Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.
Erklärtes Ziel der Datenschutz-Grundverordnung (DSGVO) ist es, ein gemeinsames und homogenes europäisches Datenschutzrecht zu schaffen, das einheitliche Schutzstandards in allen EU-Mitgliedstaaten sicherstellt und das auch für Unternehmen aus Nicht-EU-Staaten, die in der EU aktiv sind und Daten von Europäern verarbeiten, anwendbar ist. Da das Datenschutzrecht in den EU-Mitgliedstaaten bisher auf einer Richtlinie beruhte, die nicht direkt in den EU-Mitgliedstaaten anwendbar war, gab es vor der DSGVO zum Teil sehr unterschiedliche Regelungen und Interpretationen des vorgegebenen Rechtsrahmens in der EU. Im Ergebnis führte dies dazu, dass manche EU-Länder faktisch einen deutlich niedrigeren Datenschutz-Standard als andere aufwiesen. Nicht zuletzt um das daher immer beliebter werdende „Forum-Shopping“ einzudämmen, bei dem sich Unternehmen aus Nicht-EU-Ländern bei der Wahl des Ortes für eine Niederlassung in Europa scheinbar gezielt daran orientierten, ob in dem jeweiligen EU-Land ein vergleichsweise niedriges Datenschutz-Niveau herrscht, sollte die Datenschutz-Grundverordnung mit EU-weit einheitlichen Vorgaben eingeführt werden.
Nachdem die Inhalte der DSGVO nun weitestgehend beschlossen sind, stellt sich die Frage: Ist dies tatsächlich gelungen? Wie einheitlich wird das europäische Datenschutzrecht sein und wer muss sich international daran halten? Wie genau sehen die entsprechenden Regelungen in der zukünftig geltenden DSGVO aus? Und was sind die Unterschiede zu den derzeitig geltenden Regelungen? Zudem soll der Frage nachgegangen werden, wann und unter welchen Bedingungen zukünftig die Übermittlung von Daten zwischen EU-Mitgliedstaaten und ins Ausland zulässig ist.
EU-weite Vereinheitlichung des Datenschutzrechts? JEIN!
Der erwünschte Vereinheitlichungseffekt der DSGVO wird nur bedingt eintreten: An über 60 Stellen finden sich in der DSGVO sogenannte Öffnungsklauseln, mit denen den nationalen Gesetzgebern in der EU die Möglichkeit eingeräumt wird, eigene Regelungen und Konkretisierungen zu bestimmten Bereichen des Datenschutzrechts zu schaffen. Zahlreiche dieser Öffnungsklauseln betreffen jedoch den öffentlichen Bereich und das Vorliegen von öffentlichen Interessen. Für private Unternehmen ergeben sich relevante Regelungsspielräume in u.a. folgenden Bereichen:
- Verarbeitung besonders sensibler Daten:
Die Mitgliedstaaten haben die Möglichkeit zusätzliche Bedingungen, einschließlich Beschränkungen für die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten, Daten zur religiösen Überzeugung oder politischen Meinung) zu schaffen, Artikel 9 DSGVO. - Einwilligungsfähigkeit Minderjähriger:
Es besteht die Möglichkeit, das Mindestalter für die Einwilligungsfähigkeit bei der Einholung von Einwilligungen von Minderjährigen von 16 Jahren auf bis zu 13 Jahre abzusenken, Artikel 8 Abs. 1 DSGVO. - Ausnahmen von Informationspflichten und dem Verbot der automatisierten Einzelentscheidung:
Durch nationale Gesetze können Mitgliedstaaten eigene Vorgaben bezüglich der Informationspflichten gegenüber der von der Datenverarbeitung betroffenen Person (Artikel 14 DSGVO) und des Verbots der automatisierten Einzelentscheidung (Art. 22 DSGVO) schaffen. - Pflicht zur Ernennung eines Datenschutzbeauftragten:
Es können Fälle festgelegt werden, in denen – jenseits der in der DSGVO bereits normierten Konstellationen – eine Pflicht zur Ernennung eines Datenschutzbeauftragten besteht, Artikel 37 Abs. 4 DSGVO. - Spezielle Regelungen zum Beschäftigtendatenschutz:
Die Mitgliedstaaten dürfen spezifischere Vorschriften zur Gewährleistung des Beschäftigtendatenschutzes erlassen, Artikel 88 DSGVO.
Unklar bleibt derzeit allerdings, wann die nationalen Datenschutzvorschriften der verschiedenen Mitgliedstaaten, die zukünftig aufgrund der Öffnungsklauseln in der DSGVO erlassen werden, bei grenzüberschreitenden Datenverarbeitungen zu beachten sind: Ob und inwieweit bspw. bei mehreren Niederlassungen in der EU bzw. bei der Verarbeitung von Daten von Betroffenen aus mehreren EU-Ländern neben den Regelungen der DSGVO auch die verschiedenen nationalen Datenschutz-Vorschriften aller betroffener Mitgliedstaaten Anwendung finden, ist derzeit in der DSGVO nicht explizit geregelt. Einheitliche Regelungen in den zukünftig aufgrund der Öffnungsklauseln erlassenen nationalen Gesetzen könnten hier Klarheit schaffen.
Für wen gilt europäisches Datenschutzrecht zukünftig?
Nach dem Territorialprinzip des Artikel 4 Abs. 1 a der bisher geltenden EU-Datenschutzrichtlinie war eine Niederlassung und damit eine „effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung“ in einem EU- Mitgliedstaat erforderlich, um das jeweilige nationale Datenschutzrecht anwendbar zu machen.
In Artikel 3 der DSGVO wird nun neu festgelegt, wer die DSGVO beachten muss: Maßgeblicher Anknüpfungspunkt ist dabei nicht mehr nur der Ort an dem der Datenverarbeiter oder Auftragsverarbeiter niedergelassen ist, sondern auch der Ort an dem sich die Personen, deren Daten verarbeitet werden, aufhalten. Voraussetzung für letzteres ist jedoch, dass der Verarbeiter zusätzlich entweder der betroffenen Person Waren oder Dienstleistungen anbietet oder die Datenverarbeitung „der Beobachtung ihres Verhaltens dient“. Wo die Datenverarbeitung selbst stattfindet ist hingegen nicht relevant für die Beurteilung der Frage, welches Recht anwendbar ist. Damit wird offiziell das sogenannte „Marktortprinzip“ im europäischen Datenschutzrecht eingeführt, bei dem sich das anwendbare Recht nicht an dem Sitz oder einer Niederlassung des Datenverarbeiters, sondern an dem Aufenthaltsort der von der Datenverarbeitung betroffenen Verbraucher orientiert. Faktisch wurde das Marktortprinzip aber bereits in der Vergangenheit indirekt angewandt, indem das entscheidende Merkmal für die Anwendbarkeit des jeweiligen Rechts bei grenzüberschreitenden Sachverhalten, nämlich das Vorliegen einer „Niederlassung“ in dem EU-Land des Betroffenen, vom Europäischen Gerichtshof (EuGH) sehr weit ausgelegt wurde (siehe hierzu die Urteile des EuGH zu Google 2014 (Aktenzeichen C – 131/12) und Weltimmo 2015 (Aktenzeichen C-230/14), wir berichteten).
Internationaler Datentransfer
Die Vorgaben der DSGVO zu Datentransfers über Landesgrenzen hinweg stimmen – bis auf wenige Änderungen – mit den derzeitigen Regelungen der EU-Datenschutzrichtlinie überein:
Eine Datenübermittlung innerhalb der EU wird nach wie vor wie eine Datenübermittlung innerhalb eines Mitgliedsstaates behandelt und darf nur aufgrund einer einschlägigen Rechtsgrundlage (vgl. Artikel 6 bzw. 9 DSGVO) erfolgen. Auch für den Fall, dass Daten aus der EUhinaus übermittelt werden, bleiben die Grundbausteine erhalten, Artikel 44 ff. DSGVO: Hier gilt der bisher schon geltende Grundsatz, dass neben einer einschlägigen Rechtsgrundlage für die Übermittlung, zusätzlich ein angemessenes Datenschutzniveau bei der empfangenden Stelle vorliegen muss.
Angemessenheitsbeschlüsse der EU-Kommission
Das angemessene Datenschutzniveau kann weiterhindurch einen Angemessenheitsbeschluss der EU-Kommission (wir berichteten) festgestellt werden. Neu ist dabei allerdings, dass hierbei explizit festgelegt wird, dass nicht nur ein Drittland als Ganzes, sondern auch „ein Gebiet oder ein oder mehrere spezifische Sektoren eines Drittlands“ Gegenstand eines Angemessenheitsbeschlusses sein können. Zudem sollen die Angemessenheitsbeschlüsse einer regelmäßigen Überprüfung durch die EU-Kommission unterzogen werden (Erwägungsgrund 106 DSGVO).
Alternative: EU-Standardvertrag, Binding Corporate Rules und Co.
