EU: Einigung über künftige Fassung der Datenschutzgrundverordnung

anwalt für bankrechtUrheberrecht Kapitalmarktrecht AugsburgDatenschutzrechtWortklauberei geht weiter – diesmal zulasten des Verbrauchers

Nach langen Verhandlungen konnten sich Parlament und Rat am 15.12.2015 auf eine endgültige Version der Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzgrundverordnung) einigen. Ab 2018 sollen die neuen Regelungen gelten und die nationalen Bestimmungen (in Deutschland sind das z.B. das BDSG und Teile des TMG) weitestgehend ablösen. Bußgelder werden deutlich erhöht und im selben Zug die Anforderungen verschärft werden.

Warum überhaupt eine EU-Datenschutzgrundverordnung?

Das bisher in der EU geltende Datenschutzrecht beruht auf der Datenschutzrichtlinie von 1995, mit anderen Worten: es entspricht aufgrund der technischen Entwicklungen bei weitem nicht mehr den Anforderungen des digitalen Zeitalters. Zum anderen soll eine einheitliche europäische Regelung
geschaffen werden.

Obwohl die Grundverordnung an einigen Stellen nationale Abweichungen zulässt – so z.B. im Bereich des Arbeitnehmerdatenschutzes – werden bald weitestgehend einheitliche Datenschutzrechte in ganz Europa gelten, unabhängig vom Ort der Verarbeitung.

Für die Bürger: besserer Schutz für persönliche Daten

Die Reform soll den Bürgern die Kontrolle über ihre Daten zurückgeben und so das Recht auf Datenschutz stärken, damit die Bürger im Vertrauen auf einen ordnungsgemäßen Umgang zukünftig ihre Daten weitergeben können.

Dies wird u.a. auch durch einen einfacheren Zugang zu den eigenen Daten verwirklicht. Der Bürger soll klar und verständlich über die Art und Weise der Datenverarbeitung informiert werden. Auch ein Recht auf Datenübertragbarkeit soll gewährleistet werden, sodass personenbezogene Daten einfacher von dem einen auf den anderen Anbieter übertragen werden können. Die neue Regelung enthält auch ein „Recht auf Vergessenwerden“: Möchte der Betroffene nicht, dass seine Daten weiterhin verarbeitet werden,
müssen diese Daten gelöscht werden, sofern es keine legitimen Gründe für die Datenspeicherung gibt. Vorgesehen ist weiter das Recht zu erfahren, ob Daten gehackt wurden: Unternehmen müssen nun so schnell wie möglich z.B. die nationale Aufsichtsbehörde über Verstöße gegen den Datenschutz informieren,
damit die Nutzer ggf. geeignete Maßnahmen ergreifen können.

Änderungen für Unternehmen

Die einheitliche Regelung soll Unternehmen die Geschäftstätigkeit in der EU erleichtern, indem sie ihnen Verwaltungsaufwand sowie Kosten erspart. Dazu soll auch ein sog. Konzernprivileg beitragen, das die Datenübermittlung an andere Konzernunternehmen für interne administrative Zwecke erleichtert.
Besonders kleine und mittlere Unternehmen können davon profitieren, so die Chancen des digitalen Binnenmarktes besser nutzen und dadurch wachsen.

Außerdem wird es künftig nur noch eine einzige Aufsichtsbehörde geben, womit wiederum Kosten von schätzungsweise 2,3 Mrd. Euro eingespart werden können. Weiterhin wird bezweckt, dass die Datenschutzgarantien von Anfang an in die Produkte eingebaut werden. Auf diesem Weg sollen datenschutzfreundliche Techniken wie Pseudonymisierung gefördert werden.

Regeln gelten auch für Unternehmen mit Sitz außerhalb Europas

Jedoch sind nicht nur Unternehmen mit Sitz in der EU von der Grundverordnung erfasst. Auch für ausländische, in Europa tätige Firmen, die mit der Auswertung personenbezogener Daten über EU-Bürger arbeiten, wird die Grundverordnung erhebliche Auswirkungen nach sich ziehen. Dies gilt unabhängig davon, ob sie ihre Leistungen entgeltlich oder unentgeltlich erbringen. Erfasst sind beispielsweise auch ausländische Onlinedienstleister, die keinen Sitz in der EU haben.

Die nächsten Schritte

Nach der Zustimmung des EU-Ministerrats wird die Fassung nun in die 22 Sprachen der EU übersetzt. Anfang 2016 werden dann die endgültigen übersetzten Fassungen von Parlament und Ministerrat noch formal verabschiedet. Die neuen Datenschutz-Vorgaben treten dann 2018 in Kraft.
Gerade Unternehmen sollten sich möglichst zeitnah mit den neuen Regelungen befassen und vertraut machen, da die Verordnung erhebliche Änderungen vorsieht. Bestehende Datenverarbeitungsprozesse, Betriebsvereinbarungen etc. sollten angesichts der gestiegenen Anforderungen und der deutlichen
Erhöhung der Bußgelder dringend angepasst werden. Sollten Sie diesbezüglich Fragen haben, können Sie sich gerne an uns wenden.

Ihr Ansprechpartner:

Alma Lena Fritz LL.M., LL.M.

Associate Partner

Fachanwältin für Informationstechnologierecht