+49 30 285 058 56 berlin@res-media.net
Fachanwälte in Kooperation

Die neue europäische Datenschutzgrundverordnung – welche Änderungen sind für deutsche Unternehmen zu erwarten?

Die neue Datenschutzverordnung der Europäischen Kommission wird Anpassungsbedarf auch für deutsche Unternehmen – sowohl in organisatorischer, als auch in technischer Hinsicht bringen.
Am 22.10.2013 gab es aus dem Innenausschuss des Europaparlamentes grünes Licht für die Aufnahme von Verhandlungen über eine europäische Datenschutzgrundverordnung mit den Mitgliedsstaaten der Europäischen Union. Damit wurde der Weg für Gesetzgebungsverhandlungen zwischen der Europäischen Kommission, dem EU-Parlament und dem Rat der Europäischen Union (sog. Trilog) und damit für eine Reform des Europäischen Datenschutzes bereitet, an deren Ende möglicherweise noch vor Ende der Legislaturperiode, also bis Mai 2014 ein verabschiedungsfähiger Gesetzentwurf stehen könnte.
Sofern die Verordnung erlassen wird, wird sie voraussichtlich zwei Jahre nach ihrer Verabschiedung und der Veröffentlichung im Verordnungsblatt in allen Mitgliedsstaaten gelten. Das bedeutet, dass sie frühestens ab 2016 das bisher geltende Bundesdatenschutzgesetz ersetzen könnte.

  • Was soll sich mit dieser Verordnung ändern?

Derzeit erlassen die 28 Mitgliedstaaten ihre eigenen Gesetze anhand der Richtlinie von 1995. Die unterschiedliche Umsetzung hat zu einem ungleichen Datenschutzniveau und unterschiedlichen Datenschutzregeln in der EU geführt. Ziel des Vorschlags für eine Datenschutzgrundverordnung sind hohe Datenschutzstandards, die einheitlich in der ganzen EU gelten sollen. So können sich Unternehmen zukünftig als Sitz nicht mehr den Mitgliedstaat mit den niedrigsten Datenschutzstandards aussuchen („Forum Shopping“). Doch der Reformvorschlag geht noch weiter: Künftig sollen europäische Datenschutzstandards gelten, sobald Daten von EU-Bürgerinnen verarbeitet werden – gleich ob dies innerhalb oder außerhalb der EU geschieht.
Die EU-Datenschutz-Grundverordnung (DSGVO) soll für Anbieter bereits gelten, wenn sie sich mit ihrem ‑ auch unentgeltlichen ‑ Angebot an EU-Bürger richten oder deren Verhalten überwachen. Bietet ein amerikanisches Unternehmen über eine Website also gezielt Leistungen an und erhebt in diesem Zusammenhang personenbezogene Daten, so müsste es die DSGVO einhalten. Außerdem soll es zu einer Konkretisierung der aufsichtsrechtlichen Zuständigkeit bei international tätigen Unternehmen kommen – der Datenschutz im Europäischen Wirtschaftsraum soll einen einheitlichen Rahmen erhalten.

  • Was bedeutet dies für Unternehmen?

