Fachartikel & News

Die neue Euro­päi­sche Daten­schutz-Grund­ver­ord­nung

Am 15.12.2015 hat der EU-Tri­log eine Eini­gung auf die end­gül­tige Ver­sion einer künf­ti­gen EU-Daten­schutz-GVO erzielt.


Euro­päi­scher Rat, Euro­päi­sches Par­la­ment und Euro­päi­sche Kom­mis­sion haben sich über den end­gül­ti­gen Inhalt der neuen EU-Daten­schutz-Grund­ver­ord­nung geei­nigt. Diese soll Anfang 2018 in Kraft tre­ten und die bereits seit 1995 gel­tende EU-Daten­schutz­richt­li­nie erset­zen.

Ein­heit­li­cher Daten­schutz in Europa durch EU-Daten­schutz-Grund­ver­ord­nung

Ziel der neuen EU-Daten­schutz-Grund­ver­ord­nung ist eine Ver­ein­heit­li­chung des Daten­schutz­rechts inner­halb Euro­pas. Dadurch soll der Ein­zelne mehr Kon­trolle über seine Daten erhal­ten. Ins­be­son­dere soll ein gerech­ter Aus­gleich zwi­schen dem all­ge­mei­nen freien Daten­ver­kehr und dem indi­vi­du­el­len Schutz per­so­nen­be­zo­ge­ner Daten inner­halb der Union gewähr­leis­tet wer­den.

Die Daten­schutz-Grund­ver­ord­nung wird der Sys­te­ma­tik des Bun­des­da­ten­schutz­ge­set­zes (BDSG) ähn­lich sein. Grund­sätz­lich wird der Umgang mit per­so­nen­be­zo­ge­nen Daten unter­sagt sein, außer die Daten­schutz-Grund­ver­ord­nung, eine andere gesetz­li­che Grund­lage oder eine Ein­wil­li­gung des Betrof­fe­nen erlau­ben dies. Fol­ge­rich­tig wer­den zukünf­tig in allen EU-Staa­ten die glei­chen Stan­dards beim Daten­schutz gel­ten. Ins­be­son­dere sol­len Nut­zer leich­te­ren Zugang zu ihren Daten haben. Zudem wird der Nut­zer Anspruch auf klare und leicht ver­ständ­li­che Infor­ma­tio­nen dar­über haben, wer seine Daten zu wel­chem Zweck wie und wo ver­ar­bei­tet.

Nach einer Pres­se­mit­tei­lung des Euro­päi­schen Par­la­ments bestehen die wich­tigs­ten Ände­run­gen in fol­gen­den Punk­ten:

  • Ver­ar­bei­tung der Daten nur nach aus­drück­li­cher Ein­wil­li­gung: Der Nut­zer soll Herr sei­ner Daten wer­den. Er soll seine Ein­wil­li­gung auch leicht wie­der zurück­zie­hen kön­nen dür­fen.
  • Kin­der und soziale Medien: Kin­der unter einem bestimm­ten Alter benö­ti­gen die Zustim­mung der Eltern, um ein Social-Media-Konto zu eröff­nen, wie zum Bei­spiel bei Face­book, Insta­gram oder Snap­chat. Dies ist bereits in den meis­ten EU-Län­dern üblich. Die neuen fle­xi­blen Vor­schrif­ten räu­men den Mit­glied­staa­ten einen Spiel­raum für die Alters­gren­zen ein (aller­dings muss diese min­des­tens bei 13 und höchs­tens bei 16 Jah­ren lie­gen). Diese Fle­xi­bi­li­tät wurde auf den auf den drin­gen­den Wunsch der Mit­glied­staa­ten bei­be­hal­ten. Das Ver­hand­lungs­team des Par­la­ments hätte eine EU-weite Alters­grenze von 13 Jah­ren vor­ge­zo­gen.
  • Recht auf Ver­ges­sen­wer­den: Die Ver­brau­cher soll­ten ihre Ein­wil­li­gung geben müs­sen, aber genauso ein­fach soll­ten sie sie auch wie­der zurück­zie­hen kön­nen. Sie bekom­men ein „Recht auf Ver­ges­sen­wer­den“, d. h. ein Recht dar­auf, dass auf ihren Wunsch ihre per­sön­li­chen Daten aus den Spei­chern von Unter­neh­men auch wie­der gelöscht wer­den müs­sen.
  • Daten­lecks oder „gehackte“ Daten: Bei Ver­stö­ßen gegen den Schutz per­so­nen­be­zo­ge­ner Daten müs­sen die Anbie­ter die zustän­di­gen Behör­den so schnell wie mög­lich infor­mie­ren, sodass die Nut­zer geeig­nete Maß­nah­men ergrei­fen kön­nen.
  • Ver­ständ­li­che Spra­che: Die Abge­ord­ne­ten haben dar­auf bestan­den, dass die neuen Vor­schrif­ten die Pra­xis des „Klein­ge­druck­ten“ abschaf­fen müs­sen. Die Ver­brau­cher sol­len in kla­rer, ver­ständ­li­cher Spra­che und mit leicht ver­ständ­li­chen Sym­bo­len infor­miert wer­den, bevor die Daten gespei­chert wer­den.
  • Stra­fen: Wenn Fir­men gegen die Regeln ver­sto­ßen, dro­hen ihnen Stra­fen von bis zu vier Pro­zent des Jah­res­um­sat­zes.
  • Unter­neh­men müs­sen Daten­schutz­be­auf­tragte anstel­len: Unter­neh­men müs­sen einen Daten­schutz­be­auf­trag­ten benen­nen, wenn sie im gro­ßen Aus­maß sen­si­ble Daten ver­ar­bei­ten oder das Ver­hal­ten vie­ler Ver­brau­cher über­wa­chen. KMU sind von die­ser Vor­schrift aus­ge­nom­men, es sei denn, die Daten­ver­ar­bei­tung ist ihre Haupt­tä­tig­keit.
  • Zen­trale Anlauf­stel­len für Beschwer­den und die Durch­set­zung der neuen Regeln: Die natio­na­len Daten­schutz­be­hör­den wer­den aus­ge­baut und sol­len zu zen­tralen Anlauf­stel­len für Bür­ger wer­den, wo sie ihre Beschwer­den über Ver­stöße gegen die Daten­schutz­vor­schrif­ten ein­rei­chen kön­nen. Die Zusam­men­ar­beit zwi­schen die­sen natio­na­len Behör­den soll erheb­lich ver­stärkt wer­den, um einen ein­heit­li­chen Schutz der per­so­nen­be­zo­ge­nen Daten inner­halb der Union sicher­zu­stel­len.

US-Unter­neh­men an euro­päi­sches Daten­schutz­recht gebun­den

Die Ver­ord­nung ver­bie­tet auch wei­ter­hin die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten in Dritt­län­der. Als Aus­nahme gilt, wenn die Kom­mis­sion für das Emp­fän­ger­land eine Ange­mes­sen­heits­ent­schei­dung getrof­fen hat, die Par­teien für ange­mes­sene Garan­tien gesorgt (z. B. über die sog. Stan­dard­ver­trags­klau­seln) haben oder kon­zern­in­tern sog. Bin­ding Cor­po­rate
Rules bestehen.

Zudem dür­fen Anfra­gen von Gerich­ten oder Behör­den von Dritt­län­dern nur dann zu einer Daten­über­mitt­lung füh­ren, wenn dies auf einem Rechts­hil­fe­ab­kom­men basiert. Dies wird viele Unter­neh­men vor Pro­bleme stel­len, wenn sie z. B. aus den USA sog. pre-trial dis­co­very requests erhal­ten.

Fazit

Wäh­rend einige Stim­men in der neuen Ver­ord­nung eine Bevor­mun­dung des Bür­gers sehen, dem die Abgabe einer rechts­wirk­sa­men Ein­wil­li­gungs­er­klä­rung durch die geplan­ten Rege­lun­gen erheb­lich erschwert wird, loben andere Stim­men die Reform als Mei­len­stein im Ver­brau­cher­da­ten­schutz. Mit der geplan­ten Daten­schutz­grund­ver­ord­nung werde end­lich der bis­lang bestehende Fli­cken­tep­pich an inner­halb Euro­pas bestehen­den daten­schutz­recht­li­chen Rege­lun­gen besei­tigt.


Bei Fra­gen spre­chen Sie uns gerne an.

This is a unique website which will require a more modern browser to work! Please upgrade today!