Auf den Punkt.

Am 15. Dezember 2015 haben sich das Europäische Parlament, der Rat der Europäischen Union und die EU-Kommission im Rahmen der sog. Trilogverhandlungen nach zähem Ringen auf die endgültige Version einer künftigen EU-Datenschutz-Grundverordnung („DS-GVO“) geeinigt. Hiernach wird ab Anfang 2018 in Europa ein einheitliches Datenschutzniveau gelten, mit dem sich Unternehmen frühzeitig vertraut machen sollten.

Hintergrund

Das geltende Datenschutzrecht innerhalb der europäischen Union basiert auf der EU-Datenschutzrichtlinie aus dem Jahre 1995 (RL 95/46/EG), die in den verschiedenen Mitgliedsstaaten jeweils in nationales Recht umgesetzt wurde. Die Datenschutzrichtlinie gewährte den EU-Mitgliedstaaten einen gewissen Umsetzungsspielraum, der dazu führte, dass zurzeit in den 28 Mitgliedstaaten der EU zum Teil erhebliche Unterschiede im Hinblick auf die Zulässigkeitsanforderungen an den Umgang mit Daten und den Schutz personenbezogener Daten bestehen. Dies führte nicht selten zum „Forum Shopping“, d. h. Unternehmen suchten sich für ihren Hauptsitz das EU-Land aus, das am besten zu ihren Bedürfnissen passte. Zudem führte die fortschreitende Digitalisierung zur immer größeren Verunsicherung der Bevölkerung und Vertrauensverlusten in den Umgang mit ihren Daten durch Unternehmen bzw. Behörden: Eine im Juni 2015 veröffentlichte Umfrage von Eurobarometer ergab z. B., dass etwa Zwei-Drittel der Europäer besorgt darüber seien, keine vollständige Kontrolle über online eingegebene Informationen zu haben, sowie darüber, dass ihre Daten zu anderen Zwecken verarbeitet werden könnten, als zu den Zwecken, für die sie ursprünglich erhoben wurden.

Der Europäische Gesetzgeber hatte sich daher zum Ziel gesetzt, die längst veralteten Bestimmungen der Datenschutzrichtlinie an das digitale Zeitalter anzupassen. Dies sollte im Wege einer Rechtsverordnung erfolgen, die anders als eine Europäische Richtlinie, keines nationalen Umsetzungsaktes in den einzelnen EU-Mitgliedsstaaten bedarf, sondern überall mit ihrem Inkrafttreten unmittelbar geltendes Recht wird. Durch die hierdurch bewirkte Vereinheitlichung des Datenschutzniveaus innerhalb der EU sollte das Vertrauen der Bevölkerung in den Umgang mit ihren personenbezogenen Daten zurückgewonnen und Wettbewerbsnachteile beseitigt werden.

Das Gesetzgebungsverfahren

Das Gesetzgebungsverfahren zum Erlass der DS-GVO gestaltete sich äußerst langwierig. Bereits im Januar 2012 hatte die EU-Kommission einen ersten Entwurf zum Erlass einer Datenschutzgrundverordnung vorgestellt. Eine Einigung ließ jedoch lange Zeit auf sich warten und drohte mitunter sogar zu scheitern. Kontrovers diskutiert wurden u.a. die künftigen Anforderungen an die Legitimation von Datenverarbeitungen, insbesondere, ob eine Datenverarbeitung ausschließlich aufgrund einer expliziten Einwilligung des Betroffenen oder auch aufgrund berechtigter Interessen der datenverarbeitenden Stelle stattfinden können soll sowie der Grundsatz der Zweckbindung. Im Juni dieses Jahres hatte der Ministerrat Änderungsvorschläge in einem gemeinsamen Standpunkt beschlossen; hierüber wurde bis zuletzt in den Trilogverhandlungen beraten. Nach deren positiven Abschluss am 15. Dezember 2015 müssen nun noch das Europäische Parlament und der Rat formell über den Gesetzesentwurf Anfang 2016 Beschluss fassen. Die DS-GVO soll direkt im Anschluss Anfang 2016 in Kraft treten und zwei Jahre später, also ab Anfang 2018, in allen europäischen Mitgliedsstaaten gelten.

Die endgültigen Textfassungen sollen Anfang 2016 vom EUParlament und vom EU-Rat formal verabschiedet werden. Wir werden Sie nach deren Verabschiedung ausführlich in einem Sondernewsletter über die für Ihr Unternehmen relevanten Inhalte der DS-GVO, die Auswirkungen und Ihren praktischen Handlungsbedarf informieren und beschränken uns nachfolgend auf einen kurzen Überblick.

Überblick: Inhalte der DS-GVO

Die vorläufige Fassung der DS-GVO sieht u.a. die folgenden Regelungen vor:

1. Grundsatz der Datensparsamkeit, Transparenz und Zweckbindung

Die DS-GVO statuiert als wesentliche Grundprinzipien die zukünftig europaweit bei Datenverarbeitungen zu beachten sind, die Grundsätze der Datensparsamkeit, Transparenz und Zweckbindung. Hierdurch werden dem exzessiven und intransparenten Umgang mit Daten erhebliche Grenzen gesetzt. Der Zweckbindungsgrundsatz verbietet z. B. den Umgang mit Daten zu Zwecken, die nicht mit den Zwecken in Einklang stehen, zu denen die Daten ursprünglich erhoben wurden; damit sind auch künftig Zweckänderungen im Bereich von Big Data nicht ohne weiteres zulässig. Zudem sind umfassende Informationspflichten vorgesehen, die Unternehmen künftig erfüllen müssen.

