Mit der DS-GVO hat das EU-Parlament heute eine Fundamentalreform des Datenschutzrechts beschlossen. Die Rechtslage in Europa wird damit einheitlicher, aber auch strenger – und Bußgelder können in die Milliarden gehen. Ein Überblick.
Das EU-Parlament hat heute die EU-Datenschutz-Grundverordnung (DS-GVO) verabschiedet. Diese Regelung wird zukünftig alle nationalen Gesetze der Mitgliedsstaaten zum Datenschutz und damit auch das bisher geltende Bundesdatenschutzgesetz (BDSG) ersetzen. Sie tritt 2018 in Kraft.
Die einheitliche Neuregelung des Datenschutzes auf EU-Ebene bringt umfangreiche neue Anforderungen mit sich. Damit hat das EU-Parlament das größte Reformvorhaben des EU-Datenschutzes der letzten 20 Jahre umgesetzt. Ein Überblick der wichtigsten Änderungen:
Harmonisierung des europäischen Datenschutzrechts
Ziel der DS-GVO ist es insbesondere, das Datenschutzrecht auf europäischer Ebene vollständig zu harmonisieren. Die Verordnungsgeber möchten ein europaweit einheitlich hohes Datenschutzniveau schaffen. Gleichzeitig soll der freie Datenverkehr im EU-Binnenmarkt gefördert werden. Schutzlücken und Wettbewerbsverzerrungen zwischen den Mitgliedsstaaten durch eine unterschiedliche Umsetzung der bisherigen Datenschutzrichtlinie (Richtlinie 95/46/EG) auf nationaler Ebene sollen durch die DS-GVO weitestgehend beseitigt werden.
Diese Ziele erreicht die Verordnung, indem sie in allen EU-Mitgliedsstaaten unmittelbar und zwingend gilt. Zwar erlaubt sie durch entsprechende Ermächtigungen, zu einzelnen Themenkomplexen abweichende nationale Regelungen zu treffen, um nationalen Besonderheiten Rechnung zu tragen. Ein einheitlich hohes Datenschutzniveau wird zukünftig allerdings auch durch die Verpflichtung der nationalen Datenschutz-Aufsichtsbehörden zur verstärkten Zusammenarbeit erreicht. Insbesondere sollen die Behörden der Mitgliedsstaaten zukünftig untereinander Informationen austauschen und Amtshilfe leisten, um die einheitliche Anwendung der DS-GVO sicherzustellen.
Geltungsbereich und Umsetzungsfrist
Die Neuregelung des Datenschutzrechts auf EU-Ebene betrifft alle Unternehmen, die personenbezogene Daten verarbeiten (z.B. Kunden- oder Mitarbeiterdaten). Diese müssen die Vorgaben der DS-GVO umsetzen. Das gilt beispielsweise für sämtliche Unternehmen, die Gerichtsverfahren führen, CRM- oder Personaldatensysteme vorhalten oder interne Ermittlungen durchführen.
Die DS-GVO tritt am 20. Tag nach ihrer Verkündung in Kraft und gilt zwei Jahre nach diesem Tag. Nach dieser relativ kurz bemessenen Umsetzungsfrist müssen Unternehmen die umfangreichen Neuregelungen zwingend beachten.
Bußgeldsummen vervielfacht
Zu den wichtigsten Neuerungen zählen Ansprüche auf immateriellen Schadensersatz für Betroffene mit einer Beweislastverteilung zulasten des datenverarbeitenden Unternehmens, ein Verbandsklagerecht sowie Bußgelder von bis zu vier Prozent des globalen Unternehmensumsatzes beziehungsweise bis zu 20 Millionen Euro für betroffene Manager oder andere Entscheidungsträger. Dies ist ein Vielfaches des bisherigen Bußgeldrahmens von bis zu 300.000 Euro pro Verstoß. Diese neue Art der Sanktionierung von Verstößen ist an das Kartellrecht angelehnt, aus dem Milliardenbußgelder in prominenten Fällen bereits hinreichend bekannt sind.
Nahezu jede maßgebliche Vorgabe der DS-GVO ist zukünftig bußgeldbewehrt. Das wirkt sich beispielsweise auch auf IT-Sicherheit und Cyber-Security aus. Fehler bei der Datensicherheit ziehen Bußgelder von bis zu zwei Prozent des globalen Umsatzes nach sich. Für die Einhaltung der Datenschutzvorgaben sind zukünftig nicht nur Vorstände, Geschäftsführer und andere Entscheidungsträger persönlich verantwortlich. Auch Datenschutzbeauftragte müssen künftig aktiv überwachen, ob das Unternehmen die Vorgaben der DS-GVO einhält. Damit erweitert die DS-GVO die Verantwortung und Verpflichtungen des Datenschutzbeauftragten deutlich. Denn nach dem BDSG muss der Datenschutzbeauftragte derzeit nur auf die Einhaltung hinwirken.
Geltungsbereich, Kopplungsverbot, Meldepflichten
Die Verordnung wird über die EU hinaus extraterritorial wirken. Auch in Drittländern außerhalb der EU ansässige Unternehmen müssen somit die Vorgaben der DS-GVO beachten, wenn sie Daten von Personen in der EU verarbeiten, um diesen Waren oder Dienstleistungen anzubieten, oder wenn sie das Verhalten von Personen in der Union beobachten.
Der Umgang mit personenbezogenen Daten auf Grundlage einer Einwilligung eines Betroffenen bleibt erfreulicherweise auch nach der DS-GVO zulässig. Wie bisher sind Einwilligungen nur wirksam, wenn der Betroffene sie freiwillig abgibt. Darüber hinaus gilt zukünftig ein strenges Koppelungsverbot. Dies bedeutet, dass vertragliche Zusatzleistungen nicht mehr davon abhängig gemacht werden dürfen, dass der Betroffene eine Einwilligung in die Verarbeitung seiner personenbezogenen Daten erteilt.
Hinzu kommen vor allem noch weitere umfassende Transparenz-, Informations- und Dokumentationspflichten, die über die bisher geltenden Vorgaben nach dem BDSG hinausgehen. Bei Datenschutzverletzungen sieht die Verordnung beispielsweise im Vergleich zur bisherigen Rechtslage erweiterte Melde- und Benachrichtigungspflichten vor.
EU-Parlament beschließt Datenschutz-Grundverordnung: . In: Legal Tribune Online, 14.04.2016 , https://www.lto.de/persistent/a_id/19074 (abgerufen am: 15.10.2024 )
Infos zum Zitiervorschlag