EU-Parlament beschließt Datenschutzgrundverordnung

Vier Jahre hat es nun gedauert, seitdem die EU-Kommission im Jahr 2012 einen ersten Entwurf für eine Neuordnung und Vereinheitlichung des europäischen Datenschutzes vorgelegt hatte. Die seit 1995 bestehende Datenschutzrichtlinie war dringend erneuerungsbedürftig, da sie aufgrund der rasanten technischen Entwicklung überholt war. Sie machte grundlegende Prinzipien wie Zweckbindung und Datensparsamkeit zum europaweiten Standard.

Die Verordnung tritt 20 Tage nach Veröffentlichung im Amtsblatt in Kraft und wird in zwei Jahren wirksam sein.

Am 4. Mai 2016 erfolgte die Veröffentlichung der DS-GVO im Amtsblatt der Europäischen Union. Sie tritt 20 Tage später in Kraft und wird nach einer zweijährigen Übergangszeit am 25.05.2018 für Unternehmen und Behörden verpflichtend. Der Zeitraum bis zum Wirksamwerden wirkt auf den ersten Blick sehr lang. Der Arbeitsaufwand sollte in Unternehmen und Behörden aufgrund der Vielzahl der neuen Anforderungen nicht unterschätzt werden, um die Prozesse der Datenverarbeitung den neuen Regelungen anzupassen.

Hatte das BDSG 48 Paragraphen, so kommt, die EU-Datenschutz-Grundverordnung mit 99 Artikeln und 173 Erwägungsgründen daher und ist damit deutlich umfangreicher als das Bundesdatenschutzgesetz. Die Verordnung, die zum Teil auch Richtliniencharakter hat, enthält eine Reihe von Öffnungsklauseln, die der nationale Gesetzgeber auf nationaler Ebene zusätzlich bestimmte Regelungsbereiche auszufüllen hat, das gibt ihm aber auch die Möglichkeit zur Gestaltung bestimmter Bereiche an die Hand. Die Herausforderung besteht  darin, dass dem Gesetzgeber ein relativ kurz bemessener Zeitraum zur Verfügung steht, die entsprechenden Gesetzgebungsverfahren durchzubringen. Durch die im Herbst 2017 stattfindende Bundestagswahl wird das gerade in der Bundesrepublik zu einer großen Herausforderung.

Es lassen sich folgende Prinzipien unterscheiden:

  • Grundsatz der Rechtmäßigkeit (Art. 5 Abs. 1 a, 1. Fall),
  • Grundsatz der Fairness (Art. 5 Abs. 1 a, 2. Fall),
  • Grundsatz der Transparenz (Art. 5 Abs. 1 a, 3. Fall),
  • Grundsatz der Zweckbindung (Art. 5 Abs. 1 b),
  • Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 c),
  • Grundsatz der sachlichen Richtigkeit (Art. 5 Abs. 1 d),
  • Grundsatz der begrenzten Speicherung (Art. 5 Abs. 1 e),
  • Grundsatz der Datensicherheit, Integrität und Vertraulichkeit (Art. 5 Abs. 1 f),
  • Grundsatz der Verantwortlichkeit (Art. 5 Abs. 1 f),
  • Grundsatz der datenschutzfreundlichen Technikgestaltung (Art. 25 Abs. 1),
  • Grundsatz der datenschutzfreundlichen Voreinstellung (Art.25 Abs. 2).

Was sind die wesentlichen Änderungen?

Einwilligung & Auskunftsrecht: Die Einwilligung bleibt wesentlicher Erlaubnistatbestand für die Datenverarbeitung und ihre Wirksamkeit wird weiterhin an strenge Voraussetzungen geknüpft, die zum Teil über die bisherigen Anforderungen hinausgehen.

 Der Einwilligende muss über Identität des Verantwortlichen und möglicher Empfänger, Art, Umfang und Zweck der Datenverarbeitung sowie das jederzeitige Widerrufsrecht informiert werden.

Das BDSG sah für die Einwilligung die Schriftform vor. Eine andere Form war wegen besonderer Umstände jedoch möglich (§ 4 a BDSG), wie z.B. im Onlinebereich mittels Mausklick.

Eine besondere Form der Einwilligung ist in der DSGVO nicht mehr vorgesehen. Die Einwilligung kann nunmehr mündlich, per Mausklick, mittels schlüssigen Verhaltens oder technischer Einstellungen am Browser erteilt werden.

Datenübertragbarkeit: Neu ist das Recht auf Datenübertragbarkeit gemäß Art. 20. Des Betroffenen erhält dadurch das Recht zur ungehinderten und uneingeschränkten Übermittlung seiner erhobenen personenbezogenen Daten durch den Verantwortlichen.

Die Datenübertragung hat in einer strukturierten, gängigen und maschinenlesbaren Form zu erfolgen.

Recht auf Vergessenwerden: Seit einem Urteil des Europäischen Gerichtshofs muss Google auf Verlangen von Nutzer*innen Suchergebnisse, welche auf sie bezogene Daten beinhalten, löschen. Dieses Recht wird nun für alle Unternehmen festgeschrieben. Sie müssen zukünftig persönliche Daten auf Wunsch der Betroffenen löschen.

Deutlich erhöhter Bußgeldrahmen: Verstöße gegen die Datenschutzregel, können mit bis zu vier Prozent des Jahresumsatzes eines Unternehmens geahnet werden. In einem früheren Entwurf war sogar ein Bußgeld von bis zu fünf Prozent des Jahresumsatzes als Strafe vorgesehen.

Mindestalter: Die Grundverordnung läßt den Mitgliedstaaten einen Entscheidungsspielraum,  ab wann sich Kinder und Jugendliche ohne Zustimmung der Eltern bei Webseiten rechtswirksam anmelden dürfen. Das könnte dazu führen, dass sich in einigen EU-Staaten Kinder bereits ab 13 Jahren beispielsweise bei Facebook anmelden dürfen, während in anderen EU-Ländern noch bis zum 16. Geburtstag die Zustimmung der Eltern dafür benötigt wird.

Marktortprinzip: Das Datenschutzrecht gilt nun für alle Unternehmen, die auf dem europäischen Markt tätig sind, unabhängig davon ob sie ihren Sitz innerhalb der EU haben oder nicht. Wo die Datenverarbeitung stattfindet, ist auch unerheblich, da jede Verarbeitung von personenbezogenen Daten von Nutzerinnen bzw. Nutzern aus der EU unter den Anwendungsbereich der Grundverordnung fällt.

Privacy by Design – Privacy by Default

Art. 25 schreibt „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” vor. Unternehmen sollen bereits bei der technischen Produktentwicklung bzw. bei der Produktimplementierung datenschutzfreundliche Grundeinstellungen achten.