protection - black and green umbrellas

Insights

Eini­gung im Trilog zur EU-Daten­­schutz-Grund­­verord­nung erzielt

Reform des euro­pä­ischen Daten­­schutz­­rechts auf der Ziel­geraden

Die Einigung der zuständigen EU Organe auf einen gemeinsamen Text für die neue EU-DSGVO ist ein Meilenstein der Reform des europäischen Datenschutzrechts und gleichzeitig Startschuss für Strategien zur EU-Datenschutz-Compliance. Für die Schaffung eines einheitlichen Datenschutzrahmens in der EU bedarf es lediglich noch der finalen Verabschiedung durch das Europäische Parlament. Diese wird für Anfang des Jahres 2016 erwartet.

Am 15. Dezember 2015 endeten die sog. Trilog-Verhandlungen zwischen dem Rat der Europäischen Union, dem Europäischen Parlament sowie der Europäischen Kommission zur EU-Datenschutz-Grundverordnung (EU-DSGVO). War man zu Beginn der Trilog-Verhandlungen im Juni 2015 noch mit drei teils voneinander abweichenden Versionen der EU-DSGVO gestartet, konnten sich die Verhandlungsführer nunmehr auf eine gemeinsame Textfassung einigen.

Neben der Vereinheitlichung des europäischen Datenschutzrechts, ist zentrales Ziel der EU-DSGVO, die aus 1995 datierende EU-Datenschutzrichtlinie durch ein an die Entwicklungen der Technik und neue Technologien (u.a. Big Data, Internet of Things) orientiertes Regelwerk abzulösen. Die EU-DSGVO wird nach einer Übergangsfrist von 2 Jahren nach offizieller Veröffentlichung im Amtsblatt der EU für sämtliche EU-Mitgliedsstaaten einheitliche Regelungen zum Datenschutz vorgeben.

Neben den bereits vielfach diskutierten drohenden Sanktionen für Datenschutzverstöße mit Bußgeldern von bis zu vier Prozent des weltweiten Jahresumsatzes oder bis zu EUR 20 Mio., erscheinen vor allem diejenigen Regelungen der EU-DSGVO spannend, die sich sowohl auf die Gestaltung der Geschäftsprozesse als auch das Produktportfolio von Unternehmen auswirken. An dieser Stelle lassen sich nur ausgewählte Themen, die wir als bislang wenig diskutiert obwohl zukunftsweisend erachten, wie folgt kurz umreißen:

Haftung

  • Erweitertes Haftungsrisiko: Artikel 77 Absatz 1 sieht neben dem Ersatz materieller Schäden auch den Ersatz sämtlicher immaterieller Schäden vor. Das deutsche Recht kennt den Ersatz immaterieller Schäden lediglich als gesetzlichen Ausnahmetatbestand, die unbeschränkte Haftung für immaterielle Schäden stellt ein neues Haftungsrisiko dar.
  • Hohe Anforderungen an Enthaftung: Gemäß Artikel 77 Absatz 3 haften die verantwortliche sowie die datenverarbeitende Stelle, soweit nicht der Nachweis gelingt, dass die jeweilige Stelle „not in any way responsible“ für den Schaden ist.

Ob und inwieweit zu immateriellen Schäden Versicherungslösungen im Markt angeboten werden, dürfte in Anbetracht der Schwierigkeiten zur Risikokalkulation fraglich sein, jedenfalls aber die Versicherer in der Übergangszeit vor eine Herausforderung stellen. Unabhängig davon dürfte in Zukunft die Vereinbarung geeigneter Haftungsregelungen mit Auftragnehmern zur Datenvereinbarung an Bedeutung gewinnen, um das erhöhte Haftungsrisiko abzufangen.

