Vorweg: Die DS-GVO muss von natürlichen und juristischen Personen befolgt werden, die personenbezogene Daten automatisiert verarbeiten.

Im Einzelnen: Die DS-GVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden (Art. 2 Abs. 1 DS-GVO). Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen (ErwG. 15). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Abs. 1 DS-GVO). Es wird nicht unterschieden, ob die Daten selbst als schutzbedürftig, schutzwürdig oder sensibel angesehen werden. Daten, die sich auf juristische Personen beziehen, werden nicht von der DS-GVO geschützt. Zur Klarstellung: Die DS-GVO ist nicht anwendbar, wenn die personenbezogenen Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeitet werden. Dieses 20Q20A behandelt nur den nicht-öffentlichen Bereich. Die DS-GVO hingegen hat einen darüber hinausgehenden Anwendungsbereich.

Die DS-GVO gilt auch bei pseudonymisierten Daten (Art. 4 Nr. 5 DS-GVO), da sie ebenfalls als personenbezogene Daten gelten (ErwG. 26). Die DS-GVO ist jedoch nicht für anonymisierte Daten anzuwenden (Art. 2 Abs. 1 DS-GVO, ErwG. 26). Ob verschlüsselte Daten anonymisiert sind oder lediglich pseudonymisiert, kann nicht generell festgelegt werden, da dies sowohl von der Art der Verschlüsselung, als auch von der Frage abhängt, ob ein Decryption Key existiert und wer diesen besitzt. Nichtsdestotrotz werden Pseudonymisierungen und Verschlüsslungen als Mittel zur Reduzierung von Verarbeitungsrisiken angesehen und zur Verwendung dieser Techniken ermutigt (ErwG. 83, Art. 6 Abs. 4 lit. e, Art. 32 Abs. 1 lit. a, Art. 34 Abs. 3 lit. a DS-GVO).

Die DS-GVO gilt auch für Backups und archivierte Daten. Die Verordnung regelt in ihrem Anwendungsbereich hierfür keine Ausnahmen.

Die DS-GVO muss von nicht-öffentlichen Unternehmen beachtet werden (vgl. Antwort 1), wenn personenbezogene Daten automatisiert innerhalb der EU verarbeitet werden. Die Verordnung findet auch Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet (Art. 3 Abs. 1 DS-GVO). Die DS-GVO findet daneben Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht,

• betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist, oder
• das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

Auch wenn die DS-GVO nur von EU-Mitgliedsstaaten spricht, müssen die Mitgliedsstaaten des Europäischen Wirtschaftsraums (EWR), die keine EU-Mitglieder sind, diese gleichwohl anwenden als Bedingung, um am EWR teilnehmen zu können.

Wesentliche Grundsätze der DS-GVO:

1. Verbot der Verarbeitung, es sei denn, es besteht eine Einwilligung oder eine Rechtsgrundlage („Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist“) (Art. 6 Abs. 1 DS-GVO); es besteht somit ein Verbot mit Erlaubnisvorbehalt.
2. Zweckbindung (Art. 6 Abs. 4, Art. 5 Abs. 1 lit. b) DS-GVO)
3. Transparenz (Artt. 13, 14 DS-GVO)
4. Betroffenenrechte (Artt. 15 ff. DS-GVO)

Im Unterschied zur Richtlinie 95/46/EG bestimmt die DS-GVO mehr Verpflichtungen an den Verantwortlichen sowie den Auftragsverarbeiter, vor allem die Dokumentationspflicht bezüglich der Einhaltung der Datenschutzbestimmungen durch organisatorische Maßnahmen sowie Veränderungen im räumlichen Anwendungsbereich des europäischen Datenschutzes. Im Einzelnen: Räumlicher Anwendungsbereich (Art. 3 DS-GVO), Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO), Organisationspflichten bezüglich der Ausübung von Betroffenenrechten (Art. 12 DS-GVO), Organisationspflichten des Verantwortlichen (Art. 24 DS-GVO), Meldung von Datenschutzverletzungen (Art. 32 DS-GVO), Datenschutz-Folgeabschätzung (Art. 35 DS-GVO), vorherige Konsultation der Aufsichtsbehörden (Art. 36 DS-GVO), Datenschutzbeauftragter (Artt. 37 ff. DS-GVO), Sanktionen (Art. 83 DS-GVO), geteilte Haftung des Verantwortlichen und des Auftragsverarbeiters unter den Voraussetzungen des Art. 82 DS-GVO. Das bedeutet, ein wesentlicher neuer Grundsatz ist das Prinzip der umfassenden Dokumentationspflicht und die Organisationspflicht zur Überwachung des Datenschutzes im Unternehmen.

