16-12-15

Neues EU-Datenschutzpaket unter Dach und Fach

Einigung auf einen Kompromiss zur Datenschutz-Grundverordnung

Unterhändler von Parlament, Kommission und Rat haben sich am gestrigen Abend nach fast vier Jahren zäher Verhandlungen auf einen Kompromiss zur Datenschutz-Grundverordnung geeinigt. Laut einer Pressemitteilung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom heutigen Tag konnten sich Parlament und Kommission allerdings bei der abschließenden Verhandlungsrunde im Trilogverfahren offensichtlich nicht dahingehend durchsetzen, dass eine Einwilligung des Nutzers in die Verarbeitung seiner Daten „ausdrücklich“ erteilt werden muss. Damit dürfte es Diensteanbietern erleichtert werden, sich mit Hilfe pauschaler Datenschutzerklärungen umfassende Möglichkeiten zur Datennutzung zu sichern. Ferner sieht der Kompromiss vor, dass sämtliche Behörden künftig Datenschutzbeauftragte bestellen müssen, eine Einschränkung gilt für Gerichte. Unternehmen müssen hingegen nur dann Datenschutzbeauftragte bestellen, wenn bestimmte näher geregelte risikobehaftete Datenverarbeitungen zu ihrem Kerngeschäft gehören. Den Mitgliedstaaten verbleibt aber die Möglichkeit, Unternehmen in zusätzlichen Fällen zur Bestellung betrieblicher Datenschutzbeauftragter zu verpflichten. Heftig gerungen wurde auch um das Mindestalter für den freien Zugang zu sozialen Netzwerken wie Facebook, Twitter oder Instagram. Wie die FAZ in ihrer heutigen Ausgabe mitteilt, sieht die Verordnung sieht künftig grundsätzlich ein Mindestalter von 16 Jahren vor, stellt es aber den Mitgliedstaaten frei, die Untergrenze auf bis zu 13 Jahre zu senken. Hinsichtlich der Höhe der Geldbußen als Sanktionen für Verstöße gegen die Verordnung haben sich Parlament, Rat und Kommission laut Pressemitteilung des Parlaments auf eine Höchstgrenze von immerhin 4% des weltweiten Jahresumsatzes geeinigt; global agierenden Unternehmen drohen insoweit Strafen in Milliardenhöhe.

Zu den wesentlichen Grundprinzipien der Verordnung gehören die Grundsätze der Datensparsamkeit und der Zweckbindung, wonach eine Datenverarbeitung nur zu Zwecken erlaubt ist, die mit dem ursprünglichen Erhebungszweck vereinbar sind. Anbieter sollen für eine datenschutzfreundliche Voreinstellung ihrer Dienste sorgen; Nutzer leichteren Zugang zu ihren Daten haben und besser über Hackerangriffe und andere Verletzungen ihrer Datenschutzrechte informiert werden. Eine wichtige Neuerung der Verordnung ist das Marktortprinzip. Demnach gilt das neue europäische Datenschutzrecht künftig auch für Datenverarbeiter mit Sitz außerhalb der EU, die ihre Dienste in der EU anbieten und dabei Daten von EU-Bürgern verarbeiten. Ferner räumt die Verordnung dem Nutzer unter bestimmten Voraussetzungen ein „Recht auf Vergessenwerden“ (Löschung von Daten) und ein „Recht auf Datenübertragbarkeit“ ein, so dass Daten leichter zu einem anderen Anbieter mitgenommen werden können. Nutzer können sich künftig an eine Beschwerdestelle in ihrem Mitgliedstaat wenden. Unternehmen wird der Umgang mit den Datenschutzbehörden vereinfacht: für sie ist grundsätzlich nur noch eine Datenschutzbehörde zuständig, nämlich diejenige im Mitgliedstaat der Hauptniederlassung.

Die neue Datenschutz-Grundverordnung wird die EU-Datenschutzrichtlinie aus dem Jahr 1995 ersetzen. Anders als diese bedarf sie keiner Umsetzung, so dass in der gesamten EU künftig einheitliche hohe Datenschutzstandards gelten werden. Dem „Herauspicken“ von Rosinen durch Wahl des Sitzes in dem EU-Mitgliedsstaat mit den niedrigsten Datenschutzanforderungen wird damit ein Riegel vorgeschoben. Der federführende Ausschuss des Parlaments soll am 17. Dezember, der Rat am 18. Dezember über den Kompromiss abstimmen. Die Zustimmung gilt als sicher. Im neuen Jahr soll die Verordnung dann zeitnah vom Plenum des Parlaments angenommen werden; Anfang 2018 wird sie dann voraussichtlich in Kraft treten.

Die Verordnung ist Teil eines umfassenden EU-Datenschutz-Reformpaketes, welches daneben noch eine Richtlinie zum Schutz natürlicher Personen im Bereich des Sicherheitsrechts – d.h. bei der Verarbeitung personenbezogener Daten durch Polizei- und Justizbehörden – umfasst. Über diese Richtlinie, die einen besseren Austausch von Daten zwischen Strafverfolgungsbehörden in den EU-Mitgliedstaaten ermöglichen, gleichzeitig aber die Daten von Opfern, Zeugen und möglichen Tätern umfassend schützen soll, wurde am gestrigen Abend ebenfalls eine informelle Einigung erzielt; sie soll ebenfalls in Kürze von Parlament und Rat angenommen werden.

Dr. Anja Hoffmann, Fachbereich Verbraucherschutz / Zivil- und Verfahrensrecht, hoffmann(at)cep.eu