 

Vertragsgestaltung

  • Internationaler Datentransfer
    • Die EU-DSGVO hält am Instrument der Binding Corporate Rules sowie den sog. EU Standardvertragsklauseln fest (Artikel 42).
    • Es ist fraglich, wie sich das ausdrückliche Verankern der EU Standardvertragsklauseln zu den jüngsten Feststellungen des EuGH zum Safe Harbor Abkommen verhält. Denn als Konsequenz des EuGH-Urteils haben die deutschen Datenschutzbehörden die EU-Standardvertragsklauseln derzeit ausdrücklich lediglich als Zwischenlösung angesehen bis zum Abschluss eines neuen internationalen Datenschutzabkommens zwischen EU Kommission und den USA.
    • Hierzu wird noch zu verfolgen sein, welche Abstimmung und ggf. Klarstellung durch die Artikel 29-Arbeitsgruppe auf EU Ebene erfolgt.
  • Auftragsdatenverarbeitung
    • Die EU-DSGVO wirft ein neues Licht auf die in Deutschland mit der Reform des BDSG verpflichtend eingeführte ADV-Vereinbarung gemäß § 11 BDSG.
    • Über Jahre hinweg haben Unternehmen aller Branchen Standardvereinbarungen zur Datenverarbeitung etabliert und sogar Altverträge, welche vor Inkrafttreten der Regelung abgeschlossen wurden, angepasst. Zwingender Gegenstand der ADV-Vereinbarungen ist insbesondere eine detaillierte Übersicht der technischen und organisatorischen Maßnahmen der datenverarbeitenden Stelle sowie entsprechende Kontroll- und Weisungsrechte der verantwortlichen Stelle. Da die EU-DSGVO jedoch zukünftig die nationalen Datenschutzvorschriften ersetzen wird, entfällt auch die Regelung gemäß § 11 BDSG und es stellt sich die Frage, ob und ggf. was in Zukunft vertraglich zu vereinbaren sein wird.
    • Die EU-DSGVO regelt zwar in Artikel 22 Absatz 1 die generelle Pflicht der zuständigen Stelle zur Einrichtung geeigneter technischer und organisatorischer Maßnahmen, um die datenschutzrechtlichen Anforderungen zu „erfüllen und nachzuweisen“. Näher konkretisiert wird diese Pflicht jedoch lediglich dahingehend, dass, „wo angemessen“ im Verhältnis zur konkreten Datenverarbeitung, „Data Protection Policies“ einzuführen sind (Artikel 22 Absatz 2a). Zudem kann der Nachweis durch die Implementierung sog. Code of Conduct (Artikel 38) oder die Zertifizierung (Artikel 39, s. hierzu auch unten) geführt werden.

Unternehmen müssen sich deshalb darauf einstellen, dass die EU-DSGVO auch Auswirkungen auf die Vertragsgestaltung im Bereich des Datentransfers und der Datenverarbeitung mit sich bringt.

  • Im Bereich des internationalen Datentransfers kann keine isolierte Betrachtung der EU-DSGVO erfolgen, sondern diese muss auch im Lichte der Entwicklungen zu Safe Harbor verstanden werden.
  • Für die Auftragsdatenverarbeitung wird zukünftig im Einzelfall zu prüfen sein, welche Art und Umfang der Vereinbarung aufgrund der konkreten Datenverarbeitung erforderlich wird.
  • Auch im Bereich der internen Unternehmensregelungen wird es zu Anpassungen im Bereich des Datenschutzes kommen müssen. Denn bestehende interne Instrumente werden angepasst oder erst noch geschaffen werden müssen sowie Strategien zur Zertifizierung geprüft und ggf. entwickelt werden müssen, um den Nachweis der Erfüllung der datenschutzrechtlichen Anforderungen leisten zu können.

 

Technische Standards und Zertifizierung

Vereinzelt zu vernehmender Kritik an der EU-DSGVO als nicht zukunftsweisend genug ist jedenfalls damit entgegenzutreten, dass die EU-DSGVO einige „Trend-Ansätze“ enthält, die – bei konsequenter Umsetzung in der Praxis – als Grundsätze eines modernen Datenschutzrechts verstanden werden können.

