
Die neue Europäische Datenschutz-Grundverordnung
Am 15.12.2015 hat der EU-Trilog eine Einigung auf die endgültige Version einer künftigen EU-Datenschutz-GVO erzielt.
Europäischer Rat, Europäisches Parlament und Europäische Kommission haben sich über den endgültigen Inhalt der neuen EU-Datenschutz-Grundverordnung geeinigt. Diese soll Anfang 2018 in Kraft treten und die bereits seit 1995 geltende EU-Datenschutzrichtlinie ersetzen.
Einheitlicher Datenschutz in Europa durch EU-Datenschutz-Grundverordnung
Ziel der neuen EU-Datenschutz-Grundverordnung ist eine Vereinheitlichung des Datenschutzrechts innerhalb Europas. Dadurch soll der Einzelne mehr Kontrolle über seine Daten erhalten. Insbesondere soll ein gerechter Ausgleich zwischen dem allgemeinen freien Datenverkehr und dem individuellen Schutz personenbezogener Daten innerhalb der Union gewährleistet werden.
Die Datenschutz-Grundverordnung wird der Systematik des Bundesdatenschutzgesetzes (BDSG) ähnlich sein. Grundsätzlich wird der Umgang mit personenbezogenen Daten untersagt sein, außer die Datenschutz-Grundverordnung, eine andere gesetzliche Grundlage oder eine Einwilligung des Betroffenen erlauben dies. Folgerichtig werden zukünftig in allen EU-Staaten die gleichen Standards beim Datenschutz gelten. Insbesondere sollen Nutzer leichteren Zugang zu ihren Daten haben. Zudem wird der Nutzer Anspruch auf klare und leicht verständliche Informationen darüber haben, wer seine Daten zu welchem Zweck wie und wo verarbeitet.
Nach einer Pressemitteilung des Europäischen Parlaments bestehen die wichtigsten Änderungen in folgenden Punkten:
- Verarbeitung der Daten nur nach ausdrücklicher Einwilligung: Der Nutzer soll Herr seiner Daten werden. Er soll seine Einwilligung auch leicht wieder zurückziehen können dürfen.
- Kinder und soziale Medien: Kinder unter einem bestimmten Alter benötigen die Zustimmung der Eltern, um ein Social-Media-Konto zu eröffnen, wie zum Beispiel bei Facebook, Instagram oder Snapchat. Dies ist bereits in den meisten EU-Ländern üblich. Die neuen flexiblen Vorschriften räumen den Mitgliedstaaten einen Spielraum für die Altersgrenzen ein (allerdings muss diese mindestens bei 13 und höchstens bei 16 Jahren liegen). Diese Flexibilität wurde auf den auf den dringenden Wunsch der Mitgliedstaaten beibehalten. Das Verhandlungsteam des Parlaments hätte eine EU-weite Altersgrenze von 13 Jahren vorgezogen.
- Recht auf Vergessenwerden: Die Verbraucher sollten ihre Einwilligung geben müssen, aber genauso einfach sollten sie sie auch wieder zurückziehen können. Sie bekommen ein „Recht auf Vergessenwerden“, d. h. ein Recht darauf, dass auf ihren Wunsch ihre persönlichen Daten aus den Speichern von Unternehmen auch wieder gelöscht werden müssen.
- Datenlecks oder „gehackte“ Daten: Bei Verstößen gegen den Schutz personenbezogener Daten müssen die Anbieter die zuständigen Behörden so schnell wie möglich informieren, sodass die Nutzer geeignete Maßnahmen ergreifen können.
- Verständliche Sprache: Die Abgeordneten haben darauf bestanden, dass die neuen Vorschriften die Praxis des „Kleingedruckten“ abschaffen müssen. Die Verbraucher sollen in klarer, verständlicher Sprache und mit leicht verständlichen Symbolen informiert werden, bevor die Daten gespeichert werden.
- Strafen: Wenn Firmen gegen die Regeln verstoßen, drohen ihnen Strafen von bis zu vier Prozent des Jahresumsatzes.
- Unternehmen müssen Datenschutzbeauftragte anstellen: Unternehmen müssen einen Datenschutzbeauftragten benennen, wenn sie im großen Ausmaß sensible Daten verarbeiten oder das Verhalten vieler Verbraucher überwachen. KMU sind von dieser Vorschrift ausgenommen, es sei denn, die Datenverarbeitung ist ihre Haupttätigkeit.
- Zentrale Anlaufstellen für Beschwerden und die Durchsetzung der neuen Regeln: Die nationalen Datenschutzbehörden werden ausgebaut und sollen zu zentralen Anlaufstellen für Bürger werden, wo sie ihre Beschwerden über Verstöße gegen die Datenschutzvorschriften einreichen können. Die Zusammenarbeit zwischen diesen nationalen Behörden soll erheblich verstärkt werden, um einen einheitlichen Schutz der personenbezogenen Daten innerhalb der Union sicherzustellen.
US-Unternehmen an europäisches Datenschutzrecht gebunden
Die Verordnung verbietet auch weiterhin die Übermittlung von personenbezogenen Daten in Drittländer. Als Ausnahme gilt, wenn die Kommission für das Empfängerland eine Angemessenheitsentscheidung getroffen hat, die Parteien für angemessene Garantien gesorgt (z. B. über die sog. Standardvertragsklauseln) haben oder konzernintern sog. Binding Corporate
Rules bestehen.
Zudem dürfen Anfragen von Gerichten oder Behörden von Drittländern nur dann zu einer Datenübermittlung führen, wenn dies auf einem Rechtshilfeabkommen basiert. Dies wird viele Unternehmen vor Probleme stellen, wenn sie z. B. aus den USA sog. pre-trial discovery requests erhalten.
Fazit
Während einige Stimmen in der neuen Verordnung eine Bevormundung des Bürgers sehen, dem die Abgabe einer rechtswirksamen Einwilligungserklärung durch die geplanten Regelungen erheblich erschwert wird, loben andere Stimmen die Reform als Meilenstein im Verbraucherdatenschutz. Mit der geplanten Datenschutzgrundverordnung werde endlich der bislang bestehende Flickenteppich an innerhalb Europas bestehenden datenschutzrechtlichen Regelungen beseitigt.
Bei Fragen sprechen Sie uns gerne an.