EU-Datenschutzgrundverordnung

Der Europäischen Rat, die Europäische Kommission und das Europäische Parlament haben sich in einem sogenannten Trilog nun auf die finale Version der Datenschutzgrundverordnung geeinigt. Die neue Verordnung soll voraussichtlich 2018 in Kraft treten und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) aus dem Jahr 1985 ersetzen.

Bevor die neue Datenschutzgrundverordnung in Kraft treten kann, muss die finale Version noch übersetzt werden, Rat und Parlament müssen ihr offiziell zustimmen und sie muss im Amtsblatt veröffentlicht werden. Außerdem sieht die Verordnung eine zweijährige Übergangsfrist vor.

Anfang 2018 soll die Verordnung dann das bisher in Deutschland geltende Bundesdatenschutzgesetz ablösen.

Wozu die neue Verordnung?

Die bisherigen Regelungen zum Datenschutz sind vor dem Hintergrund der technischen Entwicklungen veraltet und wurden zudem von den Mitgliedsstaaten der Europäischen Union unterschiedlich umgesetzt. Durch die neue Verordnung soll ein europaweit einheitliches Datenschutzniveau gewährleistet werden.

So sollen insbesondere „Rückzugsorte“ verhindert werden, an denen Unternehmen das für sie geltende Landesrecht umgehen können. Dies soll unter anderem dadurch gewährleistet werden, dass auch ausländische Unternehmen, die personenbezogene Daten innerhalb der Europäischen Union erheben, verarbeiten und / oder nutzen, sich an die neue Verordnung halten müssen. Es soll dabei sogar irrelevant sein, ob diese Unternehmen entgeltlich oder unentgeltlich vorgehen.

Was wird sich ändern?

Zwar ist die neue Verordnung noch nicht offiziell veröffentlich, einige Änderungen stehen jedoch bereits fest:

  • Die wohl wichtigste Änderung bezieht sich auf die Einwilligung der Betroffenen (Art. 6 Abs.1 lit. (a) DSGVO). Wie bisher muss vor der Verarbeitung personenbezogener Daten die Einwilligung des Betroffenen eingeholt werden. Nun verhält es sich jedoch so, dass das Mindestalter für eine wirksame Einwilligung bei 16 Jahren liegen soll (Art. 8 I DSGVO). Es soll zusätzlich eine Öffnungsklausel geben, die es den Staaten ermöglicht, das Alter auf 13 Jahre herabzusetzen.
  • In Bezug auf die Freiwilligkeit der Einwilligung soll es ebenfalls eine Änderung geben. So sieht Art. 7 Abs. 4 DSGVO vor, dass Freiwilligkeit nicht mehr vorliegt, wenn ein Unternehmen Daten verarbeiten will, die für die angebotenen Leistungen nicht notwendig sind. Freiwilligkeit liegt ferner auch dann nicht vor, wenn der Betroffene die angebotene Leistung auch anderweitig nicht ohne Preisgabe seiner personenbezogenen Daten erhalten kann. Dies wird insbesondere in Erwägungsgrund 34 S. 2 DSGVO näher ausführt.
  • Eine Einwilligung soll weiterhin dann unfreiwillig und damit unwirksam sein, wenn sie nicht ohne Nachteile widerrufen werden kann. Der Erwägungsgrund 32 S. 4 DSGVO lässt jedoch einen weiten Auslegungsspielraum darüber zu, was ein solcher Nachteil ist.
  • Die Einwilligung soll außerdem auch dann unfreiwillig sein, wenn ein Ungleichgewicht zwischen dem Betroffenen und der verantwortlichen Stelle besteht. Der Erwägungsgrund 34 S. 1 DSGVO lässt aber offen, wann genau ein solches „eindeutiges Ungleichgewicht“ sein soll. Es ist gerade bei Online-Diensten die Regel, dass ein Unternehmen Vertragsbedingungen stellt und diese nicht mit jedem einzelnen Nutzer aushandelt. Unter Umständen könnte schon dies ein Ungleichgewicht darstellen. Die Einwilligung wäre dann praktisch immer unwirksam.
  • Außerdem darf die Einwilligung gem. Art. 7 Abs. 2 S. 2 DSGVO nicht die Prinzipien des Art. 5 Abs.1 DSGVO außer Kraft setzen. Zwar gilt diese Regelung ausdrücklich nur für Einwilligungen, die Teil einer längeren schriftlichen Erklärung sind, eine analoge Anwendung für sämtliche Einwilligungen könnte aber Nahe liegen.
  • Art. 7 Abs. 3 DSGVO gewährt den Betroffenen außerdem ein jederzeitiges Widerrufsrecht.
  • Eine weitere wichtige Änderung ist das sogenannte „Recht auf vergessen werden“. Hiernach können Betroffene die Löschung ihrer Daten verlangen, nachdem sie ihre zuvor erteilte Einwilligung widerrufen haben.

Folge dieser umfangreichen Änderungen der Einwilligung wird sein, dass es dem Betroffenen in einigen Fällen wohl gar nicht mehr möglich sein wird, wirksam einzuwilligen, selbst wenn er dies ausdrücklich will.

Mehr Rechte für die Betroffenen und höhere strafen

Es muss nach der neuen Verordnung sichergestellt werden, dass Betroffene sich in ihrer Landessprache an die zuständige Beschwerdestelle in ihrem Land wenden können. Bisher musste im Land des jeweiligen Unternehmens in der dortigen Landessprache vorgegangen werden.

Die neue Verordnung sieht zukünftig außerdem deutlich höhere Bußgelder vor. Bisher wurden für große Unternehmen relativ geringe Bußgelder von bis zu 300.000 EUR verhängt. Nun sollen je nach Art des Verstoßes 10 Millionen EUR bzw. 2-4 % des Jahresumsatzes eines Unternehmens fällig werden.

Die neue Datenschutzgrundverordnung bringt tiefgreifende Änderungen mit sich. Details werden jedoch erst nach Veröffentlichung des Textes geklärt werden können.