Kontakt
Jarosław Kamiński

Rechtsanwalt
Senior Associate
Tel.: +48 22 244 00 27
E-Mail

Nur bis Mai 2018 haben Unternehmen Zeit, sich an die neuen EU-Vorschriften über den Schutz und die Verarbeitung personenbezogener Daten anzupassen. Deshalb lohnt es sich, bereits jetzt geeignete technisch-organisatorischen Maßnahmen sowie Mitarbeiterschulungen durchzuführen, damit die Anwendung der neuen Vorschriften einwandfrei verläuft. 

Ab dem 25. Mai 2018 wird die Verordnung des Europäischen Parlaments und des Rates (EU) über den Datenschutz (DSGVO) gelten. Die DSGVO führt eine vollkommen neue Herangehensweise zum Schutz und zur Verarbeitung personenbezogener Daten ein. Vor allem wird der Verantwortliche nun verpflichtet sein, die Folgen der Verarbeitung für den Schutz personenbezogener Daten und das damit verbundene Risiko selbst abzuschätzen (engl.: risk-based approach).  Die Analyse des Risikos umfasst die Überprüfung der zu verarbeitenden Daten, die Abschätzung der Gefahren i.Z.m. der Verarbeitung konkreter personenbezogener Daten sowie die geplanten Maßnahmen, Sicherungen und Mechanismen, die zwecks Minimierung der Gefahren angewandt werden sollen.

Die Datenschutz-Folgenabschätzung wird vor Beginn der Datenverarbeitung erfolgen müssen. Sie wird obligatorisch sein, wenn der Charakter, der Umfang, die Umstände und die Zwecke der betreffenden Art der Verarbeitung ein hohes Risiko der Verletzung der Rechte und Freiheiten natürlicher Personen zur Folge haben können sowie wenn die jeweilige Verarbeitung gemäß der Entscheidung der Aufsichtsbehörde zwingend der Abschätzung unterliegt.

Profiling personenbezogener Daten natürlicher Personen

Die Verordnung regelt die Grundsätze zum Profiling. Die Vorschriften enthalten die Definition dieses Begriffes. Demnach ist Profiling jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Profiling wird legal sein, wenn:

  • es ausdrücklich rechtlich zugelassen ist; 
  • es für den Abschluss und die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen notwendig ist; 
  • die betroffene Person ihre Einwilligung zum Profiling gegeben hat.

„Recht auf Vergessenwerden“ – der Verantwortliche muss die personenbezogenen Daten löschen

Die neuen Vorschriften erweitern die Rechte der betroffenen Personen. Diese werden nicht nur ein Recht auf Zugang zu den Informationen (Einsicht in ihre Daten), sondern auch auf deren Berichtigung, die Einschränkung deren Verarbeitung sowie deren Löschung haben (d.h. ein „Recht auf Vergessenwerden“).  Die betreffende Person wird berechtigt sein, von dem Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu erwirken. Werden die personenbezogenen Daten öffentlich gemacht, so wird der Verantwortliche, der zur Löschung der Daten aufgefordert wurde, verpflichtet sein, weitere Maßnahmen zu ergreifen, um die anderen Verantwortlichen, die die personenbezogenen Daten dieser Person verarbeiten, darüber zu informieren, dass die betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

Die betroffene Person wird auch verlangen können, dass der Verantwortliche ihre personenbezogenen Daten, sofern technisch möglich, unmittelbar an einen anderen Verantwortlichen übermittelt (sog. Recht auf Datenübertragung). Dabei geht es zum Beispiel um Situationen, in denen der Kunde den Betreiber des Mobilfunknetzes wechselt und den bisherigen Betreiber mit der Übersendung der Daten an den neuen Betreiber beauftragt.

Nach der DSGVO werden die Unternehmen eine Reihe von Handlungen ergreifen sowie neue rechtliche und IT-Verfahren einführen müssen, u.a.:

  • Überprüfung der Voraussetzungen und Gründe für die Verarbeitung personenbezogener Daten;
  • Überprüfung der Notwendigkeit und Begründetheit der Bestellung eines Datenschutzbeauftragten;
  • Analyse und Überprüfung der Personalakten und des Personalbeschaffungsverfahrens;
  • Durchführung von Mitarbeiterschulungen;
  • Überprüfung der Verträge über die Überlassung der Verarbeitung personenbezogener Daten und der Informations- und Einverständnisklauseln für die Verarbeitung personenbezogener Daten gemäß der DSGVO;
  • Erstellung einer Dokumentation über den Schutz personenbezogener Daten gemäß der DSGVO (z.B. Analyse des Risikos) sowie ihre regelmäßige Überprüfung (z.B. einmal pro Quartal/Halbjahr).

