Am 15.12.2015 haben sich die Parteien des Trilogs (EU Kommission, Rat und Parlament) auf eine Kompromissfassung der EU-Datenschutz-Grundverordnung (DS-GVO) geeinigt. Es ist davon auszugehen, dass Ministerrat und das Parlament noch im Januar/Februar 2016 über die Einigung abstimmen. Die Verordnung tritt dann zwei Jahre und 20 Tage nach Veröffentlichung im Amtsblatt in Kraft, also voraussichtlich im Frühjahr 2018.

Mit der DS-GVO ist sichergestellt, dass in allen Mitgliedstaaten das gleiche materielle Recht gilt, denn sie findet unmittelbar, d.h. ohne Umsetzung in nationales Recht, Anwendung. Sie wird wesentliche Teile des deutschen Datenschutzrechts ersetzen. Grundsätzlich nicht erfasst ist der Arbeitnehmerdatenschutz, welcher sich weiterhin nach lokalem Recht richtet. Allerdings sind die Grundentscheidungen der Verordnung auch beim Arbeitnehmerdatenschutz zu berücksichtigen. Durch die Verordnung werden sich insbesondere folgende wesentlichen Änderungen ergeben:

Erweiterte internationale Anwendbarkeit

Der internationale Anwendungsbereich der datenschutzrechtlichen Regelungen wird erweitert. Auf Unternehmen mit Sitz außerhalb der EU findet die Verordnung Anwendung, sobald die Datenverarbeitung im Zusammenhang mit dem Angebot von Produkten oder Dienstleistungen an Bewohner der Mitgliedstaaten steht oder wenn deren Verhalten innerhalb der EU überwacht wird. Auf ausländische Webauftritte kann daher die Verordnung bereits Anwendung finden, wenn diese Angebote in lokaler Sprache oder europäischer Währung bereithalten oder das Nutzerverhalten von EU-Bewohnern über die Website auswerten.

Einheitliche Rechtsaufsicht durch „One-Stop-Shop“ angestrebt

Zukünftig soll es eine federführende Aufsichtsbehörde am Sitz der Hauptniederlassung des Unternehmens geben. Betroffene können sich allerdings bei Beschwerden stets an ihre lokale Aufsichtsbehörde in der jeweiligen Landessprache wenden. Ferner ist die Einbindung von Aufsichtsbehörden in ebenfalls betroffenen Mitgliedstaaten im Rahmen eines Kohärenzverfahrens vorgesehen. Bei Unstimmigkeiten entscheidet das neu zu schaffende „European Data Protection Board“. Dieses Gremium wird sich aus Vertretern der nationalen Aufsichtsbehörden zusammensetzen. Dabei ist für Deutschland eine Aufsichtsbehörde zu benennen, welche die anderen in diesem Gremium vertritt.

Erhöhte Rechenschaftspflicht der Unternehmen („Accountability“)

Die Unternehmen werden stärker zur Verantwortung gezogen, insbesondere was das Management von Datenschutzrisiken betrifft. Konkret umgesetzt wird dies insbesondere durch folgende Maßnahmen:

  • Erhöhter Bußgeldrahmen mit Bußgeldern von bis zu zwanzig (20) Millionen Euro oder 4% des weltweiten Jahresumsatzes.
  • Pflicht zur Meldung von sog. Datenschutzverstößen, also insbesondere unberechtigte Zugriffe oder der Verlust personenbezogener Daten, binnen 72 Stunden.
  • Erhöhte Anforderungen an die Datenschutzorganisation durch (jeweils durch Bußgeld abgesichert):
    • Die Ernennung eines Datenschutzbeauftragten ist verpflichtend, sofern der Kern des Geschäfts die regelmäßige oder systematische Beobachtung von Betroffenen in großem Umfang ist oder in großem Umfang sensitive Daten verarbeitet werden. Darüber hinaus kann nationales Recht – wie in Deutschland – eine Pflicht zur Ernennung vorsehen (Öffnungsklausel).
    • Das Führen einer Verarbeitungsübersicht (Dokumentation der Verarbeitungsvorgänge) ist verpflichtend für alle verantwortlichen Stellen und Auftragsdatenverarbeiter (ähnlich wie bisher § 4g Abs. 2 i.V.m. § 4e Satz 1 BDSG).
    • Jede Auftragsdatenverarbeitung bedarf eines Vertrages, welcher u.a. die Weisungen und insbesondere technische und organisatorische Maßnahmen festlegt (ähnlich wie bisher § 11 BDSG).
    • Privacy by Design (Datenschutz durch Technik), d.h. Produkte und Services sind so zu erstellen, dass diese standardmäßig nur diejenigen personenbezogenen Daten verarbeiten, welche für den jeweiligen Zweck erforderlich sind.
    • Privacy Impact Assessments (Datenschutzfolge-Abschätzung), d.h. Verarbeitungsvorgänge, welche hohe Risiken für die Rechte und Freiheiten Betroffenen beinhalten (z.B. Videoüberwachung), bedürfen einer vorherigen unternehmensinternen Überprüfung zur Abschätzung möglicher Folgen und Risiken für die Betroffenen (bisher: „Vorabkontrolle“).
  • Stärkung der Verbraucherrechte

