Die EU-Datenschutzgrundverordnung (DS­GVO) veränderte Anforderungen an den Schutz personenbezegener Daten

Am 25. Mai 2016 ist die EU-Datenschutzgrundverordnung in Kraft getreten. Mit dieser Verordnung soll das Datenschutzrecht in allen 28 EU-Mitgliedsstaaten angepasst und vereinheitlicht werden, d.h. es gilt für alle Unternehmen das gleiche Datenschutzrecht. Was Datenschutzbeauftragte von Genossenschaftsbanken und genossenschaftlichen Unternehmen jetzt wissen sollten.

Autor: Dr. Haiko Timm

Veränderungen im Umfeld des Datenschutzes durch die neue DSGVO

Natürlich wird die Datenschutzgrundverordnung Veränderungen in das Datenschutzumfeld bringen; manche Bereiche werden strenger als gegenwärtig geschützt sein bzw. behandelt. Die Umstellung wird bei uns im Vergleich zu anderen EU-Ländern nicht so einschneidend sein, da in Deutschland mit der Anwendung des BSDG immer schon hohe Anforderungen an den Schutz personenbezogener Daten gestellt worden sind.

Die DSGVO geht – genau wie das BDSG – bei der Verarbeitung von personenbezogenen Daten von einem Verbot mit Erlaubnisvorbehalt aus. Das Erheben, Speichern, Ändern und Löschen ist nach Artikel 6 rechtmäßig, wenn der Betroffene eingewilligt hat oder eine rechtliche Verpflichtung zur Verarbeitung für den Verantwortlichen besteht. Letzteres gilt zum Beispiel bei der Umsetzung des Geldwäschegesetzes. Die Einwilligung muss nicht unbedingt schriftlich erfolgen. Entscheidend ist vielmehr eine nachweisbare umfassende Aufklärung des Betroffenen im Vorfeld mit Hinweis auf mögliche Auswirkungen der Verarbeitung seiner Daten. In der Verordnung sind in den Artikeln 13-15 umfangreiche wie detaillierte Informationspflichten aufgeführt. Weiterhin ist zwingend auf die Möglichkeit hinzuweisen, eine Einwilligung jederzeit widerrufen zu können. Daten dürfen auch zur Anbahnung oder Abwicklung eines Vertrags verarbeitet werden. Weitere Gründe sind der Schutz lebenswichtiger Interessen des Betroffenen, öffentliches Interesse oder die Ausübung öffentlicher Gewalt, die eine entsprechende Datenverarbeitung voraussetzen.

Der Betroffene hat erweiterte Rechte bezüglich der über ihn gespeicherten Daten. Neben dem Informations- und Auskunftsrecht kann er nach Artikel 17 der DSGVO das „Recht auf Vergessenwerden“ in Anspruch nehmen. Hier reicht dann kein einfaches Löschen bei der speichernden Stelle. Es besteht unter Berücksichtigung der technischen Möglichkeiten ergänzend die Pflicht, auch weitere Nutzer auf den Löschwunsch des Betroffenen hinzuweisen. Außerdem kann ein Betroffener die Herausgabe seiner Daten in elektronischer Form fordern, um sie beispielsweise bei einem anderen Anbieter einzusetzen.

Während nach § 28 BDSG die Verwendung von Kundendaten zu Werbezwecken für eigene Angebote ohne Einwilligung zugelassen ist, verzichtet die DSGVO auf eine Regelung an dieser Stelle. Gemäß Artikel 6 (f) ist die Zulässigkeit der Werbung an der Erforderlichkeit zur Wahrung der berechtigten Interessen des Verantwortlichen zu messen.

Veränderungen bei Datenschutzpannen

§ 42a BDSG sieht eine Meldepflicht gegenüber den Aufsichtsbehörden und den Betroffenen vor, falls schwerwiegende Beeinträchtigungen für den Betroffenen drohen. Die DSGVO sieht eine Benachrichtigung der Behörden innerhalb von 72 Stunden bereits bei drohender Beeinträchtigung vor. Sie kann nach Artikel 33 nur entfallen, falls kein Risiko für Rechte und Freiheiten des Betroffenen zu erwarten sind. Der Betroffene ist gemäß Artikel 34 nur dann zu informieren, wenn ein hohes Risiko besteht, was der schwerwiegenden Beeinträchtigung gleichkommt. Eine Benachrichtigungspflicht entfällt, wenn verlorengegangene Daten natürlicher Personen verschlüsselt sind.

In diesem Zusammenhang wird auf technische und organisatorische Sicherheitsvorkehrungen wie etwa Verschlüsselung, Pseudonymisierung oder Sicherstellung der Verfügbarkeit von personenbezogenen Daten hingewiesen. Damit rücken das Informationssicherheitsmanagement der Bank und der Datenschutz noch enger zusammen. Die Schnittstelle ergibt sich durch die stringente Umsetzung der in der Anlage zu §9 BDSG erwähnten technisch-organisatorischen Maßnahmen (TOM). Diese Maßnahmen müssen ein geeignetes Sicherheitsniveau zur Vermeidung von Datenschutzverletzungen aufweisen. Artikel 32 thematisiert eine Abschätzung von Risiken als Maßstab für die Ausgestaltung der Maßnahmen. Als Kriterien werden hier Vernichtung, Verlust, Veränderung, unbefugte Offenlegung und unbefugter Zugang genannt. Daraus ergibt sich eine Ausweitung des Risikomanagements unter Datenschutzaspekten. Die im § 4d BDSG geregelte Vorabkontrolle zur Erfüllung der Meldepflicht wird gemäß Artikel 35 Datenschutzfolgenabschätzung ebenfalls durch eine risikoorientierte Betrachtung abgelöst.

Die Anforderungen zur Auftragsdatenverarbeitung sind nach der Novelle des BDSG im Jahr 2009 gemäß § 11 umfänglich zu dokumentieren. Diese Pflicht bleibt auch weiterhin bestehen. Es ist nach Artikel 28 der DSGVO zukünftig auch möglich, dass Vertragsinhalte von den Aufsichtsbehörden durch Standardtexte vorgegeben werden.

Die DSGVO ist wie das BDSG auf die Daten natürlicher Personen ausgerichtet. Die Verordnung gilt nicht für Unternehmensdaten, für Daten verstorbener Personen und für Daten, die im Zuge ihrer Verarbeitung anonymisiert werden konnten. Banken und ihre Datenschutzbeauftragten werden an einigen Stellen ihre Vorgehensweisen bei der Nutzung von personenbezogenen Daten ändern bzw. anpassen müssen. Abschließend sei darauf hingewiesen, dass in diesem Artikel nicht alle Veränderungen aus der Ablösung des BDSG durch die DSGVO thematisiert wurden.