Article

Datenschutzgrundverordnung kommt

EU einigt sich auf neuen rechtlichen Rahmen zum Datenschutz

Am 15.12.2015 einigten sich die europäischen Institutionen auf einen gemeinsamen Text der EU-Datenschutzgrundverordnung (DSGV). Die DSGV war 2012 von der EU-Kommission vorgeschlagen worden, und wird die EU-Datenschutzrichtlinie aus dem Jahr 1995 ablösen.

Mit der DSGV wird es erstmalig einen einheitlichen Rechtsrahmen zum Datenschutz geben, der ab 2018 unmittelbar in allen 28 EU-Mitgliedsstaaten verbindlich ist.

Änderungen in der Datenschutzlandschaft für Unternehmen
Mit dem neuen Rechtsrahmen beabsichtigt die EU, die Rechte der Bürger über die Nutzung ihrer persönlichen Daten zu stärken und gleichzeitig das regulatorische Umfeld für Unternehmen zu harmonisieren. Gleichzeitig wird ein „One-Stop-Shop“-Mechanismus etabliert, so dass künftig sowohl für Bürger als auch für Unternehmen ihre jeweilige nationale Datenschutzbehörde als Ansprechpartner dient, deren Handlungen innerhalb der EU verbindlich anerkannt werden. Neben der direkten Klagemöglichkeit, können Bürger darüber hinaus künftig auch Sammelklagen beitreten (z.B. von Verbraucherschutzorganisationen) – soweit nach nationalem Recht zulässig.

Die Erfüllung von Datenschutzanforderungen (Privacy by Design) ist durch angemessene technische Maßnahmen (z.B. Pseudonymisierung) vor und während der Verarbeitung sicherzustellen. Das mögliche Strafmaß bei Verstößen gegen das Gesetz oder Verletzung der Persönlichkeitsrechte beträgt für Unternehmen bis zu 20 Millionen Euro oder 4% der weltweiten jährlichen Umsatzerlöse. Die Strafe kann von jeder nationalen Datenschutzbehörde innerhalb der EU verhängt werden. 

Unverändert bestehen bleibt eine bereits im Bundesdatenschutzgesetz (BDSG) enthaltene Meldepflicht von Datenschutzverletzungen an die Aufsichtsbehörden.

Öffentliche Stellen sowie Unternehmen, die personenbezogene Daten in großem   Umfang verarbeiten (z.B. regelmäßiges und systematisches Monitoring oder Verarbeitung sensibler personenbezogener Daten), sind zur Bestellung eines Datenschutzbeauftragten verpflichtet. Dieser soll die Einhaltung der Vorschriften der DSGV überwachen und fungiert als Ansprechpartner im Unternehmen sowohl für betroffene Mitarbeiter, Kunden etc. als auch für die Aufsichtsbehörden. Darüber hinausgehende nationale Regelungen für die Bestellung eines Datenschutzbeauftragten, wie beispielsweise im BDSG, sind weiterhin zulässig.

Um die Belange des Datenschutzes auch bei neuen oder veränderten Geschäftsmodellen, Prozessen oder Systemen angemessen zu berücksichtigen, verfolgt die DSGV das Prinzip des Privacy by Design. Danach sind Unternehmen verpflichtet, bei Vorliegen potenziell hoher Risiken für die Rechte der Betroffenen ein Data Protection Impact Assessment (DPIA)  durchzuführen, um die Risiken detailliert zu beurteilen, und ggf. angemessene Maßnahmen zum Schutz der Privatsphäre zu etablieren. Das DPIA  hat vor Beginn   der Verarbeitung personenbezogener Daten zu erfolgen.

Neben der Bestätigung wesentlicher Datenschutzprinzipien wie der informierten Einwilligung durch die Betroffenen, Zweckbindung, Datensparsamkeit, Lösch- und Sperranforderungen, Richtigkeit, Vertraulichkeit und Datenintegrität rückt die DSGV das Prinzip der Rechenschaftspflicht stärker in den Fokus. Daraus resultiert, dass die für die Verarbeitung verantwortliche Stelle (Data Controller) für die Einhaltung der DSGV nicht nur verantwortlich ist, sondern auch in der Lage ist, dies nachzuweisen. Darin eingeschlossen sind u.a. Richtlinien und Verfahren zum Datenschutz und zur Informationssicherheit, Verfahrensbeschreibungen für die Verarbeitung personenbezogener Daten sowie die Durchführung von Datenschutztrainings, DPIAs und Datenschutzaudits. 

Stärkung der Bürgerrechte
Einer der zentralen Beweggründe der EU für den neuen rechtlichen Rahmen war die Stärkung der Bürgerrechte vor dem Hintergrund der zunehmenden Digitalisierung. Insbesondere bestätigt die DSGV das so genannte „Right to be forgotten“ (Recht auf Vergessenwerden). Daraus ergibt sich für Unternehmen die Verpflichtung, personenbezogene Daten auf Anforderung des Betroffenen unter bestimmten Umständen zu löschen.

Außerdem wurde das Alter, ab dem Kinder und Jugendliche Verträge über Online-Services (z.B. E-Commerce oder soziale Netzwerke) abschließen dürfen, auf 16 Jahre festgesetzt. In einigen Mitgliedsstaaten ist weiterhin ein niedrigeres Alter zulässig.


Nationale Unterschiede sind weiterhin möglich
Die mit der DSGV angestrebte Vereinheitlichung der europäischen Datenschutzgesetze konnte nicht vollständig erreicht werden. Einzelne EU-Mitgliedsstaaten können weitergehende Regelungen in Kraft setzen, beispielsweise im Hinblick auf die Bestellung von betrieblichen Datenschutzbeauftragten – wie es sich derzeit in Deutschland abzeichnet. Insoweit werden die für Datenschutz im Unternehmen verantwortlichen Personen auch zukünftig nicht umhinkommen, auch nationale Datenschutzgesetze in der EU zu beobachten.

Fanden Sie diese Information hilfreich?

Verwandte Themen