Die Datenschutz-Grundverordnung (DSGVO) wird das geltende Datenschutzrecht aller Voraussicht nachgrundlegend umgestalten.
– Explizite Einwilligung
Für die Nutzung persönlicher Daten soll nun eine „frei abgegebene, spezifische und informierte Einwilligung“ des Betroffenen erforderlich sein. Die Einwilligung darf nicht im Kleingedruckten abgefragt werden, sondern sie muss gut sichtbar erfolgen, z. B. durch standardisierte, einfach zu erkennende Symbole (Icons).
Nutzungsbedingungen sollen künftig leicht verständlich formuliert sein. An die Stelle allgemeiner Geschäftsbedingungen für Datenschutz treten standardisierte Symbole (Icons), die Zustimmung oder Ablehnung vereinfachen. Anbieter sollen nur dann Nutzungsprofile erstellen dürfen, wenn der jeweilige Nutzer durch die Privatsphäre-Einstellungen seines Internetbrowsers signalisiert, dass er dies nicht untersagt. Technische Standards dafür sollen künftig auf EU-Ebene zertifiziert werden.
– Privacy by Design/Privacy by Default:
Unternehmen müssen ihre Angebote möglichst datensparsam konzipieren und mit den datenschutzfreundlichsten Voreinstellungen (Privacy by Default) anbieten. Ein starkes Prinzip der Zweckbindung bedeutet, dass nur die Daten erhoben werden, die zur Erbringung des Dienstes benötigt werden. Außerdem muss es nach der Richtlinie die Möglichkeit geben, Dienste anonym und unter Pseudonym zu nutzen. Privacy by Design bedeutet auch die Berücksichtigung weitergehender Datenschutzanforderungen bei der Entwicklung oder Einführung neuer IT-Systeme.
Hinzu kommt die Verpflichtung zur „Datenschutz-Folgenabschätzung“: Einige Unternehmen sind danach verpflichtet, neben der Beschreibung des Verfahrens – vergleichbar der Regelung in Paragraf 4 e BDSG in Deutschland – eine Feststellung möglicher Risiken für den Datenschutz sowie Ausmaß und Wahrscheinlichkeit ihres Eintretens zu treffen. Sie müssen laufende und geplante Kontrollen festlegen, um diesen Risiken entgegenzuwirken und schließlich die Ergebnisse dokumentieren.

  • Was bedeutet das für Unternehmen, die mit Kundendaten arbeiten?

Unternehmen müssen in größerem Umfang als bisher Auskunft über die Speicherung von Daten geben. Der Auskunftsanspruch, den deutsche Unternehmen bereits aus dem Paragrafen 34 BDSG kennen, wird durch erweiterte Informationspflichten gegenüber den Betroffenen deutlich ausgedehnt. So soll etwa eine Informationspflicht über die Dauer der Datenspeicherung eingeführt werden.
Insbesondere im Online-Bereich – etwa im Zusammenhang mit verhaltensorientierter Internetwerbung oder den Datenschutzhinweisen – hat die EU erweiterte Informationspflichten in den Entwurf eingebracht.
– Recht auf Löschung
Die Rechte der Betroffenen, insbesondere auf Löschung, sollen gestärkt und ein umfassendes Verbot der Datenweitergabe (insbesondere ins Ausland) ohne rechtliche Grundlage geschaffen werden:
Ursprünglich im Entwurf enthalten und konkretisiert wurde das Recht auf Vergessenwerden, das sogenannte „right to be forgotten“, nach dem Daten eines Einzelnen nach Ablauf der Zweckbindung zur Erhebung nicht mehr verarbeitet werden dürfen, etwa in den Fällen, in denen der Betroffene seine Zustimmung nachträglich wiederruft
Das Recht wurde allerdings für die Abstimmung am 21. Oktober 2013 aus dem Entwurf entfernt und auf das Recht auf Löschung beschränkt. Anstatt eines „Rechts auf Vergessenwerden“, wie es im Kommissionsentwurf noch vorgesehen war, sieht Art. 17 der DSGVO nur noch ein leicht erweitertes Recht auf Berichtigung und Löschung vor. Aus diesem Recht resultieren Löschungsverpflichtungen der verantwortlichen Stelle. Soweit die verantwortliche Stelle Daten des Betroffenen öffentlich gemacht hat, verpflichtet Art. 17 Nr. 2 DSGVO die verantwortliche Stelle darüber hinaus dazu, alle vernünftigen Maßnahmen zu ergreifen, um diese Daten auch bei Dritten löschen zu lassen.
Des Weiteren wird nach dem Entwurf den Betroffenen ein Recht auf Datenübertragbarkeit eingeräumt. Dies wird beispielsweise bei der Nutzung von Social Media relevant, denn es beinhaltet das Recht des Einzelnen, seine Daten aus einem sozialen Netzwerk zurückzuholen und sie in ein anderes soziales Netz zu übertragen. Dieses Recht lässt sich aber auch auf andere Funktionen und Bereiche übertragen, so dass sich hieraus auch Konsequenzen für andere Wirtschaftszweige ergeben können.
– Compliance-Nachweise
Datenverantwortliche Stellen sollen nach Art. 22 Nr. 1 der DSGVO Datenschutz-Policies und geeignete technische und organisatorische Maßnahmen vorhalten müssen, um die Einhaltung der DSGVO nachzuweisen. Zudem ist nach Art. 23 darauf zu achten, dass sowohl die Systeme, mit denen personenbezogene Daten verarbeitet werden, als auch die entsprechenden Arbeitsabläufe datenschutzfreundlich gestaltet sind. Diese Verpflichtung gilt auch für einen Auftragsdatenverarbeiter.
– Erstellung von Compliance Policies und Verfahrensweisen
Die DSGVO würde die Unternehmen dazu zwingen, ihre internen Datenschutzrichtlinien und diesbezügliche Maßnahmen erheblich auszuweiten und anzupassen. So ist nicht nur eine bloße Verpflichtung der Unternehmen vorgesehen, geeignete technische und organisatorische Richtlinien und Maßnahmen zu entwickeln. In Art. 22 DSGVO ist auch die Verpflichtung enthalten, diese alle 2 Jahre zu überarbeiten.
– Definition personenbezogener Daten:
Es soll eine zukunftstaugliche Definition personenbezogener Daten eingeführt werden: Alle Informationen, die direkt oder indirekt einer Person zugeordnet werden oder dafür benutzt werden können, eine Person aus einer Menge von Menschen herauszufiltern, gelten als personenbezogene Daten und müssen nach dem Richtlinienvorschlag geschützt werden. Dies ist gerade in Zeiten von „Big Data“ wichtig, in denen mehr und mehr Datensätze zusammengeführt, kombiniert und ausgewertet werden können.
Abschaffung der Meldepflicht / Durchführung von Folgenabschätzungen
Die bisher in § 4d BDSG enthaltene Meldepflicht soll durch die DSGVO abgeschafft werden. Als Ersatz hierfür werden sowohl die datenverantwortliche Stelle als auch der Auftragsdatenverarbeiter nach Art. 32a ff. DSGVO verpflichtet, im Vorfeld der geplanten Datenverarbeitung Risikoanalysen und datenschutzrechtliche Folgenabschätzungen durchzuführen. Werden hierbei besondere Risiken festgestellt, wäre evtl. die zuständige Datenschutzaufsichtsbehörde zu konsultieren, die die geplante Datenverarbeitung ggf. sogar untersagen kann. Diese Verpflichtung geht über die bisherige Vorabkontrolle, wie sie schon bisher von den Datenschutzbeauftragten bei bestimmten Verarbeitungsverfahren durchzuführen ist, weit hinaus. Insbesondere sollen die Risikoanalysen und Folgenabschätzungen laufend im Sinne eines kontinuierlichen „Lifecycle Datenschutz-Management“ überprüft und auditiert werden.

