Die europäische Datenschutz-Grundverordnung (DSGVO) trat am 24. Mai 2016 in Kraft. Mit der EU-Verordnung wird die Verarbeitung personenbezogener Daten durch Behörden, sonstige öffentliche Stellen und private Unternehmen vereinheitlicht. Das schützt die Daten besser und fördert gleichzeitig den freien Datenverkehr in der EU. Die DSGVO gehört zur schon 2012 beschlossenen, in Teilschritten realisierten Datenschutzreform der EU.
Definition wichtiger Rechte in der EU Datenschutz-Grundverordnung
Die beiden wichtigen Rechte
- auf Vergessenwerden und
- auf Datenportabilität
sind die entscheidenden Neuerungen für Unternehmen, BürgerInnen und Behörden. Diese Rechte müssen künftig auch Unternehmen gewähren, deren Sitz außerhalb der EU liegt, wenn sich ihre Angebote an EU-Bürger richten. Der Suchmaschinenbetreiber Google und das Social Network Facebook sind die größten und prominentesten der betroffenen Unternehmen. Sie unterlagen zuvor dem Safe Harbor Abkommen mit geringeren Beschränkungen, das seither als gescheitert gilt. Die neue EU Datenschutz-Grundverordnung ersetzt EU Richtlinie 95/46/EG aus dem Jahr 1995 und gilt sofort ohne Umsetzungsakt in allen EU-Mitgliedstaaten. Eine Abschwächung durch nationale Regelungen ist nicht möglich. Es gibt allerdings Öffnungsklauseln, die kleine nationale Ausnahmen zulassen.
Ziele und Grundsätze der DSGVO
Es geht im Grundsatz um die Grundrechte und -freiheiten natürlicher Personen. Deren Recht auf den Schutz ihrer personenbezogenen Daten bei gleichzeitiger Verbesserung des freien Datenverkehrs ist das wichtigste Ziel der EU Datenschutz-Grundverordnung. Personenbezogene Daten sollen nach folgenden Grundsätzen verarbeitet werden:
- Rechtmäßigkeit
- Transparenz
- Treu und Glauben
- Zweckbindung
- Richtigkeit
- Datenminimierung
- Integrität und Vertraulichkeit
- Speicherbegrenzung
- Rechenschaftspflicht
Experten gehen davon aus, dass die EU Datenschutz-Grundverordnung nicht zu einer vollkommenen Umwälzung im europäischen Datenschutzrecht führt, dass jedoch erhebliche Änderungen zu beachten sind.
Änderungen für Unternehmen
Unternehmen müssen einige Änderungen beachten. Der Beschäftigten- und Kundendatenschutz wird entscheidend verbessert, Unternehmen müssen die Daten von Beschäftigten und Kunden per datenschutzfreundlichen Voreinstellungen an ihren elektronischen Geräten sichern. Das kann zu deutlichen Mehraufwänden führen. Ebenso gibt es künftig eine Pflicht zur Datenschutz-Folgenabschätzung. Wenn ein Unternehmen feststellt, dass es möglicherweise interne Mängel gibt, ist es ab sofort verpflichtet, in dieser Frage die zuständige Aufsichtsbehörde zu konsultieren. Das dürfte die Bürokratie erhöhen. Internationale Datentransfers in Staaten außerhalb der EU werden problematisch, das war aber schon aufgrund der Richtlinie 95/46/EG der Fall. Die EU-Kommission nimmt per se an, dass in bestimmten Drittstaaten das Datenschutzniveau nicht den EU-Richtlinien entspricht. Die EU-Kommission kann für jeden einzelnen Staat ein ausreichendes Niveau feststellen, dann ist der Datentransfer einschränkungslos erlaubt.
Änderungen bei der Videoüberwachung
Die Videoüberwachung unterliegt künftig den
Regelungen zur Folgeabschätzung, sie ist nicht mehr explizit zugelassen. Das ändert die bisherige Rechtslage in Deutschland. Bislang galt der § 6b BDSG, der die Überwachung per Video zu bestimmten Zwecken zuließ, wenn Beschäftigte und BürgerInnen darauf hingewiesen wurden. Zudem galten Speicher- beziehungsweise Löschfristen. Dass solche Regelungen in der EU DSGVO nicht enthalten sind, bedeutet keine erweiterten Befugnisse, sondern vielmehr die Pflicht, die Folgen einer Videoüberwachung vorab gründlich einzuschätzen und diese nur dann vorzunehmen, wenn die Verhältnismäßigkeit zwischen dem Schutz durch eine solche Überwachung und dem Schutz der personenbezogenen Daten gewährt bleibt.
Welche Vorteile hat die EU Datenschutz-Grundverordnung?
Es entstehen für deutsche Unternehmen Vorteile durch die EU DSGVO. So wird die Auftragsdatenverarbeitung erstmals europaweit einheitlich geregelt. Inhaltlich lehnen sich die neuen EU-Regeln an den deutschen § 11 BDSG an, der nun als europäische Referenz gilt. Webseitenbetreiber erhalten genauere Compliance-Regeln, die §§ 11 ff. des deutschen Telemediengesetzes werden durch allgemeinere Normen der EU-DSGVO abgelöst. Erhalten bleiben für die personenbezogene Datenverarbeitung auf Webseiten die Vorschriften zur Einwilligung der betroffenen Person und die Abwägung der legitimen Rechte von Webseitenbetreibern gegen die Persönlichkeitsrechte von Verbrauchern. Ein weiterer Vorteil: Die im bisherigen deutschen BDSG und TMG schwierige Differenzierung von Inhalts-, Bestands- und Nutzungsdaten fällt mit der EU Datenschutz-Grundverordnung weg. Der Aufwand für die Unternehmen sinkt dadurch bei gleichzeitig steigender Rechtssicherheit. Für Bürgerinnen und Bürger ist erfreulich, dass die Sanktionsmöglichkeiten gestiegen sind, die der deutsche Datenschutz bislang in diesem Umfang nicht vorsah. Die Aufgaben und Zuständigkeiten von Behörden wurden teilweise überarbeitet. Die praktische Handhabung von Datenschutzrichtlinien soll dadurch erleichtert werden.
