Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist beschlossene Sache…
Unternehemer, egal ob Großunternehmen, Mittelstand oder Kleinunternehmen, müssen sich auf die Neuerungen des Datenschutzes vorbereiten und bis zum Inkrafttreten entsprechende Vorkehrungen getroffen und vollständig umgesetzt haben. Die neue EU-Datenschutz-Grundverordnung wird voraussichtlich zum 1. Januar 2018 in Kraft treten. Hierdurch kommen umfassende Änderungen in datenschutzrechtlichen Fragen auf die Unternehmen zu. Es gilt eine Vielzahl von Problemen im Vorfeld zu lösen und insbesondere etwaige Sanktionen aus einem Verstoß gegen die EU-Datenschutz-Grundverordnung (EU-DSGVO) von Beginn an zu vermeiden.
Was ist die Datenschutz-Grundverordnung?
Mit der Datenschutz-Grundverordnung soll die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen unionsweit vereinheitlicht werden. Ziel ist der Schutz personenbezogener Daten unter Gewährleistung der Aufrechterhaltung des freien Datenverkehrs innerhalb des Europäischen Binnenmarktes. Die Datenschutz-Grundverordnung ist Teil der beabsichtigten umfassenden EU-Datenschutzreform.
Vielfach wird die Auffassung vertreten, dass das neue Datenschutzrecht in Deutschland zu einer Verschlechterung des Schutzes führe. Begründet wird dies damit, dass das Europäische Datenschutzrecht nach EU-DSGVO durch nationales Recht nicht einschränkbar und nicht erweiterbar sei. Daher würde das bereits bestehende Recht in Deutschland teilweise zum Nachteil des Datenschutzes beschnitten. Als Argument gegen die Gesetzesänderung wird daher teilweise ins Feld geführt, dass z.B. der Beschäftigungsdatenschutz nach der EU-Datenschutz-Grundverordnung weiter nicht geregelt würde und die EU-DSGVO gar das traditionell starke und bestehende nationale Datenschutzniveau in der Bundesrepublik Deutschland merkbar abschwächen würde. So sei auch der Datenschutzbeauftragte in Gefahr und auch der geltende Zweckbindungsgrundsatz möglicherweise nicht mehr gültig.
Wer ist betroffen?
Wie Eingangs erwähnt sind nicht nur große Unternehmen und Konzerne sondern auch mittelständische Betriebe und kleine Betriebe von den Neuerungen des Datenschutzes betroffen. Es gilt daher, in jedem Fall rechtzeitig im Vorfeld des Inkrafttretens sämtliche Vorkehrungen zur Einhaltung zu treffen und die Vorgaben der Gesetzesänderungen bis zum Inkrafttreten am 01. Januar 2018 vollständig umzusetzen. Da es sich bei der Datenschutzgrundverordnung um eine von der Europäischen Union erlassene Verordnung handelt, bedarf dieser keiner weiteren Umsetzung durch nationalen Gesetzgebungsakt. Sie gilt damit sofort ab dem Zeitpunkt zu dem sie in Kraft tritt.
Eine weitere Besonderheit wird sein, dass nicht nur Unternehmen mit Sitz innerhalb der Europäischen Union betroffen sind sondern auch solche Unternehmen, die zwar ihren Sitz außerhalb der Union haben, sich mit ihren Angeboten jedoch an EU-Bürger wenden. Griffige Beispiele für betroffene US- Unternehmen sind hier Google und Facebook.
Wann tritt die EU-Datenschutz-Grundverordnung in Kraft?
Die EU-Datenschutzgrundverordnung wurde durch das EU-Parlament am 14.04.2016 ohne Ablehnungen oder Änderungen in der konsolidierten Fassung des EU-Ministerrates verabschiedet. In der Folge wird das neue Datenschutzgesetz in Europa, wie bereits oben erwähnt, voraussichtlich ab dem 1. Januar 2018 gelten.
Was ist neu und was ändert sich?
Ziel der Datenschutz-Grundverordnung soll die Vereinheitlichung des Datenschutzes in Europa sein. Dem einzelnen Bürger soll es einheitlich erleichtert werden, über seine personenbezogenen Daten mehr Kontrolle zu erlangen. Daher sollen einheitliche Standards in Europa eingeführt und umgesetzt werden. Sogenannte datenschutzrechtliche „Rückzugsräume“ soll es folglich in einzelnen europäischen Staaten nicht mehr geben. Die Bürger und Nutzer sollen erheblich leichter und nach einheitlichen Standards Informationen darüber einholen können, wer seine Daten verarbeitet und zu welchem Zweck er sie verarbeitet. Ansatzpunkt ist die Annahme, dass personenbezogene Daten nicht dem datenverarbeitenden Dienst sondern dem Nutzer selbst gehören. Die Einwilligung in die Verarbeitung personenbezogener Daten wird nunmehr nicht mehr bereits mit 13 Jahren möglich sein; die Mindestaltersgrenze wird auf 16 Jahre angehoben. Hierdurch wird die wirksame Einwilligung und folglich die Anmeldung bei Internetdiensten wie z.B. Facebook deutlich erschwert.
Unternehmen werden mit dem neuen Gesetz umfassend über 200 Seiten verpflichtet, klare Regeln über den Umgang mit Daten zu befolgen und einzuhalten.
Drohende Folgen bei einem Verstoß gegen die Datenschutzgrundverordnung
Die Folgen etwaiger Verstöße können sehr drastisch ausfallen. So können Bußgelder bis zu 20 Millionen Euro ober bis zu 4 Prozent des weltweiten Konzernumsatzes gegen ein Unternehmen verhängt werden, welches gegen das neue Gesetz verstößt. Von den beiden zu ermittelnden Werten wird jeweils der höhere Wert angewendet.
Recht auf Vergessenwerden und Schutz des allgemeinen Persönlichkeitsrechts
Mit der Datenschutz-Grundverordnung soll das allgemeine Persönlichkeitsrecht stärker geschützt werden und auch das Recht auf Vergessenwerden (z.B. Nichtauffindbarkeit von Treffern in Suchmaschinen wie Google) und das Recht auf Datenportabilität eingeführt werden.
Was ist zu tun?
Wie bereits dargestellt, tritt die EU-DSGVO voraussichtlich zwar erst zum 01. Januar 2018 in Kraft. Dies bedeutet jedoch gerade nicht, dass die Umsetzungen der entsprechenden Änderungen bis dahin zurückzustellen wären. Vielmehr muss diese „scheinbar“ in „ferner Zukunft“ liegende Zeit gerade jetzt intensiv genutzt werden, um einen rechtlich beanstandungsfreien Umgang mit personenbezogenen Daten zum Stichtag umzusetzen. Daher sind interne Prozesse zu überprüfen und ggfs. anzupassen, Einwilligungserklärungen zu ändern oder neu einzuholen und ggfs. Verträge nachzuverhandeln.
Um die Umsetzung reibungslos in die bestehenden Prozesse zu integrieren und um empfindliche und hohe Sanktionierungen bei einem Verstoß zu vermeiden, ist zu raten, eine entsprechende Überprüfung und Implementierung der geänderten Rechtslage durch einen entsprechenden Rechtsanwalt vornehmen zu lassen.