Home

Intern

Deutsch|English

Themenspecial: Employer of Record – ein Länderüberblick zu Chancen und Grenzen » |

Weltweit

Anscheinend ist in Ihrem Browser JavaScript nicht aktiviert. Aktivieren Sie bitte JavaScript, und versuchen Sie es erneut.

Anwendung der Datenschutz-Grundverordnung auf ukrainische Unternehmen

veröffentlicht am 5. März 2018

Am 25. Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) 2016/679 vom 27. April 2016 in Kraft treten und die Verarbeitung personenbezogener Daten damit europaweit geregelt (englisch: „General Data Protection Regulation”. Derzeit bereiten sich europäische Unternehmen aktiv auf die Umsetzung der DSGVO vor, weil die Verletzung der Verordnung mit Geldbußen von bis zu 20 Mio. Euro oder 4 Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (je nachdem, welcher dieser Beträge höher ist) geahndet wird. Allerdings ist der Mechanismus der Einziehung von Geldbußen noch nicht entwickelt worden, und es gibt kein klares Verfahren für die Anwendung der Maßnahmen auf nicht in der EU ansässige Unternehmen.

Obwohl die DSGVO in erster Linie europäische Gesellschaften betrifft, kann sie sich auch auf die Tätigkeiten ukrainischer Gesellschaften beziehen. Dieser Artikel gibt einen Überblick über die wichtigsten Fälle, in denen die DSGVO auf ukrainische Unternehmen angewandt werden kann, und eine Liste der wichtigsten Maßnahmen, die unter die DSGVO fallende ukrainische Unternehmen im Bereich der Verarbeitung personenbezogener Daten einführen müssen.

Art 4 DSGVO: Wichtige Begriffe »
Räumlicher Anwendungsbereich der DSGVO »
Im Fall einer Geltungsausweitung der DSGVO: Wichtigste Massnahmen für ukrainische Unternehmen »
Fazit »

Art. 4 DSGVO: Wichtige Begriffe

Erläuterungen nach der EU-Datenschutz-Grundverordnung.

„Personenbezogene Daten” sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden: „betroffene Person” bzw. „natürliche Person”) beziehen. Personenbezogene Daten umfassen insbesondere: Namen und Telefonnummer, Standortdaten, Online-Kennungen (IP-Adresse, Cookies), sog. „sensible” personenbezogene Daten (rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Mitgliedschaft in einer Gewerkschaft, genetische und biometrische Daten) – also jede Information, die die Identifizierung einer Person ermöglicht.

„Verarbeitung” bedeutet, jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Depersonalisierung, das Löschen oder die Vernichtung.

„Verantwortlicher” ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; der „Auftragsverarbeiter” ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (im Folgenden: „Verantwortlicher” bzw. Auftragsverarbeiter – Gesellschaft).

„Betroffene Personen in der EU” sind alle natürlichen Personen, die sich in der EU aufhalten – unabhängig von ihrer Nationalität oder ihrem Wohnort, d.h. Bürger, Einwohner, Touristen und andere Personen, die sich in der EU aufhalten, ungeachtet dessen, ob sie Bürger eines EU-Mitgliedstaats sind (im Folgenden: „natürliche Personen in der EU”).

Die „Aufsichtsbehörde” ist eine von einem Mitgliedstaat eingerichtete, unabhängige staatliche Stelle, die für die Überwachung der Anwendung der DSGVO zuständig sein wird, um die Grundrechte und Freiheiten natürlicher Personen in der EU bei der Verarbeitung ihrer personenbezogenen Daten zu schützen.

„Profiling” ist jede Art der automatisierten Verarbeitung personenbezogener Daten, mit Hilfe derer bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, bewertet werden. Ziel dabei ist es, insbesondere Informationen zur wirtschaftlichen Situation, Gesundheit, persönliche Vorlieben, Interessen, Verhalten, Aufenthaltsort oder Ortswechsel der natürlichen Person zu analysieren oder vorherzusagen.

„Pseudonymisierung” ist die Verarbeitung personenbezogener Daten in der Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Räumlicher Anwendungsbereich der DSGVO

Die Besonderheit der DSGVO besteht darin, dass sie sowohl auf die Verarbeitung personenbezogener Daten bei der Tätigkeit einer in der EU ansässigen Gesellschaft Anwendung findet – unabhängig davon, ob die Verarbeitung in der EU stattfindet – als auch bei der Verarbeitung personenbezogener Daten natürlicher Personen in der EU durch die nicht in der EU ansässigen Gesellschaften greift, wenn die Datenverarbeitung im Zusammenhang damit steht

betroffenen Personen in der EU Waren oder Dienstleistungen gegen Entgelt oder unentgeltlich anzubieten; oder
das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der EU erfolgt.

