EU-Datenschutzverordnung – es geht voran
Die EU-Datenschutzverordnung war schon häufiger Thema in meinem Newsletter. Gefühlt gab es ein ziemliches Auf und Ab bezüglich der Inhalte und deren Auswirkungen auf den geschäftlichen Alltag.
Am 21.10.2013 hat der Innenausschuss des EU-Parlaments nun erneut getagt und – man glaubt es kaum – eine fast einstimmige Einigung erzielt. Damit wird nun der aktuelle Entwurf der EU-Datenschutzverordnung zur weiteren Abstimmung in den EU-Rat gegeben. Ist man da auch “erfolgreich”, wird voraussichtlich noch im Herbst dieses Jahres der sog. Trilog zwischen Europa-Parlament, EU-Rat und EU-Kommission beginnen. Wir können also hoffen.
Der noch inoffizielle Text der Verordnung kann auf der Homepage des EU-Abgeordneten Jan Philipp Albrecht heruntergeladen werden.
Was bringt uns der aktuelle Entwurf der EU-Datenschutzverordnung nun? Gegenüber früheren Versionen sind Unmengen an Kompromissen und Lobbyarbeit in diesen Entwurf eingeflossen.
Erfreulicher Weise ist ein wichtiges Resultat, dass die Position des Datenschutzbeauftragten nun gegenüber früheren Entwürfen deutlich gestärkt wurde. Die Kopplung der Bestellpflicht des Datenschutzbeauftragten an eine Unternehmensgröße oder an die Anzahl der mit der Datenverarbeitung beschäftigten Mitarbeiter, wie sie aktuell auch im BDSG steht, ist vom Tisch.
Im Endergebnis wird sich für die meisten Unternehmen nicht viel ändern. Von Ausnahmen abgesehen verarbeitet ein Unternehmen mit vielen Mitarbeitern mehr Daten als ein Unternehmen mit weniger Mitarbeitern. Dennoch erscheint das Kriterium der tatsächlichen Anzahl an verarbeiteten Daten sinnvoll zu sein.
Dem Thema “Risiko” wurde allgemein deutlich mehr Rechnung getragen. Die Verordnung enthält einen kompletten Abschnitt zum Thema “Lifecycle Data Protection Management”. Dort sind z. B. regelmäßige Risiko-Analysen inkl. Impact Assessment und Compliance Reviews vorgeschrieben.
Auch erfreulich ist, dass die Verordnung nun auf die besonderen erhöhten Anforderungen beim Umgang mit Daten von Kindern eingeht.
Unverändert gegenüber dem deutschen Status Quo ist übrigens die Tatsache, dass die Geschäftsleitung der verantwortlichen Stelle in letzter Instanz für jegliche Datenverarbeitung verantwortlich ist. Diese Verantwortung kann auch weiterhin nicht an den Datenschutzbeauftragten delegiert werden, er ist lediglich ein Berater und Dienstleister.
Deutlich empfindlicher als bislang sind die drohenden Sanktionen. Es drohen Geldbußen bis zu fünf Prozent des jährlichen weltweiten Umsatzes eines Unternehmens, welches gegen die Verordnung verstößt.
Das Thema Arbeitnehmerdatenschutz wurde erfreulicherweise als eigener Abschnitt aufgenommen. Allerdings bringt dieser m. E. keine wirklichen Neuerungen gegenüber den bisherigen impliziten Regelungen des BDSG. Ein Schritt in die richtige Richtung ist es aber allemal.
Sprechen Sie mich an: Gerne unterstütze ich Sie bei der Vorbereitung auf die vermutlich bald anstehenden Umsetzung der Anforderungen der neuen EU-Datenschutzverordnung.