Die DS-GVO hebt die Pflicht zur Sicherung personenbezogener Daten hervor. Im Unterschied zur Richtlinie 95/46/EG wurden die Regelungen zur Datensicherheit neugefasst. Unter der DS-GVO ist eine ordnungsgemäße Dokumentation Teil der Bewertung, ob Daten verarbeitet werden dürfen oder nicht. Insbesondere im Zuge einer Datenschutz-Folgeabschätzung muss die Sicherheit der Daten bewertet und dokumentiert werden (Art. 35 DS-GVO).

Das Transparenzgebot bezüglich des Betroffenen wurde in der DS-GVO erheblich ausgeweitet. Der Verantwortliche ist verpflichtet, dem Betroffenen die gesetzlich vorgeschriebenen Informationen zur Verfügung zu stellen (Artt. 13, 14 DS-GVO). Insbesondere muss diese Information den Verarbeitungszweck, die Rechtsgrundlage der Verarbeitung und die internen Löschregelungen des Unternehmens enthalten. Der Betroffene ist über sein Recht zu informieren, dass er seine Einwilligung widerrufen (Art. 7 DS-GVO) oder der Verarbeitung widersprechen kann (Art. 21 DS-GVO). Darüber hinaus ist der Betroffene unter bestimmten Umständen von einer Datenschutzverletzung (Art. 34 DS-GVO) zu benachrichtigen.

Grundlegend neu sind das Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 Abs. 2 DS-GVO) und das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO). Nach Art. 17 Abs. 2 DS-GVO hat der Betroffene – solange keine Ausnahme besteht – das Recht, von dem Verantwortlichen die Löschung ihn betreffender personenbezogener Daten zu verlangen, einschließlich Daten bei einem Dritten, an den der Verantwortliche die Daten übermittelt hat. Diese Regelung weicht von dem „Recht auf Vergessen“ ab, das der EuGH bestimmt hat, denn letzteres ist letztlich ein normales Recht auf Löschung. Unter Art. 20 DS-GVO hat der Betroffene das Recht, dass seine personenbezogenen Daten direkt von einem Verantwortlichen zu einem anderen übertragen werden, wenn dies technisch umsetzbar ist und keine gesetzlichen Ausnahmen bestehen.

Nein. Nach der DS-GVO kann sich die Rechtmäßigkeit der Datenverarbeitung entweder aus einer gesetzlichen Regelung (vgl. Art. 6 Abs. 1 lit. b bis f DS-GVO), bspw. zur Ausführung eines Vertrags (Art. 6 Abs. 1 lit. b DS-GVO) oder aus einer Einwilligung des Betroffenen ergeben (Art. 6 Abs. 1 lit. a DS-GVO). Jedoch nennen Artt. 9 und 10 DS-GVO weitere einschränkende Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener (Art. 9 DS-GVO) sowie für die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO).

Die Hauptunterschiede bezüglich des Einholens einer Einwilligung im Vergleich zur Richtlinie 95/46/EG sind:

1. Die Transparenz für den Betroffenen ist stärker betont (vgl. Art. 4 Nr. 11 DS-GVO).
2. Der Betroffene muss über sein Recht zum Widerruf der Einwilligung informiert werden (vgl. Art. 7 Abs. 3 DS-GVO).
3. Besondere Bedingungen gelten für die Einwilligung von Minderjährigen in Bezug auf Online-Dienste (vgl. Art. 8 DS-GVO). Darüber hinaus ist unklar, ob eine konkludente Einwilligung ausreichend ist. Gibt es mehrere Verarbeitungszwecke, sollte eine Einwilligung für jeden dieser Zwecke eingeholt werden.

Eine Einwilligung in eine Verarbeitung muss dann nicht neu eingeholt werden, wenn die zuvor erteilte Einwilligung den Anforderungen der DS-GVO entspricht (ErwG. 171). Ob diese erfüllt sind, kann nicht abstrakt entschieden werden, sondern muss am jeweils konkreten Fall entschieden werden.

Das sog. Verzeichnis von Verarbeitungstätigkeiten ist eine Aufzeichnung aller Datenverarbeitungstätigkeiten des Verantwortlichen (Art. 30 Abs. 1 DS-GVO) und des Auftragsverarbeiters (Art. 30 Abs. 2 DS-GVO). Es dient dem Zweck, dem Verantwortlichen und dem Auftragsverarbeiter ihre Verarbeitungstätigkeiten bewusst zu machen und zielt darauf, der Aufsichtsbehörde die Kontrolle dieser Tätigkeiten zu vereinfachen. Das Verzeichnis muss bestimmte, in der DS-GVO festgelegte Informationen für jede Verarbeitungstätigkeit enthalten (vgl. Art. 30 Abs. 1, 2 DS-GVO). Art. 30 Abs. 5 Ds-GVO regelt unter bestimmten Voraussetzungen Ausnahmen für KMUs; in der Praxis ist es jedoch zweifelhaft, ob der Anwendungsbereich dieser Ausnahmen besonders hoch sein wird.