2. Einwilligung v. Interessenabwägung

Nicht durchgesetzt hat sich die Forderung, die Einwilligung als zentrales Element zur Legitimation des Umgangs mit Daten zu etablieren. Die Einwilligung ist vielmehr nur eine von mehreren Möglichkeiten zur Legitimation. So ist der Umgang mit Daten künftig u.a. zulässig, wenn er zu vertraglichen oder gesetzlichen Zwecken notwendig ist oder wenn überwiegende Interessen der für die Datenverarbeitung verantwortlichen Stelle oder eines Dritten vorliegen, die den Umgang erlauben.

Auch die viel diskutierten besonderen Anforderungen an die Form, die bei der Einholung einer Einwilligung einzuhalten sind, wurden gestrichen; diese muss nach dem vorliegenden Entwurf lediglich auf irgendeine Art und Weise „nachweisbar“ sein. Damit wird künftig ein „Opt-Out“ ausreichen, d. h. die Möglichkeit des Widerspruchs gegen den geplanten Umgang mit den Daten. Die Einwilligung in die Verarbeitung besonderer Arten personenbezogener Daten muss hingegen ausdrücklich erfolgen („Opt-In“).

3. Der Datenschutzbeauftragte

Künftig müssen europaweit alle Behörden und in bestimmten Fällen risikobehafteter Datenverarbeitung (z. B. wenn Patientendaten verarbeitet werden) auch Unternehmen einen eigenen Datenschutzbeauftragten bestellen. Zudem können die Mitgliedstaaten in noch von ihnen zu definierenden zusätzlichen Fällen eine verpflichtende Bestellung von betrieblichen Datenschutzbeauftragten vorsehen.

4. Recht auf Auskunft

Betroffene haben das Recht grds. jederzeit kostenfrei Auskunft über den Umgang mit ihren personenbezogenen Daten zu verlangen. Die Auskunft muss in der Regel spätestens innerhalb eines Monats erfolgen und klar und verständlich sein. Indes sind die für die Verarbeitung der Daten verantwortlichen Unternehmen berechtigt, die Auskunft zu verweigern oder von der Zahlung einer Gebühr abhängig zu machen, wenn die Forderungen nach dem Zugang zu den Daten entweder greifbar unbegründet oder exzessiv sind.

5. Recht auf Vergessenwerden

Betroffene können von der für die Datenverarbeitung verantwortlichen Stelle verlangen, dass ihre personenbezogenen Daten unverzüglich gelöscht werden, wenn u.a. keine legitimen Gründe für deren weitere Speicherung ersichtlich sind. Hat die verantwortliche Stelle die personenbezogenen Daten veröffentlicht, ist sie zudem verpflichtet, im Rahmen der Verhältnismäßigkeit, auch andere Stellen über das Löschverlangen zu informieren.

6. Recht auf Daten-Portabilität

Die für die Datenverarbeitung verantwortlichen Stellen sind verpflichtet, Betroffene auf Verlangen bei der Übertragung ihrer Daten auf einen anderen Service Provider zu unterstützen.

7. Privacy by Default and Privacy by Design

Die verantwortlichen Stellen sind verpflichtet, im Rahmen der Verhältnismäßigkeit, technische und organisatorische Maß- nahmen wie Pseudonymisierung umzusetzen, um die Privatsphäre der Betroffenen zu schützen.

8. Datentransfer in Drittstaaten

Auch nach dem Safe Harbor Urteil des EuGH (vgl. auch nachfolgenden Newsletter-Beitrag) hat der Europäische Gesetzgeber an der Möglichkeit zur Legitimation von Datenübermittlungen in Drittstaaten auf z. B. der Grundlage von Zertifizierungen im Sinne von Safe-Harbor oder des Abschlusses von Standardvertragsklauseln festgehalten. Die DS-GVO stellt jedoch unter Berücksichtigung der EuGH-Rechtsprechung ausdrücklich klar, dass dies nur dann gilt, wenn sich die jeweilige verantwortliche Stelle bzw. der Auftragsdatenverarbeiter bindend zur Befolgung der europäischen Anforderungen verpflichtet und diese Verpflichtung auch tatsächlich durchsetzbar ist. Zudem wird klargestellt, dass die Prüfrechte der Datenschutzaufsichtsbehörden hierdurch in keiner Weise berührt werden.

9. Bußgelder

Datenschutzverstöße können hart sanktioniert werden. Die DS-GVO sieht je nach Art des Verstoßes Bußgelder in Höhe von bis zu 20.000.000 EUR bzw. bis zu 4 % des weltweiten Jahresumsatzes vor.

10.Nationale Sonderregeln

Trotz der erklärten Ziels zur Vereinheitlichung des Datenschutzrechts besteht nach der DS-GVO auch weiterhin in gewissem Maße die Möglichkeit der Mitgliedstaaten in einzelnen Bereichen nationale Sonderregelungen vorzusehen. Dies betrifft z. B. die o.g. Regelung zu dem betrieblichen Datenschutzbeauftragten, aber auch etwa die Möglichkeit zur gesetzlichen Konkretisierung der Anforderungen an den Umgang mit Daten sofern dies z. B. zur Verfolgung öffentlicher oder staatlicher Interessen erforderlich ist.

11. Evaluierung

Die DS-GVO und ihre Umsetzung in der Praxis sollen regelmäßig überprüft werden. Die erste Evaluierung soll spätestens 4 Jahre nach ihrem Inkrafttreten stattfinden und die Ergebnisse veröffentlicht werden. Hierauf aufbauend soll ggf. eine erneute Überarbeitung der DS-GVO stattfinden.