Folglich findet die Verordnung Anwendung auf ukrainische Gesellschaften, die personenbezogene Daten natürlicher Personen in der EU verarbeiten, wenn eine solche Verarbeitung mit einer der folgenden Tätigkeiten verbunden ist:

1. Angebot von Waren oder Dienstleistungen an natürliche Personen in der EU oder

2. Beobachtung des Verhaltens natürlicher Personen in der EU.

1. Anbieten von Waren oder Dienstleistungen an natürliche Personen in der EU

Um festzustellen, ob die nicht in der EU ansässige Gesellschaft Waren oder Dienstleistungen natürlichen Personen in der EU anbietet, sollte es offensichtlich sein, dass die Gesellschaft ein solches Angebot von Waren oder Dienstleistungen für natürliche Personen in einem oder mehreren EU-Mitgliedstaaten vorgesehen hat.

Die folgenden Faktoren können darauf hinweisen, dass die außerhalb der EU ansässige Gesellschaft vorsieht, Waren oder Dienstleistungen für natürliche Personen in der EU anzubieten:

Verwendung der Sprache oder Währung, die üblicherweise in einem oder mehreren EU-Mitgliedstaaten genutzt wird, mit der Möglichkeit, Waren und Dienstleistungen unter Verwendung der jeweiligen Sprache und Währung bei einer solchen nicht in der EU ansässigen Gesellschaft zu bestellen;
Angabe von Informationen über Kunden mit Sitz in der EU zu Marketingzwecken auf der Website einer solchen nicht in der EU ansässigen Gesellschaft.

Als ein Beispiel des Angebots von Waren oder Dienstleistungen für natürliche Personen in der EU kann das Vorhandensein einer Webseite der ukrainischen Gesellschaft betrachtet werden, die Waren auf Deutsch, Französisch und Englisch anbietet, die Bezahlung in Euro und die Lieferung solcher Waren an Kunden in der EU ermöglicht.

2. Zur Beobachtung des Verhaltens natürlicher Personen in der EU

Die Verarbeitung von Daten wird als Beobachtung des Verhaltens natürlicher Personen angesehen, wenn sie im Internet zur Analyse und Vorhersage persönlicher Vorlieben und des Verhaltens für Marketingzwecke verfolgt werden (einschließlich des Profilings).

Bspw. kann als Beobachtung des Verhaltens natürlicher Personen in der EU eine Hotelbuchungsseite gelten, die Vorlieben (Suchergebnisse) früherer Kunden in der EU mithilfe von Cookies im Internet verfolgt, um diesen Kunden entsprechende Werbung für Hotels anzubieten.

Im Fall einer Geltungsausweitung der DSGVO: Wichtigste Maßnahmen für ukrainische Unternehmen

Benennung eines Vertreters in der EU

Die nicht in der EU ansässigen Gesellschaften, die Waren oder Dienstleistungen anbieten bzw. das Verhalten natürlicher Personen in der EU beobachten, werden verpflichtet sein, einen Vertreter in der EU schriftlich zu benennen. Der Vertreter (eine in der EU ansässige natürliche oder juristische Person) wird in einem der EU-Mitgliedstaaten ernannt, in dem sich natürliche Personen befinden, deren personenbezogene Daten verarbeitet werden.

Als Ausnahme muss kein Vertreter in der EU ernannt werden, wenn die Verarbeitung vorübergehend ist und dabei:

sensible personenbezogene Daten in großem Umfang oder personenbezogene Daten zur Verurteilung zur strafrechtlichen Bestrafung nicht verarbeitet werden; und
die Verarbeitung keine Gefahr für die Rechte und Freiheiten natürlicher Personen unter Berücksichtigung von Charakter, Kontext, Bereich und Zweck der Verarbeitung darstellt.

Die Hauptaufgabe eines Vertreters in der EU besteht darin, gegenüber den Kontrollbehörden und den natürlichen Personen in der EU Ansprechperson der Gesellschaft hinsichtlich der Einhaltung der DSGVO zu sein. Ein solcher Vertreter ist auch eine Ansprechperson, die in erster Linie bei einem Verstoß gegen die Bestimmungen der DSGVO durch die Gesellschaft angesprochen wird, während die Bestellung eines Vertreters die Aufnahme eines direkten Kontakts mit der Gesellschaft nicht ausschließt. Das heißt, die Kontrollorgane und natürliche Personen können den Vertreter zusätzlich oder anstelle der Gesellschaft in allen mit der Verarbeitung verbundenen Fragen ansprechen, um die Einhaltung der DSGVO sicherzustellen.

Vor diesem Hintergrund muss die ukrainische Gesellschaft zuerst feststellen, ob sie unter die Ausnahme fällt. Wenn nicht, gilt es zu erwägen, in welchem der EU-Mitgliedsstaaten der Vertreter ernannt werden soll.

