Neue Pflichten gemäß der Datenschutz-Grundverordnung (GDPR)

Rechtsgrundlage und Prinzipien der GDPR

Am 27.4.2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (EU) 2016/679, Datenschutz-Grundverordnung (nachfolgend „Verordnung“ oder „GDPR“ genannt) angenommen, die in allen Mitgliedstaaten direkt anwendbar ist. Diese Verordnung stellt einen Rechtsrahmen für den Datenschutz dar, der in dem gesamten EU-Gebiet anwendbar ist und der die Rechte der EU-Bürger gegen gesetzwidrige Behandlung deren personenbezogenen Daten schützt. Die Rechtsregelung stärkt unter anderem die Rechte der von der Verarbeitung personenbezogener Daten betroffenen natürlichen Personen, sowohl im Hinblick auf die Gewinnung von Informationen darüber, welche Angaben (und zu welchem Zweck) verarbeitet werden, als auch im Hinblick auf die Möglichkeit, die Einhaltung der festgelegten Regeln durch die Unternehmen, die ihre personenbezogenen Daten verwalten oder verarbeiten, effektiver zu verlangen und die Behebung des mangelhaften Zustands zu erzielen. Die vorgenannte Stärkung der Rechte natürlicher Personen als betroffener Personen wird in neu formulierten Aufgaben und Pflichten der Verantwortlichen und Auftragsverarbeiter reflektiert. Für deren Verletzung können die Aufsichtsbehörden, im Gegensatz zu der bisherigen Regelung, drakonische Geldstrafen bis zu EUR 20 Millionen bzw. bei Gesellschaften bis zur Höhe von 4 % des gesamten weltweit erzielten Jahresumsatzes auferlegt werden. Ebenfalls wird die Möglichkeit für die betroffenen Personen erweitert, gegen den Verantwortlichen eine Beschwerde bei den Aufsichtsbehörden einzulegen oder eine Klage auf Schadenersatz beim Gericht zu erheben.

Wirksamkeit der Verordnung und zusammenhängende nationale Vorschriften

Die Verordnung wird am 25.5.2018 wirksam, wobei die Regelung bestimmter sachlich definierter Bereiche den nationalen Gesetzgebern der Mitgliedstaaten überlassen wurde. In der Tschechischen Republik soll diese Regelung durch ein Gesetz erfolgen, das das bisher geltende Gesetz Nr. 101/2000 Sb., Datenschutzgesetz, vollständig ersetzen wird. Dieses Gesetz, das ebenfalls die Übereinstimmung der Rechtsregelung mit der GDPR sicherstellen soll, wurde jedoch noch nicht verabschiedet. Jüngst wurde der Entwurf durch den Innenminister zur Genehmigung durch die Regierung und anschließend durch das Parlament im Rahmen der gängigen tschechischen Gesetzgebungspraxis offiziell vorgelegt.

Vermeidung etwaiger Strafen

Obwohl die Verordnung noch nicht wirksam wurde, sollten ihre Auswirkungen nicht unterschätzt werden, da ab dem 25.5.2018 hohe Strafen für deren Verletzung auferlegt werden. Jedes für die Datenverarbeitung verantwortliche Unternehmen sollte daher mit der Vorbereitung auf die neue Regelung rechtzeitig beginnen. In Abhängigkeit von der Größe der Gesellschaft und dem Umfang der zu verarbeitenden Daten kann der Vorbereitungsprozess eine relativ lange Zeit in Anspruch nehmen.

Jede Korporation sollte daher rechtzeitig die bestehenden internen Vorgänge bezüglich der Behandlung personenbezogener Daten analysieren, die notwendigen Maßnahmen zur Harmonisierung der existierenden Vorgänge mit der GDPR identifizieren und diese Maßnahmen ordnungsgemäß umsetzen. Damit hängt auch die Notwendigkeit der Annahme neuer interner Vorschriften oder Einführung technischer und organisatorischer Maßnahmen zusammen, die die Sicherheit der zu verarbeitenden Daten in Übereinstimmung mit den detaillierten Anforderungen der neuen Verordnung sicherstellen. Es kann grundsätzlich die Notwendigkeit der Aktualisierung oder einer vollständigen Änderung der bestehenden Rechtsdokumentation, die personenbezogene Daten betrifft, nicht außer Acht gelassen werden, gleich ob es sich um Kundenverträge, Geschäftsbedingungen, Verträge zwischen Verantwortlichen und Auftragsverarbeitern
personenbezogener Daten oder andere Dokumente beispielswiese im Zusammenhang mit den erweiterten Anforderungen in Bezug auf die Erfüllung der
Auskunftspflichten gegenüber den betroffenen Personen handelt. Ähnlich wird notwendig sein, sämtliche bereits gewährten Zustimmungen zur Datenverarbeitung zu überprüfen, die nicht mehr gültig sein werden, wenn sie nicht im Einklang mit den in der vorgenannten Verordnung enthaltenen Regeln erlangt wurden.

