betroffenen, hat der Verantwortliche allen Empfängern, denen er die Daten offengelegt hat, die Löschung, beziehungsweise Berichtigung, mitzuteilen, soweit dies möglich und nicht unverhältnismäßig aufwändig ist.