Alles neu macht der Mai: Die Datenschutz-Grundverordnung

Ab dem 25. Mai 2018 gilt in Europa die neue Verordnung zum Schutz personenbezogener Daten und zum freien Datenverkehr (EU) 2016/679 (Datenschutz- Grundverordnung / General Data Protection Regulation).  Sie wird die bis dato geltende Datenschutzrichtlinie (Richtlinie 95/46/EG) ablösen. Zum Zeitpunkt deren Erlasses im Jahr 1995 waren die raschen Entwicklungen rund um Digitalisierung und Internet noch nicht absehbar, so dass die Richtlinie den heutigen Anforderungen nicht gerecht werden kann. Zudem kommt der bisher uneinheitlich gewährte Rechtsschutz innerhalb der EU, welchen die Verordnung harmonisieren und auf ein einheitliches Niveau stellen will.

Wichtige Änderungen sowie deren Bedeutung für das nationale Recht im Überblick:

Was bleibt gleich?

Die Regelungen der DSGVO sind in ihren Grundzügen nicht ganz so revolutionär, wie man zunächst annehmen mag. Die Ziele der Richtlinie und der neuen Verordnung sind identisch: ein einheitliches Schutzniveau auf EU- Ebene soll den ungehinderten Datenverkehr gewährleisten und Handelshemmnisse abbauen, was schlussendlich dem Binnenmarkt zugutekommen soll. Auch der Verbraucherschutz spielt eine gewohnt tragende Rolle und soll grenzübergreifend gewährleistet sein. Weiterhin gilt auch der Verbotsgrundsatz, d.h. dass die Verarbeitung von Daten grundsätzlich unzulässig ist, es sei denn, es liegen die erforderlichen Voraussetzungen der Verordnung vor. Die Zweckgebundenheit der Datenerhebung findet sich nach wie vor als zentrales Element in der DSGVO wieder. Ebenfalls ist ein eigener Datenschutzbeauftragter bei Unternehmen, deren Haupttätigkeit in die Erhebung und Verarbeitung von Daten fällt, weiterhin erforderlich.

Was ändert sich?

Auch wenn in ihren Grundsätzen die Datenschutzrichtlinie und die DSGVO übereinstimmen, so bringt die DSGVO vor allem in der genauen Ausgestaltung des Datenschutzes Neuerungen mit sich. Wichtige Änderungen sind u.a. die Folgenden:

  1. Mit Art. 3 DSGVO wird der räumliche Anwendungsbereich auf Drittstaaten erweitert, soweit ein nicht-europäisches Unternehmen Daten von EU- Bürgern erhebt und verarbeitet – eine Veränderung, die den Schutz von EU- Bürgern erheblich ausweitet und viele Unternehmen zum Handeln zwingt. Verankert wird in der Verordnung somit das sogenannte Marktortprinzip: bieten Unternehmen Waren oder Dienstleistungen innerhalb der EU an, unterliegen sie den EU- rechtlichen Regelungen. Konsequenzen zieht u.a. bereits Facebook: der bisher einheitliche Schutz aller Nutzer außerhalb der USA und Kanada nach irischem Recht soll mit den neuen Datenschutzregeln nicht gewährleistet bleiben; vielmehr werden alle nicht-europäischen Nutzer aus der irischen Zentrale ausgelagert und neu zugeordnet, so dass mögliche Klagerechte von afrikanischen, südamerikanischen, australischen und asiatischen Nutzern basierend auf EU-Recht ausgeschlossen werden.

  2. Die Auskunftspflicht der Unternehmen wird erheblich erweitert: unter der Datenschutzrichtlinie bestand diese darin, dass der Betroffene erfragen konnte, ob Daten erhoben wurden und zu welchem Zweck, sowie deren Herkunft und zweckmäßiger Empfänger. Art. 13 DSGVO erweitert den Umfang der Auskunft u.a. auf die Nennung der Rechtsgrundlage, eine mögliche Vermittlung an Drittstaaten, die Dauer der Speicherung und das Bestehen eines Beschwerderechts des Betroffenen.

  3. Die Anforderungen der Einwilligung des Betroffenen wurden zudem mit Art. 7 DSGVO verschärft. Eingeführt wurde ein Koppelungsverbot (Abs. 2) und ein jederzeitiges Widerrufsrecht (Abs. 3). In Erwägungsgrund Nr. 32 ist darüber hinaus festgehalten, dass die Einwilligung nur noch ausdrücklich erfolgen soll. Auch hinsichtlich der Daten von Kindern sind die Einwilligungserfordernisse verschärft worden und verpflichten zur Einholung der Einwilligung der Eltern, sofern das Kind noch nicht sechzehn oder älter ist (Art. 8 DSGVO).

  4. Das Recht auf Vergessenwerden („right to be forgotten“) wird ausdrücklich in Art. 17 DSGVO normiert. Bekannt ist diese Terminologie aus dem EuGH- Urteil Google v. Agencia Española de Protección de Datos (AEPD) und González (C-131/12). In diesem Urteil wurde Google zur Löschung von Suchergebnissen, die bei Eingabe von Herr González‘ Namen angezeigt wurden, verpflichtet. Der EuGH begründete dies u.a. mit dem großen Einfluss von Suchmaschinen auf die Persönlichkeitsrechte des Einzelnen durch die Verlinkung ihn betreffender Informationen. Ein solches Recht auf Löschung durch den Verantwortlichen soll insbesondere bestehen, wenn der Zweck der Datenerhebung weggefallen ist oder die Einwilligung widerrufen bzw. Widerspruch erhoben wurde.

  5. Mögliche Sanktionen sind in Form von Bußgeldzahlungen in Art. 83 DSGVO mitaufgenommen. Verstöße können mit bis zu 20 Mio. € oder bis zu 4 % des weltweiten Jahresumsatzes sanktioniert werden – je nach Größe des Unternehmens kann dies die 20 Mio. € auch weit übersteigen (Facebook erwirtschaftet in nur einem Quartal bereits zweistellige Milliardenbeträge!). Auch eine mögliche persönliche Haftung von Verantwortlichen und Auftragsverarbeitern besteht (Art. 82 Abs. 2).

Welche Auswirkung hat die DSGVO auf das deutsche Datenschutzrecht?

Mit der neuen DSGVO ist auch die entsprechende Anpassung der Regelungen im Bundesdatenschutzgesetz (BDSG) erforderlich. Das entsprechende „Datenschutz-Anpassungs- und – Umsetzungsgesetz EU“ wurde 2017 vom Bundestag verabschiedet und wird zusammen mit der DSGVO am 25. Mai in Kraft treten. Die zahlreichen Öffnungsklauseln der Verordnung (z.B. Art. 6 Abs. 2 und 3, Art. 23, Art. 32 Abs. 4, Art. 37 Abs. 4, Art. 90), die den Mitgliedsstaaten unbeschadet des bindenden Charakters der Verordnung einigen Spielraum in der nationalen Ausgestaltung geben, wurden genutzt und Gestaltungsspielräume ausgefüllt.

Was wird kritisiert?

Häufig stößt man auf Kritik, insbesondere hinsichtlich des durch die DSGVO angeblich sinkenden Schutzniveaus in Deutschland. Diese misst sich beispielsweise daran, dass nur Unternehmen die hauptsächlich im Bereich der Datenerhebung und -verarbeitung tätig sind, verpflichtend einen betrieblichen Datenschutzbeauftragten einzustellen haben. Die anderweitig zu erfolgende Kontrolle durch die Aufsichtsbehörden sei faktisch in ihrer Effektivität nicht gleichzusetzen.

Obwohl die DSGVO als Verordnung unmittelbar verpflichtend für die Mitgliedsstaaten ist, wird kritisiert, ihr harmonisierende Wirkung würde durch die Vielzahl an Öffnungsklauseln relativiert und uneinheitliche Regelungen innerhalb der EU wiederum begünstigen.

Auch der sehr hohe Grad an Abstraktion gibt außerdem Anlass zur Sorge. Die genaue Auslegung vieler Begriffe ist unklar (so z.B. die „Erforderlichkeit“ in Art. 6 Abs. 1 lit. b bis f, oder die „berechtigten Interessen“ in Art. 6 Abs 1. lit. f DSGVO) und bedarf weiterer Konkretisierung. Mit dem letztgenannten Problem dürften sich Gerichte der Mitgliedsstaaten bald konfrontiert sehen und entsprechende Streitfälle werden eine Vorabentscheidung des EuGHs verlangen. Bis es allerdings soweit ist, können noch Jahre vergehen. Vorerst herrscht aber in vielerlei Hinsicht Rechtsunsicherheit.

One Reply to “Alles neu macht der Mai: Die Datenschutz-Grundverordnung”

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.