Auch die Maßnahmen, die alternativ zum Vorliegen eines Angemessenheitsbeschluss der EU-Kommission ergriffen werden können, um ein angemessenes Datenschutzniveau bei der datenempfangenden Stelle im Drittland zu gewährleisten (die DSGVO spricht insofern von „Datenübermittlung auf der Grundlage von geeigneten Garantien“, Artikel 46 DSGVO), gleichen denen aus der EU-Datenschutzrichtlinie: Sowohl das Instrument der EU-Standardvertragsklauseln (wir berichteten), die in der Verordnung nun „Standarddatenschutzklauseln“ genannt werden, als auch „verbindliche unternehmensinternen Datenschutzvorschriften“, auch bekannt als „Binding Corporate Rules“ (BCR), können eingesetzt werden, um ein angemessenes Datenschutzniveau herzustellen. Hier bestehen im Detail kleine, aber wichtige Abweichungen von den Vorgaben der EU-Datenschutzrichtlinie, z.B.:
- Die EU-Standardvertragsklauseln können fortan in allen Mitgliedstaaten ohne vorherige Genehmigung der jeweils zuständigen Datenschutz-Aufsichtsbehörde eingesetzt werden. Der von einer Genehmigung unabhängige Einsatz der Standardvertragsklauseln war zwar in der Vergangenheit in einigen EU-Ländern wie in Deutschland bereits auch schon Standard, bspw. Österreich aber machte den Einsatz der Standardvertragsklauseln von einer vorherigen gesonderten Genehmigung der Datenschutz-Aufsichtsbehörde abhängig. Zudem können auch von der nationalen Aufsichtsbehörde in Abstimmung mit der EU-Kommission eigene Standarddatenschutzklauseln vorgegeben werden.
- Die Anforderungen an „verbindliche unternehmensinternen Datenschutzvorschriften“ werden konkreter und klarer geregelt (Art. 47 DSGVO).
Zusätzlich wird als weitere Möglichkeit der Einsatz von „genehmigten Verhaltensregeln“ (Art. 40 DSGVO) bzw. von einem „genehmigten Zertifizierungsmechanismus“ (Art. 42 DSGVO) eingeführt. Die praktische Relevanz dieser neuen Mechanismen lässt sich derzeit schwer einschätzen.
Ausnahmen für Sonderfälle
Die Ausnahmen, in denen Übermittlungen in Drittstaaten auch ohne Angemessenheitsbeschluss oder geeignete Garantien zulässig sind, sind in Artikel 49 DSGVO geregelt und entsprechen weitestgehend den Vorgaben der EU-Datenschutzrichtlinie. Nach wie vor darf eine Übermittlung in solchen Fällen bspw. dann erfolgen, wenn die betroffene Person ihre Einwilligung gegeben hat, die Übermittlung für die Erfüllung eines Vertrags oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist. Neu ist die Regelung des Artikels 49 Absatz 1 h) DSGVO nach der eine Übermittlung an ein Drittland oder eine internationale Organisation auch dann erfolgen darf, wenn die Wahrung zwingender berechtigter Interessen des Datenverarbeiters diese erforderlich machen. In diesem Fall darf die Übermittlung dann erfolgen, wenn
- die Übermittlung nicht wiederholt erfolgt,
- sie nur eine begrenzte Zahl von betroffenen Personen betrifft,
- die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und
- der für die Verarbeitung Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat.
Zusätzlich muss in diesem Fall auch die Aufsichtsbehörde und die betroffene Person über die Übermittlung unterrichtet werden.
Aufgrund der dargestellten sehr hohen rechtlichen und praktischen Hürden dieser neuen Ausnahme und der existierenden Alternativen schreiben wir dieser Regelung jedoch in der Praxis zukünftig eher geringe Bedeutung zu.
Fazit
Die DSGVO schafft zwar – im Vergleich zur derzeit noch geltenden EU-Datenschutzrichtlinie – viele weitere Vereinheitlichungen im EU-Datenschutzrecht, die insbesondere den Dialog zu Datenschutzthemen mit Vertragspartnern in und jenseits der EU vereinfachen werden. Es gibt jedoch auch zahlreiche Spielräume für nationale Regelungen in der DSGVO, die die Entstehung des EINEN, für alle Mitgliedstaaten gleichgeltenden Datenschutzrechts verhindern werden. Zudem ist derzeit noch unklar, wann und in welchem Ausmaß die nationalen Sondervorschriften der verschiedenen Mitgliedstaaten, die aufgrund der Öffnungsklauseln zukünftig erlassen werden, bei grenzüberschreitenden Datenverarbeitungen zur Anwendung kommen.
Die Voraussetzungen für die Zulässigkeit des Datentransfers aus der EU in Drittländer werden zukünftig mit den bisherigen Regelungen weitestgehend vergleichbar sein.
Weitere Beiträge zur DSGVO finden Sie in unserem Blog.
Update 11.4.2016: Der Artikel wurde an die konsolidierte Fassung der DSGVO vom 6.4.2016 angepasst.