Die DSGVO wird neben der Privatwirtschaft grundsätzlich auch den hoheitlichen Bereich  betreffen. Es gibt jedoch Ausnahmen, etwa für die Tätigkeiten der Gerichte, der Staatsanwaltschaften sowie der Polizei. Umgekehrt gilt die DSGVO generell für alle bundes-, landesund kommunalrechtlichen Aufgabenbereiche – jedoch mit zahlreichen "Öffnungsklauseln", die es den Mitgliedstaaten erlauben, im öffentlichen Bereich eigene, spezifischere Bestimmungen zur Konkretisierung der DSGVO einzuführen.

Um die uneingeschränkte Anwendbarkeit der DSGVO zu gewährleisten, müssen die Mitgliedstaaten teilweise ihr nationales Recht anpassen. In Deutschland kommt diese Aufgabe in erster Linie dem Gesetzgeber zu. Aber auch die Selbstverwaltungskörperschaften – insbesondere die Kommunen und die Hochschulen – sind aufgefordert, ihr Satzungsrecht mit der DSGVO in Einklang zu bringen. Die DSGVO ergänzt die NIS-Richtlinie der EU und deren Vorbild, das deutsche ITSicherheitsgesetz von 2015, die zusammen mit weiterer europäischer IT-Sicherheitsgesetzgebung die künftige Basis für ein einheitliches Datenschutz-/Datensicherheitsrecht für Europa bilden.

Hauptziele sind hierbei die Sicherstellung der öffentlichen Infrastrukturen, der Schutz bedeutender Wirtschaftsgüter und die Bekämpfung von Cyberkriminalität. Im Verhältnis zum Bruttoinlandsprodukt sind die Schäden im Bereich Wirtschaftsspionage und Cyberkriminalität nirgends so hoch wie in Deutschland. Bis zum 25. Mai 2018 müssen somit alle Dokumente und Prozesse der Datenverarbeitung angepasst sein.

Anwendungsbereich
Die DSGVO wird sich auf alle Unternehmen auswirken, die geschäftlich von der EU aus tätig sind beziehungsweise Geschäftsbeziehungen zu Unternehmen und Organisationen mit Sitz in der EU unterhalten oder ihre Daten in EU-Mitgliedsstaaten sammeln, verarbeiten und speichern (lassen). Damit erstreckt sich die DSGVO auch auf Verarbeiter mit Sitz außerhalb der EU.

Sie findet geografisch insbesondere Anwendung für jede Datenverarbeitung innerhalb der EU sowie des Weiteren für Verarbeitungen von personenbezogenen Daten durch die EU-Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters, unabhängig vom "Wo" – also davon, ob die Datenverarbeitung selbst auch innerhalb des EU-Gebietes stattfindet. Des Weiteren kommt sie zur Anwendung bei der Verarbeitung der personenbezogenen Daten von EU-Bürgern durch Auftraggeber ("Data Controller") oder Auftragnehmer ("Data Processor") auch außerhalb der EU sowie ferner bei der Datenverarbeitung durch Auftraggeber außerhalb der EU, sofern es sich um Angebote von Onlineshops, die auch auf Vertragsabschlüsse in der EU gerichtet sind, handelt, gleichgültig
ob diese Angebote kostenpflichtig oder kostenfrei sind.

Sie gilt außerdem bei Waren- oder Dienstleistungsangeboten an EU-Bürger (wobei dieses Falls ein Vertreter in der EU benannt werden muss), ferner bei Profiling außerhalb der EU, sofern Zielobjekte Bürger in der EU sind, und schließlich – gleichsam als Auffangnorm – immer dann, wenn für die betreffende Datenverarbeitung das Recht eines EUMitgliedsstaates greift – im Grunde also nahezu immer.

Die DSGVO wird demnach erhebliche Konsequenzen auch für nicht-europäische Unternehmen haben, die in der EU tätig sind, da Hauptanknüpfungspunkt die Geschäftstätigkeit beziehungsweise das  Handeltreiben in den Mitgliedstaaten der EU ist. Da die DSGVO kein dispositives Recht darstellt, das von Vertragsparteien für ihren Datenaustausch vertraglich ausgeschlossen werden könnte, ist aus dem Anwendungsbereich der DSGVO sprichwörtlich "kein Entrinnen", was auch für das UK im Zeitalter nach dem Vollzug des "Brexit" gelten wird.

