Fachartikel & News

Die neue Europäische Daten­schutz-Grund­ver­ordnung

Am 15.12.2015 hat der EU-Trilog eine Einigung auf die endgültige Version einer künftigen EU-Daten­schutz-GVO erzielt.


Europäi­scher Rat, Europäi­sches Parlament und Europäische Kommission haben sich über den endgül­tigen Inhalt der neuen EU-Daten­schutz-Grund­ver­ordnung geeinigt. Diese soll Anfang 2018 in Kraft treten und die bereits seit 1995 geltende EU-Daten­schutz­richt­linie ersetzen.

Einheit­licher Daten­schutz in Europa durch EU-Daten­schutz-Grund­ver­ordnung

Ziel der neuen EU-Daten­schutz-Grund­ver­ordnung ist eine Verein­heit­li­chung des Daten­schutz­rechts innerhalb Europas. Dadurch soll der Einzelne mehr Kontrolle über seine Daten erhalten. Insbe­sondere soll ein gerechter Ausgleich zwischen dem allge­meinen freien Daten­verkehr und dem indivi­du­ellen Schutz perso­nen­be­zo­gener Daten innerhalb der Union gewähr­leistet werden.

Die Daten­schutz-Grund­ver­ordnung wird der Syste­matik des Bundes­da­ten­schutz­ge­setzes (BDSG) ähnlich sein. Grund­sätzlich wird der Umgang mit perso­nen­be­zo­genen Daten untersagt sein, außer die Daten­schutz-Grund­ver­ordnung, eine andere gesetz­liche Grundlage oder eine Einwil­ligung des Betrof­fenen erlauben dies. Folge­richtig werden zukünftig in allen EU-Staaten die gleichen Standards beim Daten­schutz gelten. Insbe­sondere sollen Nutzer leich­teren Zugang zu ihren Daten haben. Zudem wird der Nutzer Anspruch auf klare und leicht verständ­liche Infor­ma­tionen darüber haben, wer seine Daten zu welchem Zweck wie und wo verar­beitet.

Nach einer Presse­mit­teilung des Europäi­schen Parla­ments bestehen die wichtigsten Änderungen in folgenden Punkten:

  • Verar­beitung der Daten nur nach ausdrück­licher Einwil­ligung: Der Nutzer soll Herr seiner Daten werden. Er soll seine Einwil­ligung auch leicht wieder zurück­ziehen können dürfen.
  • Kinder und soziale Medien: Kinder unter einem bestimmten Alter benötigen die Zustimmung der Eltern, um ein Social-Media-Konto zu eröffnen, wie zum Beispiel bei Facebook, Instagram oder Snapchat. Dies ist bereits in den meisten EU-Ländern üblich. Die neuen flexiblen Vorschriften räumen den Mitglied­staaten einen Spielraum für die Alters­grenzen ein (aller­dings muss diese mindestens bei 13 und höchstens bei 16 Jahren liegen). Diese Flexi­bi­lität wurde auf den auf den dringenden Wunsch der Mitglied­staaten beibe­halten. Das Verhand­lungsteam des Parla­ments hätte eine EU-weite Alters­grenze von 13 Jahren vorge­zogen.
  • Recht auf Verges­sen­werden: Die Verbraucher sollten ihre Einwil­ligung geben müssen, aber genauso einfach sollten sie sie auch wieder zurück­ziehen können. Sie bekommen ein „Recht auf Verges­sen­werden“, d. h. ein Recht darauf, dass auf ihren Wunsch ihre persön­lichen Daten aus den Speichern von Unter­nehmen auch wieder gelöscht werden müssen.
  • Daten­lecks oder „gehackte“ Daten: Bei Verstößen gegen den Schutz perso­nen­be­zo­gener Daten müssen die Anbieter die zustän­digen Behörden so schnell wie möglich infor­mieren, sodass die Nutzer geeignete Maßnahmen ergreifen können.
  • Verständ­liche Sprache: Die Abgeord­neten haben darauf bestanden, dass die neuen Vorschriften die Praxis des „Klein­ge­druckten“ abschaffen müssen. Die Verbraucher sollen in klarer, verständ­licher Sprache und mit leicht verständ­lichen Symbolen infor­miert werden, bevor die Daten gespei­chert werden.
  • Strafen: Wenn Firmen gegen die Regeln verstoßen, drohen ihnen Strafen von bis zu vier Prozent des Jahres­um­satzes.
  • Unter­nehmen müssen Daten­schutz­be­auf­tragte anstellen: Unter­nehmen müssen einen Daten­schutz­be­auf­tragten benennen, wenn sie im großen Ausmaß sensible Daten verar­beiten oder das Verhalten vieler Verbraucher überwachen. KMU sind von dieser Vorschrift ausge­nommen, es sei denn, die Daten­ver­ar­beitung ist ihre Haupt­tä­tigkeit.
  • Zentrale Anlauf­stellen für Beschwerden und die Durch­setzung der neuen Regeln: Die natio­nalen Daten­schutz­be­hörden werden ausgebaut und sollen zu zen­tralen Anlauf­stellen für Bürger werden, wo sie ihre Beschwerden über Verstöße gegen die Daten­schutz­vor­schriften einreichen können. Die Zusam­men­arbeit zwischen diesen natio­nalen Behörden soll erheblich verstärkt werden, um einen einheit­lichen Schutz der perso­nen­be­zo­genen Daten innerhalb der Union sicher­zu­stellen.

US-Unter­nehmen an europäi­sches Daten­schutz­recht gebunden

Die Verordnung verbietet auch weiterhin die Übermittlung von perso­nen­be­zo­genen Daten in Dritt­länder. Als Ausnahme gilt, wenn die Kommission für das Empfän­gerland eine Angemes­sen­heits­ent­scheidung getroffen hat, die Parteien für angemessene Garantien gesorgt (z. B. über die sog. Standard­ver­trags­klauseln) haben oder konzern­intern sog. Binding Corporate
Rules bestehen.

Zudem dürfen Anfragen von Gerichten oder Behörden von Dritt­ländern nur dann zu einer Daten­über­mittlung führen, wenn dies auf einem Rechts­hil­fe­ab­kommen basiert. Dies wird viele Unter­nehmen vor Probleme stellen, wenn sie z. B. aus den USA sog. pre-trial discovery requests erhalten.

Fazit

Während einige Stimmen in der neuen Verordnung eine Bevor­mundung des Bürgers sehen, dem die Abgabe einer rechts­wirk­samen Einwil­li­gungs­er­klärung durch die geplanten Regelungen erheblich erschwert wird, loben andere Stimmen die Reform als Meilen­stein im Verbrau­cher­da­ten­schutz. Mit der geplanten Daten­schutz­grund­ver­ordnung werde endlich der bislang bestehende Flicken­teppich an innerhalb Europas bestehenden daten­schutz­recht­lichen Regelungen beseitigt.


Bei Fragen sprechen Sie uns gerne an.

This is a unique website which will require a more modern browser to work! Please upgrade today!