Benennung eines Datenschutzbeauftragten

Die ukrainische Gesellschaft ist verpflichtet, einen Datenschutzbeauftragten zu benennen, wenn die Kerntätigkeit dieser Gesellschaft die regelmäßige und systematische Verarbeitung einer großen Anzahl von personenbezogenen Daten oder die Verarbeitung sensibler personenbezogener Daten in großem Umfang oder personenbezogener Daten zur Verurteilung zur strafrechtlichen Bestrafung ist.

Die Hauptaufgaben des Datenschutzbeauftragten sind:

Kommunikation mit natürlichen Personen über die Verarbeitung ihrer personenbezogenen Daten;
Information und Beratung des für die Verarbeitung Verantwortlichen, des Auftragsverarbeiters und deren Mitarbeiter zum Schutz personenbezogener Daten;
Überwachung der Einhaltung der DSGVO, der Vorschriften zum Schutz personenbezogener Daten der Gesellschaft (z.B. Aufteilung der Zuständigkeiten, Sensibilisierung und Schulung des an der Datenverarbeitung beteiligten Personals, Durchführung des Audits);
Zusammenarbeit mit der Aufsichtsbehörde;
Beratung, Risikobewertung und Überwachung der Auswirkungen von Innovationen bei der Verarbeitung personenbezogener Daten auf den Schutz personenbezogener Daten.

Die verantwortliche Person muss über eine erforderliche berufliche Qualifikation und das Fachwissen auf dem Gebiet des Datenschutzes verfügen. Dabei kann eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, soweit er Zugang zu jeder Gesellschaft der Unternehmensgruppe hat. Der Datenschutzbeauftragte kann Beschäftigter der Gesellschaft sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

Nachweis der Einhaltung der DSGVO

Die Verantwortlichen und die Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen und nachzuweisen, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit der DSGVO erfolgt.

Der Verantwortliche muss insbesondere interne Datenschutzvorschriften umzusetzen, die u.a. die Umsetzung der folgenden Grundsätze zu sichern haben:

by Design /eingebauter Datenschutz: Die Einführung von technischen und organisatorischen Maßnahmen für einen angemessenen Schutz personenbezogener Daten (z.B. Pseudonymisierung);
by Default /datenschutzfreundliche Standardeinstellungen: Verarbeitung der minimalen Anzahl von für die Zwecke der Verarbeitung erforderlichen Daten.

Die Verarbeitung personenbezogener Daten von einem Auftragsverarbeiter soll in einem Vertrag zwischen dem Auftragsverarbeiter und dem Verantwortlichen geregelt werden, der den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, den Typ der personenbezogenen Daten und die Kategorien natürlicher Personen sowie die Rechte und Pflichten des Verantwortlichen bestimmt.

Die Verantwortlichen und die Auftragsverarbeiter müssen die Register der Verarbeitung personenbezogener Daten in schriftlicher Form (auch elektronisch) führen und die der Aufsichtsbehörde auf Anfrage zur Verfügung stellen.

Auch sollen der Verantwortliche und der Auftragsverarbeiter die Einhaltung und Umsetzung neuer Rechte sichern, insbesondere das Recht auf Löschung der Informationen („Recht auf Vergessenwerden”) und das Recht, die Übermittlung personenbezogener Daten von einem Verantwortlichen an einen anderen zu verlangen („Recht auf Datenübertragbarkeit”).

Der Verantwortliche muss ein Verfahren in der Gesellschaft implementieren, das gewährleistet, dass im Fall der Verletzung der persönlichen Daten (z.B. im Fall des Datenverlustes) der Verantwortliche innerhalb von 72 Stunden nach einer Verletzung die entsprechende Aufsichtsbehörde zum Datenschutz informiert.

Fazit

Die Ausführungen zeigen, dass die DSGVO einen wesentlichen Einfluss auf die ukrainischen Gesellschaften, die personenbezogene Daten von Kunden in der EU verarbeiten, ausüben kann. Daher sollten ukrainische Unternehmen vor dem Inkrafttreten der DSGVO am 25. Mai 2018 in erster Linie klären, ob sie unter die DSGVO fallen, das bedeutet bspw. prüfen, welche Kategorien der Daten die Gesellschaft verarbeitet und, ob sie personenbezogene Daten natürlicher Personen in der EU beim Angebot von Waren, Dienstleistungen oder bei der Beobachtung ihres Verhaltens verarbeitet. Im Fall einer bejahenden Antwort sollte die Verarbeitung personenbezogener Daten in Übereinstimmung mit der DSGVO gebracht werden – insbesondere gegebenenfalls ein Vertreter in der EU sowie ein Datenschutzbeauftragter benannt, interne Datenschutzvorschriften der Gesellschaft erarbeitet oder angepasst und das Verfahren für die Verarbeitung personenbezogener Daten in der Gesellschaft zum Zwecke der Einhaltung der DSGVO aktualisiert werden.