  • Was geschieht bei Verstößen?

Unternehmen sollen bei Verstößen einen Höchstbetrag von 100 Millionen EUR oder bis zu fünf Prozent ihres Jahresumsatzes zahlen müssen (je nach dem welcher Wert der höhere ist), wenn sie gegen das neue Gesetz verstoßen. Dies kann bei großen Konzernen mit einem erheblichen finanziellen Risiko einhergehen und soll verhindern, dass Unternehmen Datenschutzverletzungen einfach einkalkulieren. Darüber hinaus räumt der Entwurf den Betroffenen ausdrücklich das Recht ein, auch immateriellen Schadensersatz zu verlangen. Unternehmen könnten sich also künftig bei Verstößen gegen das Datenschutzrecht neben sehr hohen Geldbußen ebenso erheblichen Schadensersatzforderungen ausgesetzt sehen.

  • Bleibt es bei der Regelung, dass Unternehmen erst ab einer bestimmten Anzahl von Mitarbeitern, die personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten benennen müssen?

Der aktuelle Verordnungsentwurf verpflichtet Unternehmen die innerhalb eines Jahres Daten von mehr als 5.000 Betroffen verarbeiten, einen Datenschutzbeauftragten zu bestellen. Für gewisse Unternehmen schränkt diese Regelung die Verpflichtung zur Bestellung eines Datenschutzbeauftragten also ein, für andere Unternehmen weitet es sie aber aus. Es bleibt abzuwarten, ob dieser Schwellenwert eine sinnvolle Grenze bildet. Darüber hinaus müssen auch verantwortliche Stellen, die besonders sensible Datenverarbeitungen betreiben, einen Datenschutzbeauftragten bestellen.

