Einigung über die EU-Datenschutzreform

Von K.ThomasBlog-Artikel

Die Europäische Kommission hatte ihren Vorschlag für eine Reform des europäischen Datenschutzrechts bereits im Januar 2012 vorgelegt, um Europa für das digitale Zeitalter fit zu machen (IP/12/46). Im Dezember 2015 gelangten das Europäische Parlament und der Rat nach den abschließenden Verhandlungen, den sogenannten „Trilog“-Sitzungen, an denen auch die Kommission teilnimmt, zu einer Einigung.

Unternehmen arbeiten zunehmend international, Datenschutz ist kein nationales Thema, welches an den Landesgrenzen aufhört – das zeigt die derzeitige Safe-Harbour-Debatte sehr deutlich (Stichwort: Facebook). Sowohl für Unternehmen als auch für die Bürger in Europa wäre es deutlich einfacher, sich auf Datenschutz-Themen einzurichten, wenn es in der ganzen EU ein einheitliches Datenschutzrecht gäbe. Das kann bald Wirklichkeit werden: das Reformpaket setzt dem derzeit in der EU bestehenden Flickenteppich von Datenschutzvorschriften ein Ende.

Somit profitieren Unternehmen von der Rechtssicherheit und müssen sich bei einer grenzüberschreitenden Tätigkeit nicht auf mehrere unterschiedliche und möglicherweise sogar in Konflikt zueinander stehende nationale Vorgaben einstellen. Die Bürger („Verbraucher“) können sich im Gegenzug darauf verlassen, dass es ein einheitliches Niveau in bezug auf den Schutz ihrer Daten gibt – unabhängig davon, wo ein Unternehmen seinen Sitz hat oder wo die Daten verarbeitet werden. Das neue Recht wird dann auch für US-Unternehmen gelten, die im europäischen Markt aktiv werden: das bisherige Argument, außerhalb der EU nicht an das nationale Recht gebunden zu sein, kann nicht mehr verwendet werden.

Die Datenschutzreform betrifft zwei Rechtsinstrumente:

  • Die Datenschutz-Grundverordnung (DSGVO) wird den Bürgern eine bessere Kontrolle ihrer personenbezogenen Daten ermöglichen. Gleichzeitig werden Unternehmen dank moderner, einheitlicher Regeln, die den Verwaltungsaufwand verringern und das Vertrauen der Verbraucher stärken, die Chancen, die der digitale Binnenmarkt bietet, besser nutzen können.
  • Die Richtlinie für den Datenschutz bei Polizei und Strafjustiz wird sicherstellen, dass die Daten von Opfern, Zeugen und Verdächtigen bei strafrechtlichen Ermittlungen oder im Strafverfahren ausreichend geschützt sind. Stärker harmonisierte Rechtsvorschriften werden auch die grenzübergreifende Zusammenarbeit von Polizei und Staatsanwaltschaft im Interesse einer wirksameren Bekämpfung von Kriminalität und Terrorismus in Europa erleichtern.

Was ist neu ?

Das deutsche Bundesdatenschutzgesetz (BDSG) sieht auch heute schon einen Rahmen für die Verarbeitung personenbezogener Daten im Unternehmen vor. Gegenüber dem bisherigen Regelungsrahmen sieht die neue DS-GVO insbesondere die folgenden Punkte vor:

  • Zustimmung: diese muss ausdrücklich eingeholt werden, ein Hinweis im „Kleingedruckten“ reicht nicht aus,
  • Mindestalter: 16 Jahre, anderenfalls muss die Zustimmung der Eltern eingeholt werden. (Dies könnte durch nationales Recht übersteuert werden.),
  • Privacy by Design: Produkte müssen datenschutzfreundlich gestaltet sein, entsprechende Voreinstellungen datenschutzfreundlich konfiguriert sein,
  • Datenlecks: Informationspflicht der Benutzer durch den Anbieter,
  • Recht auf Vergessenwerden: Informationen müssen sich auf Wunsch des Verbrauchers leichter löschen lassen,
  • Portabilität: einfachere Datenübernahme von einem Anbieter zu einem anderen,
  • Beschwerden: Einrichtung einer heimischen Beschwerdestelle, die in der Sprache des Verbrauchers helfen kann,
  • Strafen: drohen in einer Höhe von bis zu 4% des Jahresumsatzes.

Neu ist auch, dass Dienstleister, welche eine Auftragsdatenverarbeitung durchführen, noch stärker in der Pflicht stehen und sich direkten Ansprüchen von Verbrauchern ausgesetzt sehen können.

Kritik

Es gibt auch deutliche Kritik an der Reform – meist dahingehend, dass das neue Recht als „kontrollbesessen und bürokratisch“ eingestuft wird, anstatt den mündigen Bürger selbst entscheiden zu lassen. Die Einwilligung, die ein Kunde zur Verarbeitung seiner Daten gegenüber einem Unternehmen erklärt, wird in einigen Fällen als unwirksam betrachtet. Auf der anderen Seite besteht hier Handlungsbedarf, denn nicht jeder Einwilligung liegt heutzutage eine Transparenz zugrunde, die einem mündigen Kunden tatsächlich eine objektive Entscheidungsgrundlage bietet – dazu sind die in den Unternehmen getroffenen Schutzmaßnahmen zu intransparent, und vielfach ist eine Nutzung ohne eine relativ umfassende pauschale Einwilligung derzeit oft schlicht nicht möglich.

Ein weiterer Kritikpunkt ist, dass einige Regelungen, die sich aufgrund des relativ weit ausgeprägten BDSG in Deutschland gebildet haben, nicht in angemessenem Umfang in die europäische Verordnung eingeflossen sind (beispielsweise die bewährte Pseudonymisierung von Daten). Auch wird nicht nach der Unternehmensgröße differenziert: das kleine Startup ist ebenso betroffen wie die Internetriesen namens Facebook & Co.

Maßnahmen

Mit Blick auf die Datenschutz-Grundverordnung sind die Maßnahmen und Prozesse im Unternehmen zu prüfen. IT-Systeme, Schnittstellen und Dokumentationen sind anzupassen, Mitarbeiter zu schulen, Verträge anzupassen.

Voraussichtlich tritt die DS-GVO Anfang 2018 in Kraft. Aufgrund der zweijährigen Übergangszeit bleibt den Unternehmen noch etwas Zeit, sich auf die neue Rechtslage einzustellen – es ist empfehlenswert, frühzeitig damit zu beginnen und die Entwicklung im Auge zu behalten.

 

Schreibe einen Kommentar