Am 25. Januar 2012 stellte die Europäische Kommission ihre Vorschläge für einen neuen Rechtsrahmen für den Datenschutz in der Europäischen Union vor. Diese wird voraussichtlich ab 2015/ 2016 Anwendung finden. Neben einer für die Polizei und Justiz relevanten Richtlinie wurde auch die sogenannte Datenschutz-Grundverordnung veröffentlicht. Ob eine Datenverarbeitung durch Unternehmen in Deutschland bzw. innerhalb und teilweise auch außerhalb der Europäischen Union zulässig ist, wird sich künftig nach den Regelungen dieser Datenschutz-Grundverordnung entscheiden.

Mit der Reform des Datenschutzrechts soll zum einen grundlegenden Veränderungen in der Art und Weise der Datenverarbeitung, welche durch den technologischen Fortschritt entstanden sind, entsprochen werden. Aber auch die Rechtsunsicherheit, welche durch die unterschiedliche Anwendung des Datenschutzrechtes in den Mitgliedsstaaten hervorgerufen wurde und die dadurch entstandene Hemmung des Wirtschaftswachstums in der Europäischen Union sollen beseitigt werden.

Da sich die Regelungen der Datenschutz-Grundverordnung in weiten Teilen an dem deutschen Datenschutzrecht, insbesondere dem Bundesdatenschutzgesetz orientieren, werden sich viele Aspekte gegenüber der aktuellen Gesetzeslage nicht maßgeblich ändern.

Neu ist jedoch die räumliche Ausweitung des Anwendungsbereiches der Datenschutz-Grundverordnung. Der Entwurf sieht vor, dass auch Datenverarbeitungen, welche von nicht in der EU ansässigen Unternehmen vorgenommen werden, dann den Regelungen der Verordnung unterworfen sind, soweit es sich um personenbezogene Daten von in der EU ansässigen Personen handelt.

Ebenfalls zur Gewährleistung eines umfassenden Schutzes betroffener Personen tragen das sogenannte Recht auf Vergessenwerden und das Recht auf Datenübertragbarkeit bei. Ersteres soll insbesondere dazu führen, dass nicht nur originär im Internet veröffentlichte Daten gelöscht werden müssen, sondern auch Verlinkungen und Kopien aus dem Netz zu entfernen sind. Das Recht auf Datenübertragbarkeit hingegen erleichtert es der betroffenen Person, zur Verfügung gestellte Informationen – beispielsweise in ein anderes soziales Netzwerk – übertragen zu lassen.

Durch eine engere Zusammenarbeit der Aufsichtsbehörden in den Mitgliedstaaten und die Möglichkeit der Ansprache der Aufsichtsbehörde vor Ort (“one-stop shop”) wird außerdem zu einheitlichen Entscheidungen durch Abstimmung, zu einer besseren Durchsetzung und leichteren Geltendmachung der Rechte beigetragen. Um Unternehmen künftig den hohen Verwaltungsaufwand durch Meldepflichte zu ersparen, wird hierauf größtenteils verzichtet; im Gegenzug wird diesen eine größere Verantwortlichkeit aufgebürdet. Dies spiegelt sich beispielsweise in zahlreichen Informations-, Dokumentations- und Nachweispflichten wieder. Kleinere und Mittlere Unternehmen (bis 250 Mitarbeitern) werden jedoch an zahlreichen Stellen berücksichtigt und von mancher Regelung befreit.

Werden die Vorgaben der Verordnung nicht beachtet, so kann dies unbeschadet nationaler strafrechtlicher Sanktionen zu einer Geldbuße von bis zu 1.000.000 Euro bzw. 2% des Jahresumsatzes führen.

Der Europäische Datenschutzbeauftragte Peter Hustinx hat den Entwurf kritisch bewertet. In einer 85seitigen Stellungnahme geht er auf die einzelnen Punkte der Verordnung ein. Empfehlenswert ist die Zusammenfassung ab Seite 68.

Über die weiteren Entwicklungen im Zusammenhang mit der Verabschiedung der Datenschutz-Grundverordnung halten wir sie auf dem Laufenden.