  • Einheitliche Rechtsdurchsetzung:

Eine europäische Datenschutzaufsicht soll europäisches Datenschutzrecht effektiver durchsetzen und Entscheidungen treffen dürfen, die bisher in den Händen der nationalen Datenschutzbehörden lagen – wie es auch im EU-Wettbewerbsrecht und bei der EU-Bankenaufsicht ist. Damit ist ein „Race to the Bottom“ in Mitgliedsstaaten mit schwacher Rechtsdurchsetzung in Zukunft nicht mehr möglich. Der neue EU-Datenschutzausschuss soll die nationalen Aufsichtsbehörden aber auch unterstützen können. Datenschutzbehörden brauchen mehr Personal und mehr Geld.

  • Ein fester Ansprechpartner für ganz Europa:

Der „one-stop-shop“-Ansatz bedeutet: Kunden und Unternehmen sollen sich EU-weit nur noch an eine Datenschutzbehörde als Ansprechpartnerin wenden müssen. Für die Betroffenen bedeutet das, dass sie ihre Beschwerden an die Datenschutzbehörde in ihrem Mitgliedstaat richten können. Unternehmen müssen ebenfalls nur noch mit der Datenschutzbehörde des Mitgliedstaats zusammenarbeiten, in dem sich der Hauptsitz des Unternehmens befindet. Bei strittigen Fragen soll der neu gegründete Europäische Datenschutzausschuss das letzte Wort haben und nicht die Europäische Kommission. So soll die Unabhängigkeit der Datenschutzbehörden gewahrt werden.
FAZIT:
Es wird im Rahmen des Gesetzgebungsverfahrens sicher noch zu einigen Anpassungen der EU-Datenschutzgrundverordnung kommen. Es ist allerdings sinnvoll, sich schon jetzt mit den geplanten Änderungen vertraut zu machen, was nach aktuellem Stand bedeutet, dass:

  • für die Nutzung persönlicher Daten eine frei abgegebene, spezifische und informierte Einwilligung des Betroffenen erforderlich sein wird. Die Einwilligung darf nicht im Kleingedruckten abgefragt werden, sondern muss gut sichtbar erfolgen, z. B. durch standardisierte, einfach zu erkennende Symbole (Icons);
  • Unternehmen werden nur dann Nutzerprofile erstellen dürfen, wenn die Nutzer dem zugestimmt haben (z. B. durch entsprechende Privatsphäre-Einstellungen ihres Browsers;
  • die Rechte der Betroffenen, insbesondere auf Löschung, gestärkt werden und ein umfassendes Verbot der Datenweitergabe (insbesondere ins Ausland) ohne rechtliche Grundlage geschaffen wird;
  • die Datenweitergabe an Drittstaaten  ausschließlich auf Grundlage von EU-Recht möglich sein wird. (Eine Ausnahme soll aber z. B. das Safe-Harbor-Abkommen für die Datenübermittlung an die USA sein, das derzeit wg. der NSA-Enthüllungen auf dem Prüfstand steht);
  • die Bußgelder bei Verstößen gegen den Datenschutz signifikant erhöht werden;
  • die Pflicht zur Bestellung eines Datenschutzbeauftragten nun für alle Firmen besteht, die innerhalb eines Jahres Daten von mehr als 5.000 Betroffen verarbeiten. Auf die Mitarbeiterzahl wird es dabei nicht mehr ankommen.

Der derzeitige Stand des Gesetzgebungsverfahrens lässt schon jetzt gut erkennen, in welche Richtung sich das Datenschutzrecht auf nationaler und europäischer Ebene entwickeln wird. Unternehmen ist zu empfehlen, sich bereits jetzt in Grundzügen mit den geplanten Änderungen vertraut zu machen, damit Datenverarbeitungsprozesse, die in Kürze erst eingeführt werden sollen, nicht abermals geändert werden müssen. Bei Fragen zur Umsetzung von Datenschutz im Unternehmen stehen wir Ihnen beratend zur Seite!
Bildnachweis: © Tanja Bagusat – Fotolia.com
 
 

An den Anfang scrollen