Im Hinblick auf IT-Systeme wird die eingehende Analyse des Risikos etwaiger eventueller Zwischenfälle, bei denen personenbezogene Daten öffentlich gemacht werden oder verloren gehen, von wesentlicher Bedeutung sein. Diese werden aufgrund des aktuellen Stands der Technik und der Kenntnis der realen Gefahren abgeschätzt werden müssen. Ein vorbildlich implementiertes Verfahren zur Analyse der Gefahren hat auch die laufende Überwachung der Informationen über die aufgedeckten Lücken in der Sicherheit von Systemen und Anwendungen zu berücksichtigen sowie eine schnelle Reaktion auf die auftretenden Gefahren mit hohem Risiko für die Datensicherheit zu ermöglichen.

Somit wird auch die Implementierung solcher technisch-organisatorischer (formeller) Maßnahmen zur Herausforderung, die die personenbezogenen Daten bestmöglich vor sicherheitsbezogenen Zwischenfällen schützen werden. Für die Wahl dieser Maßnahmen werden vollumfänglich die Unternehmer verantwortlich sein. Als große Änderung für Unternehmer kann sich auch die Einführung der Pflicht zur Überwachung von Zwischenfällen herausstellen, die mit der Sicherheit der zu verarbeitenden Daten verbunden sind.

Bei einem aufgedeckten Datenverlust wird der Verantwortliche verpflichtet sein, die Aufsichtsbehörde darüber binnen nur 72 Stunden zu informieren, und zwar einschließlich der Zeit, die für die notwendige Analyse des Ausmaßes des Problems und die Bestimmung der Anzahl und der Art der „verlorenen” Daten notwendig ist.  Falls das Problem ein hohes Risiko der Verletzung von Rechten und Freiheiten natürlicher Personen zeitigen kann, so wird der Verantwortliche auch die einzelnen betroffenen Personen über diese Gefahr informieren müssen.  Zudem wird auch das Gefahrenbewusstsein der Mitarbeiter erhöht werden müssen, damit eventuelle Zwischenfälle festgestellt und dem Verantwortlichen unverzüglich gemeldet werden können.

Haftung und Sanktionen bei Nichteinhaltung der DSGVO

Für die Nichteinhaltung der DSGVO sind zivil- und verwaltungsrechtliche Sanktionen vorgesehen. Jede Person, der infolge der Verletzung der Vorschriften der DSGVO ein materieller oder immaterieller Schaden entstanden ist, wird das Recht haben, von dem Verantwortlichen oder dem Auftragsverarbeiter Schadenersatz zu erhalten. Bei der Verarbeitung personenbezogener Daten von mehr als einem Verantwortlichen oder Auftragsverarbeiter wird die Haftung gesamtschuldnerisch sein. Der Rechtsträger, der die ganze Entschädigung gezahlt hat, wird das Recht haben, von den übrigen Verantwortlichen oder Auftragsverarbeitern, die an derselben Verarbeitung teilnehmen, den Teil des Schadenersatzes zu verlangen, der dem Teil des Schadens entspricht, für den sie haften. 

Die verwaltungsrechtliche Haftung beschränkt sich wiederum auf die durch die Aufsichtsbehörde auferlegten Geldbußen.

Nichteinhaltung der DSGVO – was Einfluss auf die Geldbuße hat

Bei der Verhängung einer Geldbuße und der Festlegung von deren Höhe wird die Behörde Folgendes berücksichtigen:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
  • jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
  • Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen;
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
  • Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren;
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Die Höhe der Geldbuße hängt von der Art des Verstoßes ab und wird sogar bis zu 20 Mio. EUR oder – im Falle von Unternehmen – bis zu 4% deren gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen.

Wen betrifft die DSGVO?

Die Pflicht zur Verarbeitung personenbezogener Daten gemäß den neuen Vorschriften wird obliegen:

  • Verantwortlichen mit Sitz innerhalb der EU, unabhängig davon, ob die Verarbeitung in der EU erfolgt;
  • Verantwortlichen mit Sitz außerhalb der EU, die die Daten von Personen verarbeiten, die sich in der EU aufhalten, sofern: 
    • dies mit dem Anbieten von Produkten oder Dienstleistungen für Personen, die sich in der EU aufhalten, in Zusammenhang steht - unabhängig davon, ob dies entgeltlich oder unentgeltlich erfolgt;
    • das Verhalten von Personen überwacht wird, soweit dieses Verhalten in der EU erfolgt (z.B. Internetbrowser, Google);
  • Verantwortlichen mit Sitz außerhalb der EU, die jedoch eine Organisationseinheit an einem Ort haben, wo aufgrund des Völkerrecht das Recht eines EU-Mitgliedstaats Anwendung findet.

Sollten Sie an unserer rechtlichen Unterstützung bei der Analyse der gegenwärtigen Praxis in Ihren Unternehmen sowie der Dokumentation über den Datenschutz in Hinsicht auf deren Übereinstimmung mit den aktuell geltenden und künftigen Regelungen Interesse haben, so stehen wir Ihnen jederzeit gerne zur Verfügung. Unsere Rechtsanwälte bieten Rechtsberatung in Polen auch in anderen Bereichen an. Sie stehen Ihnen in den Büros von Rödl & Partner: Breslau, Danzig, Gleiwitz, Krakau, Posen und Warschau zur Verfügung. 

13.07.2017