  • Artikel 23: Data protection by design and by default
    • Die EU-DSGVO sieht konkrete Regelungen zur Umsetzung datenschutzrechtlicher Anforderungen bereits auf Ebene der technischen Implementierung vor und liegt damit „im Trend“ vergleichbarer technologiegetriebener Ansätze, insbesondere im Bereich der IT-Sicherheit.
  • Artikel 39: Certification
    • Es wird zukünftig möglich sein, sich die Übereinstimmung mit den datenschutzrechtlichen Anforderungen gemäß EU-DSGVO offiziell „besiegeln“ zu lassen. Es wird insbesondere eine Zertifizierung durch das European Data Protection Board möglich sein, womit Unternehmen das „European Data Protection Seal“ erhalten.
    • Die Zertifizierung stellt nicht nur die Möglichkeit zur Absicherung der Compliance dar, sondern kann als auch Instrument zur Reaktion auf die erhöhten Haftungsrisiken genutzt werden. Denn wie oben dargestellt sind die Anforderungen an eine mögliche Enthaftung hoch und bedürfen dem Nachweis der umfassenden datenschutzrechtlichen Compliance.

Es bleibt abzuwarten, inwieweit der Markt diese Instrumente nutzen wird und ob hierdurch sogar ein dem Gedanken der Selbstregulierung nahe kommendes Datenschutzregime etabliert werden kann. Auf dem Weg zu einer EU-weiten Vereinheitlichung des Datenschutzrechts darf mit Blick auf die in verschiedenen Mitgliedstaaten unterschiedlich verstandenen Begriffe der EU-DSGVO die Bedeutung von international geltender „technischer Sprache“ nicht unterschätzt werden. Damit wird zukünftig auch das Thema Datenschutz mehr und mehr zur interdisziplinären Aufgabe zwischen Recht und Technik und Instrumente wie internationale Standardisierung und Zertifizierungen rücken in den Fokus einer dauerhaften Strategie zur EU-Datenschutz-Compliance.

 

Vollzug der EU-DSGVO und Zuständigkeiten

In der gebotenen Kürze soll an dieser Stelle ein Hinweis auf möglicherweise veränderte Zuständigkeiten im Bereich der Aufsicht und des Vollzugs der EU-DSGVO erfolgen.

Bislang sind gemäß § 38 Absatz 6 BDSG die Landesdatenschutzbehörden mit dem Vollzug des Bundesdatenschutzgesetzes betraut. Fraglich ist, wie sich die EU-DSGVO auf diese Zuständigkeit auswirken wird. Denn gemäß Artikel 46 ff ist ein Zusammenspiel zwischen den sog. Supervisory Authorities, also den Aufsichtsbehörden der Mitgliedstaaten, und dem gemeinsamen European Data Protection Board vorgesehen. Zwar soll es möglich sein, mehr als eine Supervisory Authority je Mitgliedsstaat einzurichten. Allerdings scheint den weiteren Regelungen zur Aufsicht, insbesondere zur Vertretung der Mitgliedstaaten im European Data Protection Board, dem Verfahren zur Bestimmung der „Mitglieder“ einer Supervisory Authority sowie deren Finanzierung ersichtlich das Leitbild einer zentralen Struktur zugrunde zu liegen. Aufgrund der föderalen Struktur in Deutschland muss deshalb die Frage der Zuständigkeit noch geklärt und ggf. angepasst werden.

 

Fazit

Die zweijährige Übergangsfrist sollte als Anreiz verstanden werden, um sich bereits jetzt mit den Regelungen der EU-DSGVO und in Konsequenz auch mit der Etablierung einer umfangreichen EU-Datenschutz-Compliance auseinanderzusetzen. In diesem Zusammenhang wird bislang im Wesentlichen immer wieder auf die drohenden Sanktionen für Datenschutzverstöße mit Bußgeldern von bis zu vier Prozent des weltweiten Jahresumsatzes oder bis zu EUR 20 Mio. hingewiesen oder es werden Neuregelungen wie zur Bestellung der betrieblichen Datenschutzbeauftragten diskutiert. Spannend erscheinen jedoch vor allem diejenigen Regelungen der EU-DSGVO, die sich sicher sowohl auf die Gestaltung der Geschäftsprozesse als auch das Produktportfolio von Unternehmen auswirken. Nutzen Sie die verbleibende Zeit effektiv, um insbesondere im Hinblick auf die vorstehend aufgezeigten inhaltlichen Themen etwaige Handlungsbedarfe rechtzeitig zu identifizieren.

Did you find this useful?

Related topics