Personenbezogene Daten
Betroffen von der DSGVO sind alle Organisationen, die personenbezogene Daten sammeln, verarbeiten und speichern. Laut Definition handelt es sich bei personenbezogenen Daten um sämtliche Informationen über eine Person, gleichgültig ob sich diese auf deren Privat- oder Berufsleben beziehen. Dazu zählen etwa Namen, Fotos, E-Mail-Adressen, Bankdaten, Beiträge auf Social-Networking-Websites, medizinische Daten – sowie auch die IP-Adressen, selbst wenn diese dynamisch sind. Denn es ist ausreichend, wenn die Verantwortlichen über "rechtliche Mittel" verfügen, die ihnen die Bestimmung der hinter der IP-Adresse stehenden Person grundsätzlich ermöglichen. Irrelevant wird damit, ob die Zuordnung zu einer bestimmbaren Person im konkreten Fall wirklich erfolgt, sondern lediglich, ob die rechtlichen Mittel die Verantwortlichen allgemein hierzu in die Lage versetzen.

Lediglich im Falle absolut nicht rückführbarer, anonymer (beispielsweise rein statistischer oder durch Verschlüsselung nach dem Stand der Technik entpersonalisierter) Daten scheidet eine Anwendbarkeit der DSGVO aus. Die insbesondere für zulässige Durchführung und Vertrieb von Industrie-4.0- und Big-Data-Projekten und -Produkten benötigte Lösung liegt also in Verfahren, die eine absolute Anonymisierung zuverlässig sicherstellen, sodass niemand – auch kein externer "Superuser" – mehr in der Lage ist, die entsprechend bearbeiteten Informationen einer konkreten Person zuzuordnen. Nur wenn ein Personenbezug sonach "absolut nicht herstellbar" ist, handelt es sich um im Rechtssinne anonyme Daten, auf die das Datenschutzrecht keine Anwendung findet.

Die wichtigsten Neuerungen
An wesentlichen Neuerungen gegenüber dem herkömmlichen europäischen Datenschutzrecht sind insbesondere zu nennen die Rechte auf Vergessenwerden, auf Datenberichtigung, auf Löschung, Sperrung und Datenportabilität sowie die Verpflichtung zur Bekanntmachung von Datenschutzverletzungen. Hinzu kommen die noch im Einzelnen zu erläuternden Maximen des "Datenschutzes durch Technik" ("Privacy by Design") beziehungsweise der "datenschutzfreundlichen Voreinstellungen" ("Privacy by Default") und des Rechts- und Kontrollinstituts der sogenannten "Datenschutz-Folgeabschätzung".

Die Dokumentationspflichten werden inhaltlich deutlich erweitert und zudem künftig auf den Auftragsverarbeiter erstreckt. Durch die DSGVO kommt es zudem wie gesehen zu einer Erweiterung der Anwendbarkeit von EU-Datenschutzvorschriften auf die Auftragsverarbeiter sowie deren Auftraggeber in Drittstaaten. Neu ist ferner, dass Auftragsverarbeiter zukünftig für Datenschutzverletzungen bei ihrer  Auftragsdatenverarbeitung in die (Mit-)Haftung genommen werden können.

Neue Haftungskonzepte bei Cloud & Co.
Eine Auftragsdatenverarbeitung ist nur zulässig, wenn ein Gesetz dies gestattet oder ein schriftlicher beziehungsweise elektronischer Vertrag diese detailliert regelt. Der Auftragsverarbeiter ist sorgfältig nach Kriterien wie Zuverlässigkeit, Leistungsfähigkeit und seinen dem Stand der Technik entsprechend zum Einsatz kommenden technisch-organisatorischen Sicherheitsmaßnahmen auszuwählen und sodann vor sowie regelmäßig während der Laufzeit der Auftragsdatenverarbeitung zu kontrollieren.

Der entsprechende Vertrag muss bestimmte inhaltliche Mindestanforderungen erfüllen. Wie bisher darf der Auftragsverarbeiter die Daten lediglich auf Weisung des Verantwortlichen verarbeiten. Allgemein gilt, dass in Fällen, in denen sich ein Auftragsverarbeiter nicht an die Beschränkungen der ihm vorgegebenen Verwendung der Daten hält, er insoweit selbst zum – dann rechtswidrig agierenden – Verantwortlichen "mutiert". Der ursprüngliche Auftraggeber kommt seinerseits in Erklärungsnot, warum und wie der Auftragsverarbeiter gegen seinen Auftrag verstoßen konnte. In derartigen Fällen ist von einer gemeinsamen (auch haftungs-)rechtlichen Verantwortung auszugehen. Eine wichtige Konsequenz der gemeinsamen Verantwortung liegt dann in der gesamtschuldnerischen Haftung für alle Schadensfolgen.

