EU-Datenschutz-Grundverordnung – Aktueller Stand der Gesetzgebung

Rechtsanwalt DatenschutzbeauftragterAbschließende Verhandlungen

Seit dem 25.01.2012, als die EU-Kommission einen ersten Entwurf für eine EU-Datenschutz-Grundverordnung veröffentlicht hatte, wird auf europäischer Ebene an einer einheitlichen, in allen EU-Mitgliedstaaten direkt geltenden Verordnung für den Datenschutz gearbeitet. Im Gegensatz zur bisher bestehenden EU-Datenschutz-Richtlinie, welche in jedem Mitgliedsstaat in nationale Datenschutzgesetze umgesetzt worden ist (in der Bundesrepublik Deutschland zum Beispiel im Bundesdatenschutzgesetz und den Landesdatenschutzgesetzen), soll mit der unmittelbaren Wirkung einer EU-Verordnung in jedem Mitgliedstaat eine Vereinheitlichung des Datenschutzes innerhalb der gesamten Europäischen Union erfolgen.

Nachdem bereits ein Entwurf der EU-Kommission und des EU-Parlaments vorliegen, hat Mitte 2015 nun auch der Europäische Rat der EU, also das das Gremium der Staats- und Regierungschefs der Europäischen Union, nach etwa dreijähriger Verhandlung einen Entwurf zur Datenschutz-Grundverordnung vorgelegt.

In einem seit Juni 2015 stattfindenden Trilog zwischen EU-Kommission, EU-Rat und EU-Parlament sollen bis Ende des Jahres (so die Planung) die vorliegenden Entwürfe verhandelt und eine endgültige Fassung der Datenschutz-GrundVO vorgelegt werden.

Inhalte des Entwurf der Datenschutz-GrundVO

Der Entwurf des Europäischen Rats enthält folgende zentrale Inhalte:

Räumlicher Anwendungsbereich der Datenschutzgrundverordnung

Die DatenschutzgrundVO soll räumliche Anwendung finden auf alle datenverarbeitende Stellen und Unternehmen, welche EU-Bürgern Waren oder Dienstleistungen anbieten, egal wo diese Stellen ihren Sitz haben (sog. Marktortprinzip). In der Praxis werden die Regelungen der Datenschutz-Grundverordnung daher unter anderem auch für (Internet-) unternehmen/dienstleistern mit Sitz in einem Drittstaat (z.B. den USA) gelten, welche personenbezogene Daten von EU-Bürgern verarbeiten.

Eine zuständige Datenschutzaufsichtsbehörde

Ferner ist auch gerade bei Datenverarbeitungen mit internationalem Bezug nur noch eine Aufsichtsbehörde zuständig und Ansprechpartner für Unternehmen wie auch betroffene Personen (sog. One-Stop-Shop). Privatpersonen sollen sich auch bei der Verarbeitung ihrer personenbezogenen Daten in anderen EU-Staaten an die Aufsichtsbehörde des eigenen Landes wenden können.

Recht auf Vergessenwerden

Der Entwurf des Europäischen Rates sieht ebenso wie die Entwurfsfassungen der anderen EU-Institutionen das sog. „Recht auf Vergessenwerden“ vor. Betroffenen soll damit der Anspruch eingeräumt werden, nicht mehr aktuelle oder unrechtmäßig verarbeitete Daten entfernen zu lassen. Nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) bestehen bereits Ansprüche gegen Suchmaschinenbetreiber, die angezeigten Links bei einer Namenssuche zu löschen, wenn durch die verlinkte Website die Persönlichkeitsrechte des Betroffenen verletzt werden.

Privacy-by-Default und Privacy-by-Design

Ferner soll mithilfe strengerer Auskunftsrechte für Betroffene das Transparenzgebot gestärkt werden wie auch Privacy-by-Default und Privacy-by-Design etabliert werden. Im Gegenzug wurde im Entwurf die bestehende Pflicht zur Datensparsamkeit stark eingeschränkt auf eine gebotene „nicht exzessive“ Nutzung personenbezogener Daten.

Wegfall des Zweckbindungsprinzips?

Eine wesentliche Abschwächung des Datenschutzniveaus gegenüber den Entwurfsvorschlägen der EU-Kommission und des EU-Parlaments sieht der Entwurf des Europäischen Rates mit dem Wegfall des Zweckbindungsprinzips vor. Danach sollen Datenverarbeitungen zu anderen Zwecken bei Vorliegen eines überwiegenden „berechtigten Interesses“ der datenverarbeitenden Stelle oder sogar von „Drittparteien“ möglich sein. Grundsätzlich soll auch unter bestimmten Voraussetzungen die Erstellung von Profilen von Betroffenen erlaubt werden.

Datenschutzregeln im Direktmarketing

Unternehmen sollen personenbezogene Daten auch für Direktmarketing nutzen dürfen, bis der Betroffene einer solchen Datenverwendung widerspricht („opt-out“). Nach bestehender Rechtslage muss zumindest bei E-Mail und Faxwerbung eine ausdrückliche Einwilligung eingeholt werden („opt-in“).

Beschäftigtendatenschutz

Datenschutzregeln bzgl. der Verarbeitung von Beschäftigtendaten sollen die EU-Mitgliedstaaten durch eigene Rechtsvorschriften festlegen können „unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage der Einwilligung des Arbeitnehmers verarbeitet werden dürfen“. Sofern sich diese Regelung in der endgültigen Fassung der Datenschutzgrundverordnung durchsetzen sollte, könnten (einige) Regelungen des gescheiterten nationalen Beschäftigungsdatenschutzgesetzes wieder relevant werden.

Strafen bei Datenschutzverstößen in der Datenschutz-GrundVO

Hinsichtlich der Höhe von Sanktionen bei einem Datenschutzverstoß geht der Entwurf des Europäischen Rates mit Bußgelder in Höhe von 250.000 Euro oder 0,5 Prozent des Jahresumsatzes weniger weit als die Entwürfe des EU-Parlaments und der EU-Kommission.

Nach Verabschiedung einer durch die EU-Institutionen ausgehandelten Datenschutz-GrundVO wird diese zwei Jahre später in Kraft treten.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe