Fachartikel & News

Die neue Europäische Datenschutz-Grundverordnung

Am 15.12.2015 hat der EU-Trilog eine Einigung auf die endgültige Version einer künftigen EU-Datenschutz-GVO erzielt.


Europäis­ch­er Rat, Europäis­ches Par­la­ment und Europäis­che Kom­mis­sion haben sich über den endgülti­gen Inhalt der neuen EU-Daten­schutz-Grund­verord­nung geeinigt. Diese soll Anfang 2018 in Kraft treten und die bere­its seit 1995 gel­tende EU-Daten­schutzrichtlin­ie ersetzen.

Einheitlicher Datenschutz in Europa durch EU-Datenschutz-Grundverordnung

Ziel der neuen EU-Daten­schutz-Grund­verord­nung ist eine Vere­in­heitlichung des Daten­schutzrechts inner­halb Europas. Dadurch soll der Einzelne mehr Kon­trolle über seine Dat­en erhal­ten. Ins­beson­dere soll ein gerechter Aus­gle­ich zwis­chen dem all­ge­meinen freien Daten­verkehr und dem indi­vidu­ellen Schutz per­so­n­en­be­zo­gen­er Dat­en inner­halb der Union gewährleis­tet werden.

Die Daten­schutz-Grund­verord­nung wird der Sys­tem­atik des Bun­des­daten­schutzge­set­zes (BDSG) ähn­lich sein. Grund­sät­zlich wird der Umgang mit per­so­n­en­be­zo­ge­nen Dat­en unter­sagt sein, außer die Daten­schutz-Grund­verord­nung, eine andere geset­zliche Grund­lage oder eine Ein­willi­gung des Betrof­fe­nen erlauben dies. Fol­gerichtig wer­den zukün­ftig in allen EU-Staat­en die gle­ichen Stan­dards beim Daten­schutz gel­ten. Ins­beson­dere sollen Nutzer leichteren Zugang zu ihren Dat­en haben. Zudem wird der Nutzer Anspruch auf klare und leicht ver­ständliche Infor­ma­tio­nen darüber haben, wer seine Dat­en zu welchem Zweck wie und wo verarbeitet.

Nach ein­er Pressemit­teilung des Europäis­chen Par­la­ments beste­hen die wichtig­sten Änderun­gen in fol­gen­den Punkten:

  • Ver­ar­beitung der Dat­en nur nach aus­drück­lich­er Ein­willi­gung: Der Nutzer soll Herr sein­er Dat­en wer­den. Er soll seine Ein­willi­gung auch leicht wieder zurückziehen kön­nen dürfen.
  • Kinder und soziale Medi­en: Kinder unter einem bes­timmten Alter benöti­gen die Zus­tim­mung der Eltern, um ein Social-Media-Kon­to zu eröff­nen, wie zum Beispiel bei Face­book, Insta­gram oder Snapchat. Dies ist bere­its in den meis­ten EU-Län­dern üblich. Die neuen flex­i­blen Vorschriften räu­men den Mit­glied­staat­en einen Spiel­raum für die Alters­gren­zen ein (allerd­ings muss diese min­destens bei 13 und höch­stens bei 16 Jahren liegen). Diese Flex­i­bil­ität wurde auf den auf den drin­gen­den Wun­sch der Mit­glied­staat­en beibehal­ten. Das Ver­hand­lung­steam des Par­la­ments hätte eine EU-weite Alters­gren­ze von 13 Jahren vorgezogen.
  • Recht auf Vergessen­wer­den: Die Ver­brauch­er soll­ten ihre Ein­willi­gung geben müssen, aber genau­so ein­fach soll­ten sie sie auch wieder zurückziehen kön­nen. Sie bekom­men ein „Recht auf Vergessen­wer­den“, d. h. ein Recht darauf, dass auf ihren Wun­sch ihre per­sön­lichen Dat­en aus den Spe­ich­ern von Unternehmen auch wieder gelöscht wer­den müssen.
  • Daten­lecks oder „gehack­te“ Dat­en: Bei Ver­stößen gegen den Schutz per­so­n­en­be­zo­gen­er Dat­en müssen die Anbi­eter die zuständi­gen Behör­den so schnell wie möglich informieren, sodass die Nutzer geeignete Maß­nah­men ergreifen können.
  • Ver­ständliche Sprache: Die Abge­ord­neten haben darauf bestanden, dass die neuen Vorschriften die Prax­is des „Kleinge­druck­ten“ abschaf­fen müssen. Die Ver­brauch­er sollen in klar­er, ver­ständlich­er Sprache und mit leicht ver­ständlichen Sym­bol­en informiert wer­den, bevor die Dat­en gespe­ichert werden.
  • Strafen: Wenn Fir­men gegen die Regeln ver­stoßen, dro­hen ihnen Strafen von bis zu vier Prozent des Jahresumsatzes.
  • Unternehmen müssen Daten­schutzbeauf­tragte anstellen: Unternehmen müssen einen Daten­schutzbeauf­tragten benen­nen, wenn sie im großen Aus­maß sen­si­ble Dat­en ver­ar­beit­en oder das Ver­hal­ten viel­er Ver­brauch­er überwachen. KMU sind von dieser Vorschrift ausgenom­men, es sei denn, die Daten­ver­ar­beitung ist ihre Haupttätigkeit.
  • Zen­trale Anlauf­stellen für Beschw­er­den und die Durch­set­zung der neuen Regeln: Die nationalen Daten­schutzbe­hör­den wer­den aus­ge­baut und sollen zu zen­tralen Anlauf­stellen für Bürg­er wer­den, wo sie ihre Beschw­er­den über Ver­stöße gegen die Daten­schutzvorschriften ein­re­ichen kön­nen. Die Zusam­me­nar­beit zwis­chen diesen nationalen Behör­den soll erhe­blich ver­stärkt wer­den, um einen ein­heitlichen Schutz der per­so­n­en­be­zo­ge­nen Dat­en inner­halb der Union sicherzustellen.

US-Unternehmen an europäisches Datenschutzrecht gebunden

Die Verord­nung ver­bi­etet auch weit­er­hin die Über­mit­tlung von per­so­n­en­be­zo­ge­nen Dat­en in Drit­tlän­der. Als Aus­nahme gilt, wenn die Kom­mis­sion für das Empfänger­land eine Angemessen­heit­sentschei­dung getrof­fen hat, die Parteien für angemessene Garantien gesorgt (z. B. über die sog. Stan­dard­ver­tragsklauseln) haben oder konz­ern­in­tern sog. Bind­ing Corporate
Rules bestehen.

Zudem dür­fen Anfra­gen von Gericht­en oder Behör­den von Drit­tlän­dern nur dann zu ein­er Datenüber­mit­tlung führen, wenn dies auf einem Recht­shil­fe­abkom­men basiert. Dies wird viele Unternehmen vor Prob­leme stellen, wenn sie z. B. aus den USA sog. pre-tri­al dis­cov­ery requests erhalten.

Fazit

Während einige Stim­men in der neuen Verord­nung eine Bevor­mundung des Bürg­ers sehen, dem die Abgabe ein­er rechtswirk­samen Ein­willi­gungserk­lärung durch die geplanten Regelun­gen erhe­blich erschw­ert wird, loben andere Stim­men die Reform als Meilen­stein im Ver­braucher­daten­schutz. Mit der geplanten Daten­schutz­grund­verord­nung werde endlich der bis­lang beste­hende Flick­en­tep­pich an inner­halb Europas beste­hen­den daten­schutzrechtlichen Regelun­gen beseitigt.


Bei Fra­gen sprechen Sie uns gerne an.

This is a unique website which will require a more modern browser to work! Please upgrade today!