Bei Verstößen gegen die Bestimmungen der DSGVO zur Auftragsdatenverarbeitung trifft die Haftung daher im Zweifel alle an der Datenverarbeitung Verantwortlichen. Zivilrechtlich haften der Verantwortliche und der Auftragsverarbeiter gegenüber den Betroffenen grundsätzlich gemeinsam und gesamtschuldnerisch. Jedoch beschränkt sich die Haftung des Auftragsverarbeiters auf speziell ihm auferlegte Pflichten (es sei denn, er habe sich über die Weisungen des Verantwortlichen hinweggesetzt). Auch die Bußgelddrohungen richten sich sowohl gegen den Verantwortlichen wie auch den Auftragsverarbeiter.

In diesem Zusammenhang sei daran erinnert: Bei Rechenzentrumsbetrieb, ASP, SaaS, Hosting und Cloud handelt es sich ausnahmslos um eine solche Auftragsdatenverarbeitungskonstellation im Sinne der DSGVO.

Nach neuem Recht kann eine Auftragsdatenverarbeitung auch außerhalb der EU stattfinden, wobei die DSGVO hierbei wie gesehen gleichwohl anwendbar ist und bleibt. Die DSGVO eröffnet den Verantwortlichen für ihren Datenaustausch (das heißt alle Übermittlungen von personenbezogenen Daten, insbesondere im Falle der Auftragsdatenverarbeitung) mit "unsicheren Drittstaaten", in denen kein angemessenes Datenschutzniveau festgestellt werden kann, bestimmte Legitimationsgrundlagen.

Als solche kommen namentlich in Betracht die Übernahme von verbindlichen und durchsetzbaren Garantien zwischen staatlichen Stellen, unternehmensweite verbindliche Datenschutzregelungen ("Binding Corporate Rules", BCR) und (wie bisher) Standarddatenschutzklauseln, sofern diese zuvor durch die EU-Kommission genehmigt wurden.

Neu ist hierbei die Möglichkeit, im Rahmen von BCR nicht nur für die Mitglieder der bestimmten Unternehmensgruppe, sondern auch für eine Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit – auch im Subunternehmerverhältnis und innerhalb einer Kunden-/Lieferantenbeziehung – verfolgen, untereinander und wechselseitig eine Legitimationsgrundlage für den Datenaustausch zu schaffen.

Datenschutz-Folgeabschätzung
Die DSGVO verlangt ferner zeitgemäße, effektive Datenschutz- und Datensicherheitskonzepte sowie – als neues, dem Datenschutzrecht bislang fremdes Rechtsinstitut – die schon erwähnte DatenschutzFolgeabschätzung, wenn mit Anwendung oder Einführung von neuen IT-Verfahren ein hohes Risiko für Rechte und Freiheiten der Betroffenen verbunden ist. Bei allen Alt- und auch kommenden Neuprojekten aus dem Bereich der IT muss zumindest angeprüft (und dies entsprechend dokumentiert) werden, ob eine DatenschutzFolgeabschätzung notwendig ist.

Das Management muss mithin Strukturen schaffen, die sicherstellen, dass Datenschutz-Folgeabschätzungen umfassend und ordnungsgemäß durchgeführt und dokumentiert werden. Eine Dokumentation ist in jedem Falle anzufertigen, also auch dann, wenn die Abwägung dazu geführt hat, dass eine Datenschutz-Folgeabschätzung nicht durchzuführen ist. Die mit diesen Bewertungen zwangsläufig verbundene Rechtsunsicherheit wird dadurch abgemildert, dass die DSGVO die Datenschutzaufsichtsbehörden verpflichtet, entsprechende Listen zu veröffentlichen, in welchen Fällen eine Datenschutz-Folgeabschätzung im Zweifel erforderlich ist.

Fazit
Die Übergangsfrist zur Umsetzung der DSGVO läuft Ende Mai aus. Von da an haben alle Unternehmen und Behörden, die mit personenbezogenen Daten hantieren, die neuen Regeln einzuhalten. Im ersten Teil unserer Artikelreihe haben wir deren Konzept sowie die wesentlichen Neuerungen vorgestellt. Im zweiten Teil beleuchten wir Datenschutzkonzepte und technisch-organisatorische Sicherheitsmaßnahmen für Unternehmen. Daneben werfen wir einen Blick auf die Auswirkungen der DSGVO auf Industrie 4.0 sowie Big Data.

Dieser Rechtsbeitrag entstand mit Unterstützung der SEP AG. Der Autor Dr. Jens Bücking ist Rechtsanwalt und Fachanwalt für IT-Recht. Er ist Gründungspartner der Rechtsanwaltskanzlei e/s/b Rechtsanwälte sowie Fachbuchautor im IT-Recht und Lehrbeauftragter an der Hochschule für Technik in Stuttgart und als Associate Professor an der E.N.U. in Kerkrade, Niederlande tätig.

Dr. Jens Bücking/dr