Der Auftragsverarbeiter ist verpflichtet, ein besonderes getrenntes Verzeichnis über seine Verarbeitungstätigkeiten zu führen (Art. 30 Abs. 2 DS-GVO) und muss den Verantwortlichen bei der Führung von dessen Verzeichnis unterstützen (Art. 28 DS-GVO). Es ist anzumerken, dass unabhängig des Vorliegens einer der genannten Ausnahmen , spätestens im Rahmen der Datenschutz-Folgeabschätzung Verzeichnisse von Verarbeitungstätigkeiten angelegt werden müssen, um diese ordnungsgemäß ausführen zu können (vgl. Art. 35 DS-GVO).

Verantwortliche und Auftragsverarbeiter müssen einen Datenschutzbeauftragten benennen, wenn:

• die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht
  (Art. 37 Abs. 1 DS-GVO).

Nationale Gesetzgeber haben die Möglichkeit, zusätzliche Bestimmungen festzulegen, bei denen ein DSB zu benennen ist (wie etwa im BDSG-neu geschehen). Der DSB kann ein Mitarbeiter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf Grund eines Dienstleistungsvertrags erfüllen (Art. 37 Abs. 6 DS-GVO). Ein DSB kann dann benannt werden, wenn er die Voraussetzungen erfüllt, welche die DS-GVO vorschreibt und keinem Interessenkonflikt unterliegt. Nicht jedes Unternehmen muss einen eigenen DSB benennen. Eine Unternehmensgruppe darf auch einen gemeinsamen DSB benennen. Verbände und andere Vereinigungen, denen der Verantwortliche oder der Auftragsverarbeiter angehören, haben ebenfalls die Möglichkeit einen gemeinsamen DSB zu benennen.

Jeder Verantwortliche ist im Falle einer Verletzung des Schutzes personenbezogener Daten verpflichtet, diesen unverzüglich und möglichst innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden (Art. 33 Abs. 1 DS-GVO). Gemäß Art. 33 muss die Verletzung nur gemeldet werden, wenn ein „Risiko“ für die Rechte und Freiheiten natürlicher Personen besteht. Es ist jedoch nicht sicher, welches (geringe) Maß die Aufsichtsbehörden bezüglich der Voraussetzung „Risiko“ annehmen werden.

Gemäß den Voraussetzungen des Art. 34 DS-GVO (konkret „ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“) hat jeder Verantwortliche den Betroffenen zu benachrichtigen. Nach Art.4 Nr. 12 DS-GVO ist eine „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Wenn die genannte Frist nicht eingehalten werden kann, muss die Benachrichtigung auch eine Rechtfertigung der Verzögerung enthalten. Wenn der Verantwortliche die Verletzung nicht meldet, hat er zu dokumentieren, warum eine Meldung ausblieb. Ein Auftragsverarbeiter muss den Verantwortlichen benachrichtigen, nicht die Aufsichtsbehörde. Jeder Verstoß gegen die Benachrichtigungspflichten wird mit Geldbußen von bis zu 10 Mio. € oder im Fall eines Unternehmens von bis zu 2 % des weltweiten erzielten Jahresumsatzes sanktioniert (Art. 84 Abs. 4 DS-GVO).

Der Verantwortliche ist verpflichtet, sowohl die Aufsichtsbehörde als auch die betroffenen Personen zu benachrichtigen (Artt. 33, 34 DS-GVO). Der Auftragsverarbeiter ist verpflichtet, an den Verantwortlichen jegliche Verletzung zu melden. Jede Stelle ist verantwortlich für ihre jeweilige Meldepflicht. Die Haftung für den zugrunde liegenden Vorfall bestimmt sich nach der Art desselbigen.

Zertifizierungen sind in der DS-GVO nicht vorgeschrieben. Spezielle Zertifizierungen können eingeführt werden (Artt. 42, 43 DS-GVO). Zudem sollen Zertifizierungsmechanismen gefördert werden. Geeignete Zertifizierungen sollen dazu dienen, den Nachweis zu vereinfachen, dass die Verhaltensregeln der DS-GVO eingehalten werden. Allerdings kann eine erteilte Zertifizierung ein Unternehmen nicht vor Sanktionen schützen, wenn dennoch ein datenschutzrechtlich relevanter Verstoß vorliegt.

