Entwicklung: Erstes Datenschutzrecht in Hessen 1970. Besonders relevant: Volkszählungsurteil des BVerfG 1983: Schutz des Persönlichkeitsrechts des Bürgers vor dem Staat.
Urteil des Bundesverfassungsgerichts von 2008 (Urteil vom 27. Februar 2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274): Ableitung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Datenschutzrecht heute: Regelungen zur Erhebung und Verwendung personenbezogener Daten. Gleichzeitig Eingriff in die wirtschaftliche Handlungsfreiheit von Unternehmen. Ziel: Ausgleich schaffen.
Personenbezug: eigentlich fast alles: auch B2B, z. B. Ansprechpartner beim Kunden, Kundenprofil, Bestellungen, Emailadressen, Konfektionsgröße, aber auch Cookies, IP-Adressen.

Datenaufsicht durch staatliche Behörden: Datenschutzbeauftragte der Länder.

Im April 2016 Schaffung der EU-Datenschutzgrundverordnung (DSGVO), einem für die gesamte EU verbindlichen Rechtsrahmen im Bereich Datenschutz. Inkrafttreten bereits im Mai 2016 – Umsetzungsfrist bis zum 25. Mai 2018. Keine weitere Übergangsfrist!

Bußgelder von bis zu vier Prozent des weltweiten, konzernweiten Umsatzes bzw. von bis zu 20 Mio. Euro. Bislang lediglich 300.000 € Maximum. Also dringender Handlungsbedarf.

Außerdem: Verstoß gegen Datenschutzrecht ist Wettbewerbsverstoß; immaterielle Ansprüche der Betroffenen (Schmerzensgeld)

DSGVO: Unionsrechtliche Verordnung, die in den Mitgliedstaaten ohne Mitwirkung der nationalen Gesetzgeber unmittelbare Wirkung entfaltet, anders als z.B. Richtlinien die bislang geltende sog. Datenschutzrichtlinie (95/46/EG).

Verbotsprinzip: Jede Datenverarbeitung verboten, außer bei Rechtfertigung, insbesondere:
Bestehen eines Vertrages, berechtigte Interessen des Unter-nehmens oder Einwilligung der betroffenen Person.

„Betroffenenrechte“
Die Modernisierung der Rechte der betroffenen Personen und entsprechender Pflichten der Verantwortlichen ist Kernelement der DSGVO (Art. 12 – 23). Höherer Verwaltungsaufwand für Unternehmen.

An dieser Stelle nur die wesentlichen Änderungen:

Mehr Transparenz
Art. 13: weitgehendere Informationspflicht dem Betroffenen gegenüber als bisher. So auch Kontaktdaten des Datenschutzbeauftragten. Noch ungeklärt, ob eine entsprechende Emailadresse ausreicht oder ob der Klarname anzugeben ist.
Hinweis auf eine vorgenommene Interessenabwägung (ohne Einwilligung).
Angabe des Zwecks und der Speicherdauer

Privacy by Design – Privacy by Default
Art. 25: Datenschutz durch Technikgestaltung und durch da-tenschutzfreundliche Voreinstellungen. Vergleichbar schon bislang Grundsätze der Datenvermeidung und Datensparsamkeit
Neu: Verstöße gegen die Pflichten aus Art. 25 nun bußgeld-bewehrt (Art. 83 Abs. 4).

Schwerpunkt: Rechenschaftspflicht des Verantwortlichen, Art. 5 Abs. 2, 24 Abs. I DSGVO
Bislang vertretbar für Unternehmen: in Sachen Datenschutz „einfach“ nichts falsch zu machen. Jetzt mit DSGVO umfangreiche Pflichten, die aktiv zu erfüllen sind zur Vermeidung von Bußgeldern.

Ausdruck der gestärkten Eigenverantwortung des Verantwortlichen. Konzept der „Accountability“: Umsetzung der Grundsätze des Datenschutzes und Nachweis dafür ggü. Aufsichtsbehör-de.
Umsetzung geeigneter technischer u. organisatorischer Maß-nahmen, um sicherzustellen und den Nachweis erbringen zu können, dass Verarbeitung gem. DSGVO erfolgt. Dabei Anwendung geeigneter Datenschutzvorkehrungen und erforderliche Überprüfung und Aktualisierung der Maßnahmen (Art. 32 Abs. 1 Satz 1 lit. d).