Anforderungen an die Verantwortlichen

Um alle denkbaren Bereiche der Behandlung personenbezogener Daten zu decken, enthalten die neuen Regeln bezüglich des Datenschutzes abstrakte Begriffe.
Jeder für die Datenverarbeitung Verantwortliche muss somit selbst analysieren, welche konkreten sich aus der Verordnung ergebenden Pflichten auf die
Datenverarbeitung, die im Rahmen dessen Tätigkeit erfolgt, anwendbar sind. Die neue Rechtsregelung erwartet also von allen Verantwortlichen eine deutlich
aktivere Einstellung als früher.

Abschätzung der Folgen der Verarbeitung und vorherige Konsultation als neue Institute der GDPR

Jeder für die Datenverarbeitung Verantwortliche muss vor dem Beginn einer neuen Verarbeitung den Charakter der zu bearbeitenden Daten sowie den Umfang der Bearbeitung bewerten. Sofern eine solche Verarbeitung angesichts deren Charakters, Umfangs und Zwecks ein hohes Risiko aus Sicht der Rechte und Freiheiten der betroffenen Person darstellen kann, ist gemäß den neuen Bestimmungen der Verordnung eine interne Abschätzung der Folgen der Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. In bestimmten Fällen erlegt die Verordnung ebenfalls die Pflicht auf, eine
solche Abschätzung der Aufsichtsbehörde im Rahmen eines neuen Institutes (sog. vorherige Konsultation), vorzulegen, die hierzu nach Beurteilung der Abschätzung ihre Stellungnahme abgeben sollte.

Pflicht zur Führung von Aufzeichnungen über Datenverarbeitungen und zur Anmeldung von Verletzungen

Ein weiteres neues Institut, das in der Verordnung ausführlich definiert ist, ist die Pflicht der Verantwortlichen, in definierten Fällen detaillierte
Aufzeichnungen über alle Datenverarbeitungen zu führen und diese Aufzeichnungen der Aufsichtsbehörde auf Anfrage jederzeit zugänglich zu machen. Neu wird ebenfalls die Pflicht jedes Verantwortlichen festgelegt, in definierter Weise die Verletzungen des Datenschutzes anzumelden, und zwar sowohl gegenüber der Aufsichtsbehörde als auch – unter bestimmten Umständen – der betroffenen Person. Die Anmeldung muss dabei unverzüglich, spätestens jedoch innerhalb von 72 Stunden ab dem Zeitpunkt erfolgen, zu dem der Verantwortliche über die Verletzung Kenntnis erlangt.

Datenschutzbeauftragter

Eine bedeutende Neuheit ist das Amt eines Datenschutzbeauftragten, der unter bestimmten Umständen durch den Verantwortlichen bestellt werden muss. Der Beauftragte soll der Geschäftsleitung des Verantwortlichen oder Auftragsverarbeiters direkt untergeordnet sein, zugleich muss er jedoch unabhängig sein. Dieses Amt kann theoretisch in die Zuständigkeit einer bereits existierenden Abteilung in der Gesellschaft fallen bzw. kann auf eine externe spezialisierte Stelle übertragen werden. Dieser Beauftragte ist u.a. für die Überwachung der Übereinstimmung mit der Rechtsregelung und Beratung bezüglich der sich aus der Regelung des Schutzes personenbezogener Daten ergebenden Pflichten verantwortlich. Der Beauftragte soll ebenfalls als Ansprechpartner für Verhandlungen mit Aufsichtsbehörden und betroffenen Personen dienen.

Das Recht „vergessen zu sein“

Die Verordnung enthält eine Reihe von weiteren Instituten, Rechten und insbesondere Pflichten von Verantwortlichen und Auftragsverarbeitern. Wie bereits vorstehend aufgeführt, ermöglicht die Verordnung den betroffenen Personen einen leichteren Zugang zu deren personenbezogenen Daten. Die betroffenen Personen haben ebenfalls das Recht, „vergessen zu sein“. Dieses Institut besteht in der Pflicht des Verantwortlichen oder des Auftragsverarbeiters, sämtliche personenbezogenen Daten der jeweiligen betroffenen Person auf deren Antrag in allen Datenbanken zu löschen, wenn kein Rechtsgrund für die weitere Verarbeitung durch den Verantwortlichen oder Auftragsverarbeiter besteht.

Rechtzeitig beginnen…

Wie sich aus dem Vorstehenden ergibt, sollte jeder Verantwortliche der neuen Regelung des Datenschutzes erhöhte Aufmerksamkeit widmen. Insbesondere sollten Körperschaften, die große Datenvolumen oder besondere Datenkategorien behandeln, maximale Anstrengungen unternehmen, um ihre internen Vorgänge mit der Verordnung und den zusammenhängenden tschechischen Vorschriften in Einklang zu bringen.