Eine Datenschutz-Folgeabschätzung (DFSA) dient dazu, das Risiko einer Verarbeitung bezüglich des Schutzes personenbezogener Daten beurteilen zu können. Sie ist vorzunehmen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1 DS-GVO). Diese Abschätzung und die Vornahme einer DSFA sind ein komplexer Prozess, für die im Moment verschiedene Modelle entwickelt werden. Die DSFA ist ein grundlegendes Instrument des Datenschutzes in der DS-GVO und sollte nicht unterschätzt werden. Als Beispiel soll etwa eine DSFA vorgenommen werden, wenn in großem Umfang spezielle Datenkategorien, genannt in Art. 9 Abs. 1 DS-GVO, verarbeitet werden (Art. 35 Abs. 3 DS-GVO).

Grundsätzlich haftet jeder für eigene Handlungen. Das gilt sowohl für den verantwortlichen als auch für den Auftragsverarbeiter. Die DS-GVO bestimmt ausdrücklich, dass der Auftragsverarbeiter unmittelbar gegenüber dem Betroffenen für Verstöße haftet (Art. 79 Abs. 2 DS-GVO). Die DS-GVO geht sogar noch einen Schritt weiter, indem sie bestimmt, dass der Verantwortliche und der Auftragsverarbeiter gesamtschuldnerisch für Verstöße haften (Art. 82 Abs. 4 DS-GVO).

Auch wenn die DS-GVO einige Beschränkungen bezüglich der Haftung des Auftragsverarbeiters vorsieht (Art. 82 Abs. 4 DS-GVO), bedeutet dass dennoch, dass Auftragsverarbeiter mittlerweile einem erhöhten Haftungsrisiko ausgesetzt sind. Denn sie sind weder haftungsprivilegiert noch haftungsfrei, obwohl sie nicht die Verarbeitung kontrollieren, sondern diese nur unter Anweisung des Verantwortlichen durchführen.

Die Haftungsregelung gilt unmittelbar nur für zivilrechtliche Ansprüche des Betroffenen. Der Auftragsverarbeiter ist nur verantwortlich für den Schaden, der einer natürlichen Person dadurch entsteht, dass der Auftragsverarbeiter nicht entsprechend den Vorgaben der DS-GVO gehandelt hat, speziell wenn den dem Auftragsverarbeiter auferlegten Pflichten nicht nachgekommen wird oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Verantwortlichen oder gegen diese Anweisungen gehandelt wird.

Die DS-GVO ist in allen EU-Mitgliedsstaaten ab dem 25.05.2018 unmittelbar anwendbar (Art. 99 DS-GVO). Das beinhaltet auch die genannten Sanktionen. Die DS-GVO betrachtet die Zeit zwischen ihrem Inkrafttreten am 25.05.2016 und dem Anwendungsbeginn am 25.05.2018 als Übergangszeit, um Verarbeitungen in Einklang mit den Bestimmungen der DS-GVO zu bringen (ErwG. 171). Es gibt keinen Bestandsschutz für bereits implementierte Verarbeitungen und keine Schonfrist nach dem 25.05.2018. Das bedeutet, der 24.05.2018, 24:00 Uhr ist die endgültige Deadline um bestehende Verarbeitungstätigkeiten in Einklang mit der DS-GVO zu bringen. Die zuständige Aufsichtsbehörde ist die an der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder Auftragsverarbeiters (Art. 56 DS-GVO).

Es bleibt abzuwarten, wie die Aufsichtsbehörden innerhalb der EU beginnen werden, die Bestimmungen der DS-GVO durchzusetzen. Deutsche Aufsichtsbehörden haben bereits deutlich gemacht, dass es keine zusätzliche Transformations- oder Schonfrist geben wird. Nichtsdestotrotz setzen Sanktionen zumindest Fahrlässigkeit voraus. Aufgrund dessen wird es zumindest einen gewissen Spielraum geben, um die Vorgaben der DS-GVO im Detail umzusetzen.

Als europäische Verordnung ist die DS-GVO für alle Mitgliedsstaaten bindend und unmittelbar in diesen anzuwenden (Art. 99 DS-GVO). Abweichende nationale Regelungen sind nur für Bereiche erlaubt, die ausdrücklich in der DS-GVO genannt sind und auch nur in dem dort vorgegebenen Umfang. Grundsätzlich haben die Mitgliedsstaaten bei der Verarbeitung personenbezogener Daten im Beschäftigungskontext ein größeres Ermessen, um nationale Gesetzgebung zu verabschieden (siehe Art. 88 DS-GVO). Allerdings wird jedes nationale Gesetz, das die in der DS-GVO genannten Beschränkungen überschreitet, nicht wirksam sein, weil es der DS-GVO nachrangig ist.