Ein wesentliches Ziel der Verordnung ist die Stärkung der Rechte der Betroffenen. Hierzu sind vor allem folgende Maßnahmen vorgesehen:

  • Verbandsklagerecht: Der Betroffene kann gemeinnützige Verbände mit der Geltendmachung seiner Rechte bei einer Aufsichtsbehörde oder vor Gericht beauftragen. In Deutschland steht ohnehin das sog. Unterlassungsklagegesetz kurz vor der Verabschiedung, welches Verbänden ein eigenes Klagerecht in Bezug auf die datenschutzrechtliche Zulässigkeit der „zu kommerziellen Zwecken“ verarbeiteten personenbezogenen Daten (insbesondere Werbung und Adresshandel) einräumt (BT-Drucks. 18/4631, S. 8).
  • Recht auf Löschung („Right to be forgotten“): Wie bisher sind personenbezogene Daten bei Zweckfortfall zu löschen. Hinzugekommen ist die Pflicht von Anbietern, welche personenbezogene Daten öffentlich machen, Dritte über ein Löschungsverlangen des Betroffenen zu informieren.
  • Recht auf Datenübertragbarkeit: Der Betroffene kann personenbezogene Daten, welche er dem Unternehmen auf Basis einer Einwilligung zur Veröffentlichung gegeben hat, in einem üblichen Datenformat herausverlangen. Damit soll gewährleistet werden, dass ein Nutzer von z.B. Facebook mit den Daten aus seinem Account zu einem anderen Anbieter umziehen kann.
  • Widerspruchsrecht bei Datenverarbeitungen für Zwecke des Direktmarketings oder der Profilbildung für solche Zwecke oder bei Verarbeitungen, welche „bloß“ im berechtigten Interesse des Unternehmens vorgenommen werden.
  • Erhöhte Anforderungen an die Wirksamkeit der Einwilligung. Die Einwilligungserklärung ist nur wirksam, wenn diese freiwillig, spezifisch, informiert und eindeutig ist. Erforderlich ist eine bestätigende Handlung („affirmative action“). Stillschweigen, vorgecheckte Boxen oder Inaktivität sollen ausdrücklich nicht als Einwilligung gelten. Insoweit steht zu befürchten, dass zukünftig strengere Anforderungen insbesondere an die konkreten Zweckangaben im Einwilligungstext gestellt werden. Ferner kann die Freiwilligkeit der Einwilligung in Frage stehen, wenn die Vertragserfüllung von der Abgabe einer Einwilligung abhängig gemacht hat. Diese Formulierung geht vermutlich weit über das bisherige Kopplungsverbot hinaus.
  • Strengere Zweckbindung: Anders als bisher wird es zukünftig schwieriger einmal erhobene personenbezogene Daten später für einen anderen Zweck zu verarbeiten. Während bisher z.B. die interne Verwendung von Kundendaten für Analysezwecke auf § 28 Abs. 2 Nr. 2 i.V.m. Abs. 1 Satz 1 Nr. 2 BDSG gestützt werden kann, ist ein solcher Rückgriff auf den vergleichbaren Artikel 6 Buchstabe f DS-GVO nicht möglich. Nunmehr soll maßgeblich sein, ob der „andere Zweck“ mit dem ursprünglichen Zweck „kompatibel“ ist. Kriterien hierfür sind die Verbindung des neuen mit dem alten Zweck, der Verarbeitungszusammenhang, die Art der personenbezogenen Daten, mögliche Konsequenzen für den Betroffenen und ausreichende Sicherheitsvorkehrungen.
  • Auslandsübermittlungen

Wie bisher auch, verbietet die Verordnung die Übermittlung von personenbezogenen Daten in Drittländer, es sei denn a) die Kommission hat für das Empfängerland eine Angemessenheitsentscheidung getroffen; b) die Parteien haben für angemessene Garantien gesorgt (z.B. über die sog. Standardvertragsklauseln) oder c) es bestehen konzernintern sog. Binding Corporate Rules. Neu ist, dass die Verordnung genauere Kriterien für die Angemessenheitsentscheidung der Kommission festlegt, z.B. ob für den Betroffenen im Empfängerland angemessene Rechtsmittel zur Verfügung stehen. Hintergrund dieser Vorgaben ist sicherlich die Entscheidung des Europäischen Gerichtshofs zur Safe Harbor-Entscheidung vom 6. Oktober 2015 (Rs. C 362/14 – Schrems/Data Protection Comissioner). Ferner ist es bei der – sehr politisch motivierten – Regelung verblieben, wonach Anfragen von Gerichten oder Behörden von Drittländern nur dann zu einer Datenübermittlung führen dürfen, wenn dies auf einem Rechtshilfeabkommen basiert. Dies wird viele Unternehmen vor Probleme stellen, wenn sie z.B. aus den USA sog. pre-trial discovery requests erhalten. Hier wird man überlegen müssen, ob aggregierte Daten für die Beweisführung ausreichen können.