Kommissionsentwurf zur Datenschutz-Grundverordnung

Am 25. Januar 2012 stellte die Europäische Kommission ihre Vorschläge für einen neuen Rechtsrahmen für den Datenschutz in der Europäischen Union vor. Neben einer für die Polizei und Justiz relevanten Richtlinie wurde auch die sogenannte Datenschutz-Grundverordnung veröffentlicht. Letztere hat insbesondere eine Modernisierung und Harmonisierung der bisher geltenden Vorschriften im Bereich des Datenschutzes zum Ziel. Im Zeitpunkt ihrer Anwendung (zwei Jahre nach Inkrafttreten der Verordnung) wird die aktuell geltende Datenschutz-Richtlinie, welche auch Grundlage für die Regelungen des Bundesdatenschutzgesetzes ist, aufgehoben. Für Unternehmen bedeutet dies, dass sie ab dem Zeitpunkt der Anwendung – voraussichtlich 2015 / 2016 – bei der Verarbeitung personenbezogener Daten grundsätzlich unmittelbar den Regelungen der Verordnung unterworfen sind. Einer Umsetzung der Verordnung in nationales Recht bedarf es nicht. Nationale Regelungen können nur noch in bestimmten Bereichen umgesetzt werden, wie z.B. im Beschäftigtendatenschutz.

Dabei sind für Unternehmen insbesondere die Ausweitung des räumlichen Anwendungsbereiches, die Stärkung der Betroffenenrechte, die erhöhte Rechenschafts- und Nachweispflicht und der Datentransfer in Drittländer relevant.

Räumlicher Anwendungsbereich

Um den Herausforderungen der raschen technologischen Entwicklungen und der Globalisierung gerecht zu werden, wurde unter anderem der räumliche Anwendungsbereich der Datenschutz-Grundverordnung gegenüber der Richtlinie erheblich ausgedehnt. Ist nach der Richtlinie der Anwendungsbereich erst eröffnet, wenn Daten durch eine Niederlassung in der EU / EWR oder beispielsweise auf Servern in der EU / EWR erhoben und verarbeitet werden, so genügt nunmehr die Erhebung und Verarbeitung personenbezogener Daten durch eine verantwortliche Stelle von in der EU ansässigen Personen aus. Mit Hilfe dieser Regelungen sollen insbesondere Datenerhebungen und -verarbeitungen via Internet durch nicht in der EU ansässige Anbieter in den Anwendungsbereich der Datenschutz-Grundverordnung einbezogen werden. Dies betrifft z.B. die Datenverarbeitung in sozialen Netzwerken wie Facebook.

Stärkung der Rechte Betroffener

Die Kommission plant die Rechte betroffener Personen zu stärken. In ihrem Entwurf der Datenschutz-Grundverordnung werden die bestehenden Rechte konkret ausgestaltet. Ein besonderes Gewicht wird auf die Transparenz von Informationen und Auskünften gelegt. Auch werden die Schutzinteressen von Kindern bis zur Vollendung des 18. Lebensjahres besonders berücksichtigt. Die Datenschutz-Grundverordnung gewährleistet aber auch „neue“ Rechte wie das „Recht auf Vergessenwerden“ und das „Recht auf Datenmitnahme“.

Das Recht auf Vergessenwerden ist ein über die Löschung durch die verantwortliche Stelle hinausgehendes Recht. Es verpflichtet die verantwortliche Stelle nicht nur dazu, selbst personenbezogene Daten zu löschen, sondern auch Dritte über das Verlangen des Betroffenen, Querverweise, Kopien oder Replikationen zu löschen, zu informieren, so dass diese ihrerseits dem Verlangen des Betroffenen nachkommen können.

Auch das Recht der Datenmitnahme soll technologischen Entwicklungen, besonders im Hinblick auf soziale Netzwerke gerecht werden. Zum einen kann eine betroffene Person eine Kopie ihrer Daten in einem strukturierten gängigen Format verlangen. Darüber hinaus soll es auch möglich sein, Datensätze aus einem elektronischen Verarbeitungssystem in einem gängigen elektronischen Format in ein anderes System überführen zu lassen. Durch dieses Recht soll ein Anbieterwechsel, bspw. von einem sozialen Netzwerk in ein anders soziales Netzwerk, selbst bei großen Datensammlungen ungehindert möglich sein.

Erhöhte Rechenschafts- und Nachweispflicht

Die Kommission verfolgt mit ihrem Entwurf der Datenschutz-Grundverordnung auch die Förderung des freien Datenverkehrs. Um diesen erleichtern zu können, sollen zahlreiche Meldepflichten abgeschafft werden, welche in Deutschland bereits bisher größtenteils entfallen, soweit ein Datenschutzbeauftragter bestellt ist. Im Gegenzug sollen die Unternehmen jedoch unter anderem sämtliche Verfahren und Datenverarbeitungsschritte dokumentieren und gegebenenfalls nachweisen können. In bestimmten Fällen muss darüber hinaus eine sogenannte Datenschutz-Folgenabschätzung durchgeführt werden, welche mit der Vorabkontrolle vergleichbar ist. Generell verpflichtend ist nach dem Kommissionsentwurf die Bestellung eines Datenschutzbeauftragten unter bestimmten Voraussetzungen (regelmäßig ab 250 Mitarbeiter). Eine solche Pflicht besteht zwar bisher bereits in Deutschland; eine Regelung dahingehend ist jedoch nicht in der aktuell geltenden Datenschutz-Richtlinie verankert.

Bei der Implementierung neuer Verfahren sind die Grundsätze des Datenschutzes durch Technik (Privacy by design) und der datenschutzfreundlichen Grundeinstellungen (Privacy by default) zu beachten. Durch diese Grundsätze werden von vornherein ein „eingebauter Grundrechtsschutz“ und die Einstellungen mit dem höchsten Datenschutzniveau als Standardeinstellung verlangt.

Datentransfer in Drittstaaten

Für einen Datentransfer in Drittstaaten wird wie bisher auch neben einer Übermittlungsbefugnis ein angemessenes Datenschutzniveau verlangt. Neu ist, dass bei einer Weiterübermittlung personenbezogener Daten an einen weiteren Drittstaat diese Vorgaben ebenfalls eingehalten werden müssen (sog. Onward-Transfer).

Ebenfalls eine Neuerung ist, dass die Kommission nicht nur ein angemessenes Datenschutzniveau eines Drittlandes, sondern auch bestimmter Gebiete bzw. Verarbeitungssektoren beschließen kann.

Auch gibt der Entwurf der Datenschutz-Grundverordnung erstmals vor, welche Regelungen inhaltlich bei der Erstellung von verbindlichen Unternehmensrichtlinien (Binding Corporate Rules) einer Unternehmensgruppe zu beachten sind.

Katja Losch-Kremer | 9. März 2012 | Gesetzesänderungen, Internationaler Datenschutz |