Reform des Datenschutzes in Europa
Ein Gesetz für alleDie Ansprüche des Datenschutzrechts der Europäischen Union stellen den Gesetzgeber immer wieder vor neue Herausforderungen. Technische sowie gesellschaftliche Entwicklungen rücken dabei in den Fokus. In diesem Zusammenhang ist die Sensibilität jedes Einzelnen für das Thema Datenschutz erheblich gestiegen. Zu dieser Entwicklung haben nicht zuletzt der NSA-Überwachungsskandal und die Google-Entscheidung des Europäischen Gerichtshofes zum „Recht auf Vergessenwerden“ im Internet beigetragen.
Geplante Neuerungen
Die jetzt anstehende Änderung des Datenschutzrechts basiert auf einem Vorschlag, den die Europäische Kommission bereits im Jahr 2012 vorgestellt hatte und deren Umsetzung ursprünglich für das Jahr 2014 geplant war. Bisher konnte im Rechtssetzungsverfahren allerdings noch keine Einigkeit erzielt werden. Lediglich für den öffentlichen Bereich wurde im Dezember 2014 zunächst eine partielle Anwendbarkeit angenommen. Eine vollständige Umsetzung ist daher für das Jahr 2015 zu erwarten.
Kernstück der Datenschutzreform ist die sogenannte Datenschutz-Grundverordnung. Damit wird das wesentliche Ziel des europäischen Gesetzgebers, einen europaweit einheitlichen Rechtsrahmen zu schaffen, umgesetzt. Im Sinne einer Harmonisierung soll in den einzelnen Ländern der EU weder ein schwächeres, noch ein höheres Datenschutzniveau existieren.
Nachfolgend ein kurzer Überblick über die wichtigsten Neuerungen im Datenschutzrecht der Europäischen Union. Aufgrund des Umfangs der Materie handelt es sich nur um einen Ausschnitt.
- Europaeinheitliche Regelung
Eine Ausgestaltung als EU-Rechtsverordnung hat zur Folge, dass die Regelungen direkte Wirkung in den einzelnen Mitgliedsstaaten entfalten werden, um einen einheitlichen Rechtsrahmen für ganz Europa zu gewährleisten. Es ist zu erwarten, dass das in Deutschland auf einer europäischen Richtlinie aus dem Jahr 1995 zu diesem Thema basierende und letztmals 2009 novellierte Bundesdatenschutzgesetz (BDSG) seine Gültigkeit verlieren wird.
- Reichweite: Unternehmen auch außerhalb der EU betroffen
Das Datenschutzrecht soll darüber hinaus auch für Unternehmen mit außereuropäischem Sitz gelten, wenn diese Waren oder Dienstleistungen EU-Bürgern anbieten. Darunter fallen auch unentgeltliche Angebote, wie u.a. von Facebook oder Google.
- Recht auf Vergessenwerden
Wie vergleichbar bereits im Bundesdatenschutzgesetz geregelt, ist im europäischen Datenschutzrecht ein Anspruch des Einzelnen auf die Löschung von ihn betreffenden personenbezogenen Daten vorgesehen. Voraussetzung ist, dass diese nicht mehr für einen rechtmäßigen Zweck gebraucht werden oder die Einwilligung des Betroffenen nicht mehr vorliegt.
- Weitreichende Informationspflichten
Voraussetzung für das Recht auf Vergessenwerden sind weitreichende Informationspflichten gegenüber Unternehmen. Betroffene haben ein Recht auf Auskunft darüber, welche Daten und wie lange diese Daten gespeichert werden und ob beabsichtigt ist, Daten an Drittstaaten weiterzugeben. Diese Informationspflichten eröffnen dem Betroffenen die Möglichkeit zur Durchsetzung von Beschwerden.
- Ausdrückliche Einwilligung des Verbrauchers, bekannt als „opt in“
Art. 6 der Datenschutz-Grundverordnung sieht einen Katalog von Bedingungen vor, unter denen eine rechtmäßige Datenverarbeitung von personenbezogenen Daten zulässig ist. An oberster Stelle steht dabei die erforderliche ausdrückliche Einwilligung der betroffenen Person. Eine solche kann nur in Kenntnis des konkreten Verwendungszweckes wirksam erteilt werden. Eine Nachweispflicht für eine erfolgte Einwilligung obliegt dabei dem Verwender der eingeholten Daten.
- Datenportabilität
Datenverantwortliche Stellen sollen verpflichtet werden, eigene Daten von Nutzern elektronisch bereitzustellen. Die Daten sind in einem allgemeinüblichen Datenformat zur Verfügung zu stellen. Dies soll die Möglichkeit eröffnen, mit seinen Daten einfacher zu einem anderen Anbieter zu wechseln, ohne seine Daten vorher löschen und dann ein neues Profil anlegen zu müssen.
- Änderung beim betrieblichen Datenschutzbeauftragten
Neben der Pflicht für öffentliche Stellen einen Datenschutzbeauftragten zu bestellen, sieht der konsolidierte Entwurf der Datenschutz-Grundverordnung die Benennung eines Datenschutzbeauftragten in Unternehmen vor, die personenbezogenen Daten von mehr als 5000 betroffenen Personen innerhalb eines Zeitraums von einem Jahr verarbeiten oder deren Kerntätigkeit in der Verarbeitung personenbezogener Daten liegt.
- Verschärfung der Sanktionsmaßnahmen
Zur Sicherung und Abschreckung sieht die europäische Datenschutz-Grundverordnung bei Verstößen u.a. Geldbußen bis zu 100 Millionen Euro oder 5% des weltweiten Jahresumsatzes eines Unternehmens vor. Darüber hinaus stellt eine Inanspruchnahme von Schadensersatzansprüchen durch Betroffene eines Datenschutzverstoßes ein weiteres erhebliches finanzielles Risiko dar.
Fazit
Die geplanten Änderungen lassen erkennen, dass der Gesetzgeber die Rechte der Betroffenen eines Datenverarbeitungsprozesses umfassend erweitern will. Dieses Vorgehen bringt aber unweigerlich auch eine verstärkte Auferlegung von Pflichten für Unternehmen mit sich. Das Thema Datenschutz gehört daher weit oben auf die Agenda von Unternehmen und dies nicht nur aufgrund der erheblich gesteigerten Sanktionsmöglichkeiten. Nachlässigkeiten im Umgang mit personenbezogenen Daten können ein mühsam aufgebautes Vertrauen der Kunden schnell verspielen und bergen ein erhebliches Risiko für das Image eines Unternehmens. Im eigenen Interesse ist daher anzuraten, schon jetzt vorhandene Compliance-Prozesse auf die zu erwartenden Änderungen abzustimmen und die zukünftigen Neuerungen im Auge zu behalten.