Europäische Datenschutzreform 2015: Das sollten Sie wissen

Reform des Datenschutzes in Europa

Ein Gesetz für alle

Die Ansprüche des Datenschutzrechts der Europäischen Union stellen den Gesetzgeber immer wieder vor neue Herausforderungen. Technische sowie gesellschaftliche Entwicklungen rücken dabei in den Fokus. In diesem Zusammenhang ist die Sensibilität jedes Einzelnen für das Thema Datenschutz erheblich gestiegen. Zu dieser Entwicklung haben nicht zuletzt der NSA-Überwachungsskandal und die Google-Entscheidung des Europäischen Gerichtshofes zum „Recht auf Vergessenwerden“ im Internet beigetragen.

Geplante Neuerungen

Die jetzt anstehende Änderung des Datenschutzrechts basiert auf einem Vorschlag, den die Europäische Kommission bereits im Jahr 2012 vorgestellt hatte und deren Umsetzung ursprünglich für das Jahr 2014 geplant war. Bisher konnte im Rechtssetzungsverfahren allerdings noch keine Einigkeit erzielt werden. Lediglich für den öffentlichen Bereich wurde im Dezember 2014 zunächst eine partielle Anwendbarkeit angenommen. Eine vollständige Umsetzung ist daher für das Jahr 2015 zu erwarten.

Es gilt, mühsam aufgebautes Vertrauen nicht zu verpielen Kernstück der Datenschutzreform ist die sogenannte Datenschutz-Grundverordnung. Damit wird das wesentliche Ziel des europäischen Gesetzgebers, einen europaweit einheitlichen Rechtsrahmen zu schaffen, umgesetzt. Im Sinne einer Harmonisierung soll in den einzelnen Ländern der EU weder ein schwächeres, noch ein höheres Datenschutzniveau existieren.

Nachfolgend ein kurzer Überblick über die wichtigsten Neuerungen im Datenschutzrecht der Europäischen Union. Aufgrund des Umfangs der Materie handelt es sich nur um einen Ausschnitt.

    • Europaeinheitliche Regelung

Eine Ausgestaltung als EU-Rechtsverordnung hat zur Folge, dass die Regelungen direkte Wirkung in den einzelnen Mitgliedsstaaten entfalten werden, um einen einheitlichen Rechtsrahmen für ganz Europa zu gewährleisten. Es ist zu erwarten, dass das in Deutschland auf einer europäischen Richtlinie aus dem Jahr 1995 zu diesem Thema basierende und letztmals 2009 novellierte Bundesdatenschutzgesetz (BDSG) seine Gültigkeit verlieren wird.

      • Reichweite: Unternehmen auch außerhalb der EU betroffen

Das Datenschutzrecht soll darüber hinaus auch für Unternehmen mit außereuropäischem Sitz gelten, wenn diese Waren oder Dienstleistungen EU-Bürgern anbieten. Darunter fallen auch unentgeltliche Angebote, wie u.a. von Facebook oder Google.

        • Recht auf Vergessenwerden

Wie vergleichbar bereits im Bundesdatenschutzgesetz geregelt, ist im europäischen Datenschutzrecht ein Anspruch des Einzelnen auf die Löschung von ihn betreffenden personenbezogenen Daten vorgesehen. Voraussetzung ist, dass diese nicht mehr für einen rechtmäßigen Zweck gebraucht werden oder die Einwilligung des Betroffenen nicht mehr vorliegt.

          • Weitreichende Informationspflichten

Voraussetzung für das Recht auf Vergessenwerden sind weitreichende Informationspflichten gegenüber Unternehmen. Betroffene haben ein Recht auf Auskunft darüber, welche Daten und wie lange diese Daten gespeichert werden und ob beabsichtigt ist, Daten an Drittstaaten weiterzugeben. Diese Informationspflichten eröffnen dem Betroffenen die Möglichkeit zur Durchsetzung von Beschwerden.

            • Ausdrückliche Einwilligung des Verbrauchers, bekannt als „opt in“

Art. 6 der Datenschutz-Grundverordnung sieht einen Katalog von Bedingungen vor, unter denen eine rechtmäßige Datenverarbeitung von personenbezogenen Daten zulässig ist. An oberster Stelle steht dabei die erforderliche ausdrückliche Einwilligung der betroffenen Person. Eine solche kann nur in Kenntnis des konkreten Verwendungszweckes wirksam erteilt werden. Eine Nachweispflicht für eine erfolgte Einwilligung obliegt dabei dem Verwender der eingeholten Daten.

              • Datenportabilität

Datenverantwortliche Stellen sollen verpflichtet werden, eigene Daten von Nutzern elektronisch bereitzustellen. Die Daten sind in einem allgemeinüblichen Datenformat zur Verfügung zu stellen. Dies soll die Möglichkeit eröffnen, mit seinen Daten einfacher zu einem anderen Anbieter zu wechseln, ohne seine Daten vorher löschen und dann ein neues Profil anlegen zu müssen.

                • Änderung beim betrieblichen Datenschutzbeauftragten

Neben der Pflicht für öffentliche Stellen einen Datenschutzbeauftragten zu bestellen, sieht der konsolidierte Entwurf der Datenschutz-Grundverordnung die Benennung eines Datenschutzbeauftragten in Unternehmen vor, die personenbezogenen Daten von mehr als 5000 betroffenen Personen innerhalb eines Zeitraums von einem Jahr verarbeiten oder deren Kerntätigkeit in der Verarbeitung personenbezogener Daten liegt.

                  • Verschärfung der Sanktionsmaßnahmen

Zur Sicherung und Abschreckung sieht die europäische Datenschutz-Grundverordnung bei Verstößen u.a. Geldbußen bis zu 100 Millionen Euro oder 5% des weltweiten Jahresumsatzes eines Unternehmens vor. Darüber hinaus stellt eine Inanspruchnahme von Schadensersatzansprüchen durch Betroffene eines Datenschutzverstoßes ein weiteres erhebliches finanzielles Risiko dar.

Fazit

Die geplanten Änderungen lassen erkennen, dass der Gesetzgeber die Rechte der Betroffenen eines Datenverarbeitungsprozesses umfassend erweitern will. Dieses Vorgehen bringt aber unweigerlich auch eine verstärkte Auferlegung von Pflichten für Unternehmen mit sich. Das Thema Datenschutz gehört daher weit oben auf die Agenda von Unternehmen und dies nicht nur aufgrund der erheblich gesteigerten Sanktionsmöglichkeiten. Nachlässigkeiten im Umgang mit personenbezogenen Daten können ein mühsam aufgebautes Vertrauen der Kunden schnell verspielen und bergen ein erhebliches Risiko für das Image eines Unternehmens. Im eigenen Interesse ist daher anzuraten, schon jetzt vorhandene Compliance-Prozesse auf die zu erwartenden Änderungen abzustimmen und die zukünftigen Neuerungen im Auge zu behalten.

geschrieben von: Andreas Schultheis

Andreas Schultheis

Andreas Schultheis ist Rechtsanwalt und Wirtschaftsjurist in der überörtlichen Kanzlei Schultheis, Hanke & Kollegen, die sich auf die rechtliche Beratung und Vertretung von mittelständischen Unternehmen in allen Fragen des Wirtschaftsrechts spezialisiert. Andreas Schultheis betreut dort den Bereich des Arbeitsrechts und ist im Bereich des Wirtschafts- und Immobilienrechts tätig.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.