Zusammenfassung

Die Datenschutz-Grundverordnung (DSGVO) wird voraussichtlich im Frühjahr 2018 in Kraft treten. Sie wird ohne nationale Umsetzungsakte unmittelbar geltendes Recht in allen Mitgliedsstaaten der EU. Zwar wird die DSGVO erheblich zur Harmonisierung des Datenschutzrechts in Europa beitragen, die ursprünglich geplante Vollharmonisierung ist aber durch zahlreiche Öffnungsklauseln nicht erreicht worden. Öffnungsklauseln gibt es beispielsweise im Beschäftigtendatenschutz und bei den Regelungen für den betrieblichen Datenschutzbeauftragten.

Der bereits aus der EU-Richtlinie von 1995 bekannte Grundsatz, dass jede Verarbeitung personenbezogener Daten grundsätzlich verboten ist, sofern sie nicht durch Gesetz, Rechtsverordnung oder die Einwilligung des Betroffenen erlaubt ist („Verbot mit Erlaubnisvorbehalt“), bleibt bestehen. Viele Pflichten in der DSGVO sind vergleichbar mit den aktuellen Regelungen im BDSG. Zahlreiche neue Begriffe und Regelungen werden voraussichtlich zunächst zu mehr Unsicherheit beim Umgang mit personenbezogenen Daten führen.

Ein Ziel der DSGVO ist die Stärkung der Betroffenenrechte. So sind die Dokumentationspflichten gestiegen und die Selbstbestimmungsrechte der Betroffenen gestärkt worden. Bei Verarbeitungen, die aufgrund einer positiven Interessenabwägung zugunsten des Unternehmens durchgeführt werden, besteht zukünftig ein ausdrückliches Widerspruchsrecht des Betroffenen. Unternehmen müssen vor der Verarbeitung personenbezogener Daten eine so genannte Datenschutzfolgeabschätzungen durchführen und unter Umständen die zuständige Aufsichtsbehörde konsultieren, die die Verarbeitung untersagen kann. Bei Datenschutzverletzungen bestehen umfassende Informations- und Dokumentationspflichten.

Der Bußgeldrahmen wurde deutlich erhöht und reicht jetzt bis zu 10 Mio€ oder 4% des weltweiten Jahresumsatzes der Unternehmensgruppe.

Die DSGVO gilt mit Inkrafttreten auch für Unternehmen, die zwar keine Niederlassung in der EU unterhalten, aber ihre Leistungen in der EU anbieten. Solche Unternehmen benötigen zukünftig einen benannten Vertreter innerhalb der EU.

Unternehmen müssen zukünftig Voreinstellungen und Produkte so gestalten, dass möglichst wenige personenbezogene Daten erhoben und verarbeitet werden („Privacy by Design“).

Bei der Auftragsdatenverarbeitung bleiben die Regelungen im Kern gleich, die Verträge müssen aber an neue Begrifflichkeiten und Vorgaben angepasst werden. Die Auftragserteilung kann auch in elektronischer Form erfolgen. Prinzipiell wird eine Auftragsdatenverarbeitung auch in einem Drittstaat möglich sein.

Die Vorgaben für Datentransfers in Drittländer bleiben im Wesentlichen gleich, allerdings entfällt die im BDSG vorgesehene zweistufige Angemessenheitsprüfung.

Ein betrieblicher Datenschutzbeauftragter ist europaweit nur bei risikoträchtigen Verarbeitungen vorgeschrieben, strengere nationale Regelungen sind erlaubt.

Verbände können Regeln für branchenspezifische Datenverarbeitungen aufstellen und von den Aufsichtsbehörden freigeben lassen. Die DSGVO will die Zertifizierung von Verarbeitungen fördern und stellt klare Vorgaben dafür auf.

Die Datenschutzaufsicht bleibt national, bei Unternehmen mit mehreren Niederlassungen in der EU wird eine Aufsichtsbehörde federführend, aber nicht allein entscheidungsbefugt. Insgesamt sollen sich die Behörden bei vielen Entscheidungen und Regelungen intensiv miteinander abstimmen (Kohärenzpflicht).