Nachweismöglichkeiten: Keine Formvorgabe durch Art. 5 II 2. Hs.
Möglich durch das Verzeichnis der Verarbeitungstätigkei-ten nach Art. 30 (bei Unternehmen ab 250 Mitarbeiter Pflicht).
Durch Technikgestaltung oder datenschutzfreundliche Vorein-stellungen (Art. 25).

Praxistipp: schriftliche Dokumentation, aus der hervorgeht, auf welche Weise der Verantwortliche für Einhaltung der Grundsätze in Art. 5 I Sorge trägt.

Nach dem alten BDSG gab es Verfahrensverzeichnis und Verarbeitungsübersichten. Verstoß gegen das Führen von Verarbeitungsübersichten war nicht bußgeldbewehrt. Pflicht zum Führen des Verzeichnisses der Verarbeitungstätigkeiten jetzt ja.
Pflicht besteht ab 250 beschäftigten Mitarbeitern oder wenn die Verarbeitung Risiko für die Rechte und Freiheiten der betroffe-nen Personen in sich birgt (z. B. Scoring). Oder: Verarbeitung erfolgt nicht nur gelegentlich. Unklar, wann dies der Fall ist.
Pflichtinhalte ergeben sich aus Art. 30 DSGVO. Z. B. Namen und Kontaktdaten des Verantwortlichen u. eines etwaigen Datenschutzbeauftragten. Zwecke der Verarbeitung; Beschreibung der Kategorien der betroffenen Personen und der Katego-rien personenbezogener Daten

Form: schriftlich oder in elektronischer Form

Empfänger: nicht mehr Jedermann, sondern auf Anfrage an Aufsichtsbehörde. Öffentliches Verfahrensverzeichnis entfällt.

Praxistipp:
Gibt es überhaupt Pflicht zum Führen des Verzeichnisses der Verarbeitungstätigkeiten?
Im Zweifel Aufsichtsbehörde um Auskunft bitten.

Ermittlung aller durchgeführten Verarbeitungen im Unternehmen. Rückgriff auf bereits vorliegende Verfahrensverzeichnis-se.

Prozesse mit personenbezogenen Daten betrachten: Kunden, Lieferanten, Beschäftigte.
Liste aller im Unternehmen eingesetzten Anwendungen und Tools, in denen personenbezogene Daten gespeichert werden. Kundenbeziehungsmanagement (Customer Relationship Management, CRM), Zeiterfassungssystem, Personalinformationssysteme.

Erstellen des Verzeichnisses
Abarbeitung der von der DSGVO vorgegebenen sechs Inhalte. Überwiegend allgemeine Informationen, die idR ohne großen Aufwand zusammengestellt werden können. Löschfristen, technische und organisatorische Maßnahmen dem bisherigen Datenschutzkonzept/Sicherheitskonzept zu entnehmen (soweit vorhanden).

Risiken/Unsicherheiten
Anwendbarkeit auf kleinere Unternehmen mit weniger als 250 Mitarbeiter unklar.
Bußgelder: bis zu 10 Mio. € oder 2 % des weltweit erzielten Umsatzes (je nach dem, was höher ist).

Rechtstexte anpassen:

Einwilligungen:
Grundsatz der informierten Einwilligung
Informierung des Einwilligenden über Identität des Verantwort-lichen und möglicher Empfänger, Art, Umfang und Zweck der Datenverarbeitung sowie das jederzeitige Widerrufsrecht. Letzteres nicht nur bei Einwilligung, sondern auch in Datenschutzerklärung.
Keine Formvorschrift, aber aus Beweisgründen gut dokumen-tieren, da der Verantwortliche diese im Zweifel beweisen können muss.
Aktive Einwilligungsbestätigung, keine vorangekreuzten Kästchen

Datenschutzerklärungen, Auftragsdatenverarbeitungsverträge
Sind ebenfalls anzupassen.

Vorbereitung von Auskunftsansprüchen
Wegen Widerspruchsrecht u. Auskunftsrecht des Betroffenen bzgl. aller seiner gespeicherten Daten. Schnelle Auskunft erforderlich, daher System notwendig.

Technische und organisatorische Maßnahmen (TOM)
Geeignete technische und organisatorische Maßnahmen, um Risiko angemessenes Schutzniveau zu gewährleisten. Risikoeinschätzung. Standard-Datenschutz-Modell der Datenschutzbeauftragten der Länder einsetzen.

Bestellung eines Datenschutzbeauftragten
Mehr als 10 Mitarbeiter mit automatisierten Verarbeitungen personenbezogener Daten beschäftigt. Interne und externe DSB.

Fazit: Datenschutz ist spätestens mit der DSGVO Daueraufgabe im Unternehmen.