Reform des europäischen Datenschutzrechts: Grund­le­gendes zur Daten­schutz­grund­ver­ord­nung

Die Verhandlungsrunde von Europäischem Rat, Europäischer Kommission und Europäischem Parlament am Dienstag wird voraussichtlich die letzte zur Datenschutzgrundverordnung ("Verordnung") gewesen sein – die nun beschlossene Fassung gilt als final. Unternehmen innerhalb und auch außerhalb der EU sollten sich zeitnah damit befassen, denn die Verordnung sieht erhebliche Änderungen vor, an die bestehende Datenverarbeitungsprozesse sich werden anpassen müssen.

Um die Datenschutzlage in der EU zu harmonisieren, Verwaltungsaufwand zu reduzieren und auch den Unternehmen europaweit einheitliche Maßstäbe an die Hand zu geben, wird die Verordnung die bestehenden länderspezifischen Datenschutzgesetze der EU weitgehend ersetzen. Die jetzige Fassung ist das Ergebnis langjähriger Verhandlungen auf europäischer Ebene. Nachdem die Europäische Kommission im Januar 2012 den ersten Entwurf bekanntgegeben hatte, veröffentliche das Europäische Parlament im März 2014 zahlreiche Änderungsvorschläge, gefolgt von einem weiteren abgeänderten Entwurf durch den Europäischen Rat, der im Juni 2015 veröffentlicht wurde. Im Juli 2015 haben die Kommission, das Parlament und der Rat angefangen, über die verschiedenen Änderungsvorschläge zu verhandeln (die sog. "Trilog"-Verhandlungen).

Dieser Trilog ist mit der Fassung von Dienstag dem Vernehmen nach an seinem Ende angelangt. Vor Inkrafttreten der Verordnung sind jedoch weitere Schritte erforderlich: Sie muss in alle Landessprachen der EU-Länder übersetzt werden, Rat und Parlament müssen ihr offiziell zustimmen und sie muss im Amtsblatt der EU verkündet werden. Die Verordnung sieht dann noch eine zweijährige Übergangsfrist vor, bis sie zur Anwendung kommt. Danach ist zu erwarten, dass die Verordnung ab Anfang 2018 das Bundesdatenschutzgesetz (BDSG) weitgehend ablösen wird.

Weiter Geltungsbereich und hohe Bußgelder

Die Verordnung wird nicht nur für Unternehmen mit Sitz in der EU gelten, sondern auch für solche, die personenbezogene Daten über in der EU ansässige Personen erheben, verarbeiten und nutzen, soweit diese Unternehmen ihre Tätigkeit auf die EU ausrichten und – aller Voraussicht nach - unabhängig davon, ob sie ihre Leistungen entgeltlich oder unentgeltlich erbringen. Somit werden z.B. auch ausländische Onlinedienstleister erfasst, die keine Tochtergesellschaft oder Niederlassung in der EU haben. Auch Dienstleister, die personenbezogene Daten nur "im Auftrag" Dritter verarbeiten, werden der Verordnung unabhängig von ihrem Sitz voraussichtlich direkt unterfallen – jedenfalls, soweit sie auch für ihre Auftraggeber gilt.

Für Verstöße sah das BDSG bisher einen Bußgeldrahmen von bis zu 300.000 Euro vor. Unter der Verordnung wird er deutlich nach oben erweitert werden: Je nach Art des Verstoßes ist eine Obergrenze von 10 Mio. Euro oder 2 Prozent, bzw. 20 Mio. Euro oder 4 Prozent des Jahresumsatzes vorgesehen, wobei der jeweils höhere Wert gilt und beim Jahresumsatz jener des gesamten Konzerns veranschlagt werden soll.

Unternehmen, die einen Standort, Kunden oder Mitarbeiter in Europa haben, können schon jetzt damit beginnen, sich auf die neuen Pflichten nach der Verordnung vorzubereiten. Datenbestand, Datenflüsse und Datenverarbeitungsprozesse können identifiziert und in einer Bestandsaufnahme zusammengestellt werden, die die Grundlage für die Erfüllung der Anforderungen unter der Verordnung bildet. Die in vielen Ländern bestehenden  Meldepflichten gegenüber den Datenschutzbehörden sollen unter der Verordnung in eine interne Dokumentationspflicht umgewandelt werden. Das derzeitige Verfahrungsverzeichnis unter dem BDSG wird, um dieser Pflicht künftig zu genügen, um weitere Aspekte ergänzt werden müssen.